Configuration de l'entité de fournisseur de services distante SAML 2.0
casso1283
HID_remote-sp-entity-config
L'étape Configurer l'entité contient les détails de configuration d'une entité de fédération.
Configuration de l'entité de fournisseur de services distante SAML 2.0
La section Configure SAML 2.0 Remote SP Entity (configurer l'entité de fournisseur de services distante SAML 2.0) permet d'identifier l'entité.
- ID de l'entitéPermet d'identifier l'entité de fédération d'un partenaire. L'ID d'entité est un identificateur universel, tel qu'un nom de domaine. Si l'ID d'entité représente unpartenaire distant, cette valeur doit être unique. S'il représente unpartenaire local,vous pouvez le réutiliser dans le même système. Par exemple, si l'ID d'entité représente un fournisseur d'identités local, vous pouvez utiliser ce même ID dans plusieurs partenariats fournisseur d'identités-fournisseur de services.
- Un ID d'entité qui représente un partenaire distant peut uniquement appartenir à un partenariat actif unique.Valeur :URI (URL recommandée)Suivez les instructions suivantes :
- L'ID d'entité doit être un URI, mais une URL absolue est recommandée.
- Si l'ID d'entité est une URL :
- La partie hôte de l'URL doit être un nom appartenant au domaine DNS principal de l'organisation.
- L'URL ne doit pas contenir de numéro de port, de chaîne de requête ou d'identificateur de fragment.
- N'utilisez pas d'esperluette (&) dans l'ID d'entité, car ce caractère est reconnu comme un paramètre de requête distinct.
- Ne spécifiez pas un URN.
- L'ID d'entité pour un partenaire distant doit être unique afin d'éviter les conflits de nom au sein de la fédération.
Exemples d'ID d'entité valides- CompanyA:portal1
- http://idp_name.forwardinc.com/idp
- https://idp_name.example.edu/sp
Exemples d'ID d'entité non valides :- http://idp.ca.com/affwebservices/public/saml2sso?SPID=http://toto.tiit.fr?key=toto&test=1
- http://idp.ca.com/affwebservices/public/saml2sso?SPID=http://toto.tiit.fr?key=toto (Cette URL peut fonctionner, mais il est déconseillé d'utiliser cette syntaxe.)
- Nom d'entitéNom de l'objet d'entité dans la base de données. Le nom d'entité doit être une valeur unique. Le système utilise le nom d'entité en interne pour distinguer une entité à un emplacement spécifique. Cette valeur n'est pas utilisée en externe et le partenaire distant ne tient pas compte de cette valeur.La valeur du nom d'entité peut être identique à celle de l'ID d'entité, mais elle n'est jamais partagée avec aucune autre entité sur le site.Valeur :une chaîne alphanumériqueExemple: Partner1
- DescriptionPermet de spécifier des informations supplémentaires pour décrire l'entité.Valeur :chaîne alphanumérique de 1024 caractères maximum
URL du service de consommateur d'assertions
La section URL du service de consommateur d'assertions indique le service au niveau de ce fournisseur de services distant qui consomme des assertions. Pour ajouter une entrée à la table, cliquez sur Ajouter une ligne.
Veillez à définir au moins une entrée de service de consommateur d'assertions.
La table inclut les colonnes suivantes :
- IndexSpécifie le numéro d'index associé à l'URL du service de consommateur d'assertions.Valeur par défaut :0Valeur :un nombre entier unique compris entre 0 et 99999
- LiaisonSpécifie la liaison utilisée par ce terminal pour l'authentification unique.Le fournisseur d'identités peut initialiser l'authentification unique avec une demande non sollicitée. Si la demande inclut le paramètre de requête ProtocolBinding, la liaison spécifiée dans le paramètre de requête remplacera la valeur sélectionnée pour ce champ.Options: HTTP-Artifact, HTTP-POST, SOAP
- URLSpécifie l'URL du service de consommateur d'assertions. Si SSL est activé pour ce service, l'URL doit commencer parhttps://.
- Par défautIndique que l'entrée de service de consommateur d'assertions sélectionnée sert d'URL par défaut pour les assertions coûteuses. Une seule entrée peut être définie comme valeur par défaut.
URL de service de SLO
(Facultatif) Dans cette section, identifiez le service de déconnexion unique au niveau de ce fournisseur de services distant. Pour ajouter une entrée à la table, cliquez sur Ajouter une ligne.
La table inclut les colonnes suivantes :
- LiaisonSpécifie la liaison utilisée pour la déconnexion unique par cette entité.Valeur par défaut :Redirection HTTPOptions :Redirection HTTP, SOAP
- URL d'emplacementSpécifie l'URL du service de déconnexion unique au niveau de ce fournisseur de services distant.
- Valeur pourSiteMinder:http://serveur_fournisseur_services:port/affwebservices/public/saml2sloserveur_fournisseur_services:port spécifie le serveur et le numéro de port au niveau du fournisseur de services qui hébergeSiteMinder.
- Dans le cas des fournisseurs tiers, l'URL représente le service de déconnexion unique.
- URL d'emplacement de réponse(Facultatif) Spécifie l'URL du service de déconnexion unique au niveau de ce fournisseur de service distant. Une URL d'emplacement de réponse est utile lorsqu'il existe un service pour les demandes de déconnexion unique et un autre pour les réponses de déconnexion unique.
- PourSiteMinder, cette valeur est toujours identique à l'URL d'emplacement de la déconnexion unique :http://serveur_fournisseur_services:port/affwebservices/public/saml2sloserveur_fournisseur_services:port est le serveur au niveau du fournisseur de services sur lequelSiteMinderest installé.
- Pour les fournisseurs tiers, l'URL représente le service de gestion des réponses de déconnexion unique.
URL des services de gestion des ID de nom
(Facultatif) Identifie le service Gérer les ID de nom sur le fournisseur de services distant. Pour ajouter une entrée à la table, cliquez sur Ajouter une ligne.
La table inclut les colonnes suivantes :
- LiaisonSpécifie la liaison qui est utilisée pour le service Gérer les ID de nom par cette entité.Valeur par défaut :SOAPOptions :Redirection HTTP, HTTP POST (lecture, mais inutilisé)
- URL d'emplacementSpécifie l'URL du service Gérer les ID de nom sur le fournisseur de services distant.
- Valeur pourSiteMinder:http://serveur_fournisseur_services:port/affwebservices/public/saml2nidsoapserveur_fournisseur_services:port spécifie le serveur et le numéro de port au niveau du fournisseur de services qui hébergeSiteMinder.
- URL d'emplacement de réponse(Facultatif) Spécifie une URL d'emplacement de réponse, ce qui est utile lorsqu'il existe un service pour les demandes et un autre pour les réponses. Cette option ne s'applique pas à la liaison SOAP.
- PourSiteMinder, cette valeur est toujours identique à l'URL d'emplacement :http://serveur_fournisseur_services:port/affwebservices/public/saml2nidsoapserveur_fournisseur_services:portest le serveur au niveau du fournisseur de services sur lequelSiteMinderest installé.
Options de signature et de chiffrement
La section Options de signature et de chiffrement permet de définir les modes de signature et de chiffrement pour les transactions fédérées. Cette section contient les paramètres suivants :
- Alias de certificat de vérification(Facultatif) Spécifie l'alias associé à un certificat spécifique dans le référentiel de données de certificat. Cet alias indique au serveur de stratégies le certificat à utiliser pour vérifier les assertions signées et les demandes de SLO.Sélectionnez un alias dans la liste déroulante. Si le certificat n'est pas disponible, cliquez surImporterpour l'importer.Assurez-vous que le certificat figure dans le référentiel de données de certificat avant de spécifier l'alias qui lui est associé dans ce champ.Valeur :sélectionnez dans la liste déroulante.
- Alias de certificat de client: (Facultatif) spécifie un alias de certificat de vérification secondaire dans le référentiel de données de certificat. Si la vérification de la signature des demandes ou des réponses ne parvient pas à utiliser l’alias de certificat de vérification, le fournisseur d’identités utilisera cet alias de vérification secondaire pour vérifier la signature. Le fournisseur de services distant envoie le certificat de vérification au fournisseur d’identités avant toute opération de transaction, à l’aide de métadonnées ou de tout autre moyen. La spécification d’un alias secondaire est utile si un fournisseur de services substitue son certificat de signature. Un remplacement peut se produire pour une raison quelconque, par exemple lors de l'expiration d'un certificat, la compromission d'une clé privée ou la modification de sa taille.Si le certificat ne figure pas déjà dans le référentiel de données de certificat, cliquez surImporterpour en importer un.Valeur: sélectionnez une valeur dans la liste déroulante.
- Alias de certificat de chiffrement(Facultatif) Spécifie l'alias associé à un certificat spécifique dans le référentiel de données de certificat. Si vous renseignez ce champ, vous indiquez le certificat fourni par le fournisseur de services distant au fournisseur d'identités pour le chiffrement. Le fournisseur de service effectue le déchiffrement à l'aide de sa clé privée.Si la clé de votre choix n'est pas disponible, sélectionnez un alias dans la liste déroulante ou cliquez sur Importer pour importer un certificat.Assurez-vous que le certificat figure dans le référentiel de données de certificat avant de spécifier l'alias qui lui est associé dans ce champ.Valeur :sélectionnez dans la liste déroulante.
- Signer les demandes d'authentificationIndique que les messages AuthnRequest envoyés par le fournisseur de services doivent être signés. La signature de la demande permet d'établir une relation de confiance entre les deux parties du partenariat.
Formats d'ID de nom pris en charge
casso1283
La section Formats d'ID de nom pris en charge permet de spécifier les formats d'ID de nom pris en charge par l'entité.
L'identificateur de nom donne un nom unique à l'utilisateur dans l'assertion et spécifie les attributs à inclure dans l'assertion. Le format de l'identificateur de nom établit le type de contenu utilisé pour l'ID. Par exemple, le format peut être le nom unique d'utilisateur, auquel cas le contenu peut être un UID.
- Formats d'ID de nom pris en chargeRépertorie tous les formats d'ID de nom pris en charge par l'entité. Sélectionnez tous les formats qui s'appliquent.Pour obtenir une description de chaque format, consultez la sectionAssertions et protocoles pour la spécification OASIS Security Assertion Markup Language (SAML) V2.0.
(A partir de la version 12.8.06) Section Configuration des balises
La section Configuration des balises vous permet d'ajouter des informations ou un contexte supplémentaires sous forme de balises à une entité. Les balises permettent de grouper des objets semblables à l'aide de métadonnées communes et de conserver un contexte supplémentaire spécifique à l'organisation, ce qui facilite l'identification et la récupération des objets. Vous pouvez affecter plusieurs valeurs à une balise dans un format de paire clé-valeur.
Cette section contient les champs suivants :
- AjouterLors du premier clic, cette option affiche les balises affectées à la catégorie d'objetEntité de fédérationà l'aide de la boîte de dialogue Balises. Lors des clics ultérieurs, cette option ajoute une autre ligne pour ajouter plusieurs balises et valeurs de balise.
- nomAffiche le nom des balises affectées à la catégorie d'objetEntité de fédération. Le nom de la balise est affiché au format <nom_balise>[<type_données>].
- ValeurSpécifie une valeur pour la balise sélectionnée. N'entrez pas *, <, =, >, ! dans la valeur. Si le type de données de la balise sélectionnée estDate, la valeur de la balise doit être au formataaaa-mm-jjet dans la plage comprise entre le 1er janvier 1970 et le 31 décembre 3000.
Une fois les modifications soumises, la colonne
Balises
du tableau affiche la balise au format <nom_balise
>=<valeur_balise
>.