Schéma d'authentification SAML 2.0 - Paramètres avancés
Délégation
casso1283
HID_saml2-auth-advanced
casso1283
La boîte de dialogue Avancé permet de spécifier la configuration avancée de l'API de consommateur d'extension de messages. De plus, cette boîte de dialogue permet de configurer des URL de redirection facultatives en cas d'erreurs de traitement d'assertion lors de l'authentification.
Cette boîte de dialogue contient les paramètres suivants :
Module d'extension de consommateur de messages
Nom de classe Java complet
(Facultatif) Permet de spécifier le nom de classe Java complet d'une classe qui implémente une interface de module d'extension de consommateur de messages pour le schéma d'authentification.
- Paramètre
Si vous saisissez une valeur dans le champ Nom de classe Java complet, l'API transfère la chaîne de paramètres dans ce champ vers le module d'extension spécifié.
URL et modes de redirection selon le statut
L'authentification basée sur une assertion peut échouer à l'emplacement consommant des assertions pour diverses raisons. Si l'authentification échoue, les services de sécurité des fédérations fournissent une fonctionnalité permettant de diriger l'utilisateur vers différentes applications (URL) pour un traitement plus approfondi. Par exemple, lorsqu'une résolution d'ambigüité d'utilisateur échoue,
SiteMinder
peut rediriger celui-ci vers un système de provisionnement. Ce système de provisionnement peut créer un compte d'utilisateur basé sur les informations présentes dans l'assertion SAML.Remarque :
La redirection des erreurs a lieu uniquement lorsque le système peut analyser la demande et dispose des informations nécessaires pour identifier les partenaires générant des assertions et les partenaires de confiance.Les options suivantes permettent de rediriger l'utilisateur vers une URL configurée en fonction de la condition ayant entraîné l'échec.
URL en cas d'utilisateur introuvable
(Facultatif) Permet d'identifier l'URL vers laquelle
SiteMinder
redirige l'utilisateur lorsqu'il est introuvable. Cet état s'applique lorsque le message d'authentification unique ou l'annuaire d'utilisateurs ne contiennent pas l'ID de connexion.- URL de message d'authentification unique non valide(Facultatif) Permet d'identifier l'URL vers laquelleSiteMinderredirige l'utilisateur sous l'une des conditions suivantes :
- Selon les règles répertoriées dans les schémas SAML, le message d'authentification unique n'est pas valide.
- Le consommateur requiert une assertion chiffrée, or le message d'authentification unique n'en contient pas.
- URL des informations d'identification d'utilisateur refusées (message d'authentification unique)(Facultatif) Identifie l'URL de redirection pour toutes les conditions d'erreur différentes de celles en cas d'utilisateur introuvable ou de message d'authentification unique non valide. L'assertion est valide, maisSiteMindern'accepte pas le message par exemple dans les cas suivants :
- Echec de la validation de signature numérique XML
- Echec du déchiffrement XML
- Echec de la validation XML de conditions, par exemple expiration d'un message ou non correspondance d'audience
- Aucune instruction d'authentification contenue dans les assertions du message d'authentification unique
Mode
Spécifie la méthode utilisée par
SiteMinder
pour rediriger l'utilisateur vers l'URL de redirection. Les options sont :- 302 Aucune donnée (valeur par défaut)Permet de rediriger l'utilisateur à l'aide d'une redirection 302 HTTP contenant un cookie de session, mais aucune autre donnée.
- HTTP POSTPermet de redirige l'utilisateur à l'aide d'un protocole HTTP POST.
Délégation
- ServeurSpécifie les parties de l'URL relatives au protocole et à l'autorité pour un serveur proxy ou un serveur Web qui se trouve en face de l'environnement d'exploitation sur lequel le pack d'options d'agent Web réside. La valeur du champ Serveur permet de s'assurer que la réponse SAML est envoyée à la cible correcte.La syntaxe pour la valeur de ce champ estprotocole:autorité:protocole correspond àhttp: ou https:autorité correspond à//host.domain.com ou //host.domain.com:port.Par exemple, http://myproxy.ca.com.SiteMinderutilise également la valeur du serveur pour valider les URL des messages XML. Par exemple, l'attribut Destination dans un message SAML 2.0.Configurez le paramètre Serveur dans les situations suivantes :
- Un serveur proxy se trouve entre le client et l'environnement d'exploitation sur lequel les services Web de fédérations s'exécutent. Les services Web de fédérations sont installés avec le pack d'options d'agent Web.
- SiteMinderAccess Gatewayse trouve dans votre environnement, même siAccess Gatewayest une passerelle de fédération.
- Un serveur web se trouve en face de l'environnement d'exploitation dans lequel le pack d'options d'agent Web est installé.