Configuration de l'entité de fournisseur de services distante SAML 2.0

casso1283
HID_remote-sp-entity-config
L'étape Configurer l'entité contient les détails de configuration d'une entité de fédération.
Configuration de l'entité de fournisseur de services distante SAML 2.0
La section Configure SAML 2.0 Remote SP Entity (configurer l'entité de fournisseur de services distante SAML 2.0) permet d'identifier l'entité.
  • ID de l'entité
    Permet d'identifier l'entité de fédération d'un partenaire. L'ID d'entité est un identificateur universel, tel qu'un nom de domaine. Si l'ID d'entité représente un
    partenaire distant
    , cette valeur doit être unique. S'il représente un
    partenaire local,
    vous pouvez le réutiliser dans le même système. Par exemple, si l'ID d'entité représente un fournisseur d'identités local, vous pouvez utiliser ce même ID dans plusieurs partenariats fournisseur d'identités-fournisseur de services.
  • Un ID d'entité qui représente un partenaire distant peut uniquement appartenir à un partenariat actif unique.
    Valeur :
    URI (URL recommandée)
    Suivez les instructions suivantes :
    • L'ID d'entité doit être un URI, mais une URL absolue est recommandée.
    • Si l'ID d'entité est une URL :
      • La partie hôte de l'URL doit être un nom appartenant au domaine DNS principal de l'organisation.
      • L'URL ne doit pas contenir de numéro de port, de chaîne de requête ou d'identificateur de fragment.
    • N'utilisez pas d'esperluette (&) dans l'ID d'entité, car ce caractère est reconnu comme un paramètre de requête distinct.
    • Ne spécifiez pas un URN.
    • L'ID d'entité pour un partenaire distant doit être unique afin d'éviter les conflits de nom au sein de la fédération.
    Exemples d'ID d'entité valides
    • CompanyA:portal1
    • http://idp_name.forwardinc.com/idp
    • https://idp_name.example.edu/sp
    Exemples d'ID d'entité non valides :
    • http://idp.ca.com/affwebservices/public/saml2sso?SPID=http://toto.tiit.fr?key=toto&test=1
    • http://idp.ca.com/affwebservices/public/saml2sso?SPID=http://toto.tiit.fr?key=toto (Cette URL peut fonctionner, mais il est déconseillé d'utiliser cette syntaxe.)
  • Nom d'entité
    Nom de l'objet d'entité dans la base de données. Le nom d'entité doit être une valeur unique. Le système utilise le nom d'entité en interne pour distinguer une entité à un emplacement spécifique. Cette valeur n'est pas utilisée en externe et le partenaire distant ne tient pas compte de cette valeur.La valeur du nom d'entité peut être identique à celle de l'ID d'entité, mais elle n'est jamais partagée avec aucune autre entité sur le site.
    Valeur :
    une chaîne alphanumérique
    Exemple
    : Partner1
  • Description
    Permet de spécifier des informations supplémentaires pour décrire l'entité.
    Valeur :
    chaîne alphanumérique de 1024 caractères maximum
URL du service de consommateur d'assertions
La section URL du service de consommateur d'assertions indique le service au niveau de ce fournisseur de services distant qui consomme des assertions. Pour ajouter une entrée à la table, cliquez sur Ajouter une ligne.
Veillez à définir au moins une entrée de service de consommateur d'assertions.
La table inclut les colonnes suivantes :
  • Index
    Spécifie le numéro d'index associé à l'URL du service de consommateur d'assertions.
    Valeur par défaut :
    0
    Valeur :
    un nombre entier unique compris entre 0 et 99999
  • Liaison
    Spécifie la liaison utilisée par ce terminal pour l'authentification unique.
    Le fournisseur d'identités peut initialiser l'authentification unique avec une demande non sollicitée. Si la demande inclut le paramètre de requête ProtocolBinding, la liaison spécifiée dans le paramètre de requête remplacera la valeur sélectionnée pour ce champ.
    Options
    : HTTP-Artifact, HTTP-POST, SOAP
  • URL
    Spécifie l'URL du service de consommateur d'assertions. Si SSL est activé pour ce service, l'URL doit commencer par
    https://
    .
  • Par défaut
    Indique que l'entrée de service de consommateur d'assertions sélectionnée sert d'URL par défaut pour les assertions coûteuses. Une seule entrée peut être définie comme valeur par défaut.
URL de service de SLO
(Facultatif) Dans cette section, identifiez le service de déconnexion unique au niveau de ce fournisseur de services distant. Pour ajouter une entrée à la table, cliquez sur Ajouter une ligne.
La table inclut les colonnes suivantes :
  • Liaison
    Spécifie la liaison utilisée pour la déconnexion unique par cette entité.
    Valeur par défaut :
    Redirection HTTP
    Options :
    Redirection HTTP, SOAP
  • URL d'emplacement
    Spécifie l'URL du service de déconnexion unique au niveau de ce fournisseur de services distant.
    • Valeur pour
      SiteMinder
      :
      http:/
      /serveur_fournisseur_services:port/
      affwebservices/public/saml2slo
      serveur_fournisseur_services
      :port spécifie le serveur et le numéro de port au niveau du fournisseur de services qui héberge
      SiteMinder
      .
    • Dans le cas des fournisseurs tiers, l'URL représente le service de déconnexion unique.
  • URL d'emplacement de réponse
    (Facultatif) Spécifie l'URL du service de déconnexion unique au niveau de ce fournisseur de service distant. Une URL d'emplacement de réponse est utile lorsqu'il existe un service pour les demandes de déconnexion unique et un autre pour les réponses de déconnexion unique.
    • Pour
      SiteMinder
      , cette valeur est toujours identique à l'URL d'emplacement de la déconnexion unique :
      http://serveur_fournisseur
      _services:port
      /affwebservices/public/saml2slo
      serveur_fourn
      isseur_services:port est le serveur au niveau du fournisseur de services sur lequel
      SiteMinder
      est installé.
    • Pour les fournisseurs tiers, l'URL représente le service de gestion des réponses de déconnexion unique.
URL des services de gestion des ID de nom
(Facultatif) Identifie le service Gérer les ID de nom sur le fournisseur de services distant. Pour ajouter une entrée à la table, cliquez sur Ajouter une ligne.
La table inclut les colonnes suivantes :
  • Liaison
    Spécifie la liaison qui est utilisée pour le service Gérer les ID de nom par cette entité.
    Valeur par défaut :
    SOAP
    Options :
    Redirection HTTP, HTTP POST (lecture, mais inutilisé)
  • URL d'emplacement
    Spécifie l'URL du service Gérer les ID de nom sur le fournisseur de services distant.
    • Valeur pour
      SiteMinder
      :
      http://
      serveur_fournisseur_services:port
      /affwebservices/public/saml2nidsoap
      serveur_fournisseur_services
      :port spécifie le serveur et le numéro de port au niveau du fournisseur de services qui héberge
      SiteMinder
      .
  • URL d'emplacement de réponse
    (Facultatif) Spécifie une URL d'emplacement de réponse, ce qui est utile lorsqu'il existe un service pour les demandes et un autre pour les réponses. Cette option ne s'applique pas à la liaison SOAP.
    • Pour
      SiteMinder
      , cette valeur est toujours identique à l'URL d'emplacement :
      http://
      serveur_fournisseur_services:port
      /affwebservices/public/saml2nidsoap
      serveur_fournisseur_services:port
      est le serveur au niveau du fournisseur de services sur lequel
      SiteMinder
      est installé.
Options de signature et de chiffrement
La section Options de signature et de chiffrement permet de définir les modes de signature et de chiffrement pour les transactions fédérées. Cette section contient les paramètres suivants :
  • Alias de certificat de vérification
    (Facultatif) Spécifie l'alias associé à un certificat spécifique dans le référentiel de données de certificat. Cet alias indique au serveur de stratégies le certificat à utiliser pour vérifier les assertions signées et les demandes de SLO.
    Sélectionnez un alias dans la liste déroulante. Si le certificat n'est pas disponible, cliquez sur
    Importer
    pour l'importer.Assurez-vous que le certificat figure dans le référentiel de données de certificat avant de spécifier l'alias qui lui est associé dans ce champ.
    Valeur :
    sélectionnez dans la liste déroulante.
  • Alias de certificat de client
    : (Facultatif) spécifie un alias de certificat de vérification secondaire dans le référentiel de données de certificat. Si la vérification de la signature des demandes ou des réponses ne parvient pas à utiliser l’alias de certificat de vérification, le fournisseur d’identités utilisera cet alias de vérification secondaire pour vérifier la signature. Le fournisseur de services distant envoie le certificat de vérification au fournisseur d’identités avant toute opération de transaction, à l’aide de métadonnées ou de tout autre moyen. La spécification d’un alias secondaire est utile si un fournisseur de services substitue son certificat de signature. Un remplacement peut se produire pour une raison quelconque, par exemple lors de l'expiration d'un certificat, la compromission d'une clé privée ou la modification de sa taille.Si le certificat ne figure pas déjà dans le référentiel de données de certificat, cliquez sur
    Importer
    pour en importer un.
    Valeur
    : sélectionnez une valeur dans la liste déroulante.
  • Alias de certificat de chiffrement
    (Facultatif) Spécifie l'alias associé à un certificat spécifique dans le référentiel de données de certificat. Si vous renseignez ce champ, vous indiquez le certificat fourni par le fournisseur de services distant au fournisseur d'identités pour le chiffrement. Le fournisseur de service effectue le déchiffrement à l'aide de sa clé privée.
    Si la clé de votre choix n'est pas disponible, sélectionnez un alias dans la liste déroulante ou cliquez sur Importer pour importer un certificat.Assurez-vous que le certificat figure dans le référentiel de données de certificat avant de spécifier l'alias qui lui est associé dans ce champ.
    Valeur :
    sélectionnez dans la liste déroulante.
  • Signer les demandes d'authentification
    Indique que les messages AuthnRequest envoyés par le fournisseur de services doivent être signés. La signature de la demande permet d'établir une relation de confiance entre les deux parties du partenariat.
Formats d'ID de nom pris en charge
casso1283
La section Formats d'ID de nom pris en charge permet de spécifier les formats d'ID de nom pris en charge par l'entité.
L'identificateur de nom donne un nom unique à l'utilisateur dans l'assertion et spécifie les attributs à inclure dans l'assertion. Le format de l'identificateur de nom établit le type de contenu utilisé pour l'ID. Par exemple, le format peut être le nom unique d'utilisateur, auquel cas le contenu peut être un UID.
  • Formats d'ID de nom pris en charge
    Répertorie tous les formats d'ID de nom pris en charge par l'entité. Sélectionnez tous les formats qui s'appliquent.
    Pour obtenir une description de chaque format, consultez la section
    Assertions et protocoles pour la spécification OASIS Security Assertion Markup Language (SAML) V2.0
    .
 
 
(A partir de la version 12.8.06) Section Configuration des balises
La section Configuration des balises vous permet d'ajouter des informations ou un contexte supplémentaires sous forme de balises à une entité. Les balises permettent de grouper des objets semblables à l'aide de métadonnées communes et de conserver un contexte supplémentaire spécifique à l'organisation, ce qui facilite l'identification et la récupération des objets. Vous pouvez affecter plusieurs valeurs à une balise dans un format de paire clé-valeur.
Cette section contient les champs suivants :
  • Ajouter
    Lors du premier clic, cette option affiche les balises affectées à la catégorie d'objet
    Entité de fédération
    à l'aide de la boîte de dialogue Balises. Lors des clics ultérieurs, cette option ajoute une autre ligne pour ajouter plusieurs balises et valeurs de balise.
  • nom
    Affiche le nom des balises affectées à la catégorie d'objet
    Entité de fédération
    . Le nom de la balise est affiché au format <
    nom_balise
    >[<
    type_données
    >].
  • Valeur
    Spécifie une valeur pour la balise sélectionnée. N'entrez pas *, <, =, >, ! dans la valeur. Si le type de données de la balise sélectionnée est
    Date
    , la valeur de la balise doit être au format
    aaaa-mm-jj
    et dans la plage comprise entre le 1er janvier 1970 et le 31 décembre 3000.
Une fois les modifications soumises, la colonne
Balises
du tableau affiche la balise au format <
nom_balise
>=<
valeur_balise
>.