Schéma d'authentification SAML 2.0 - Paramètres d'authentification unique
Sommaire
casso1283
HID_saml2-auth-sso
Sommaire
Les paramètres d'authentification unique vous permettent de configurer la méthode de gestion de l'authentification unique sur le fournisseur de services.
La section Authentification unique de la page inclut les paramètres suivants :
- Mode de redirectionIndique la méthode permettant au fournisseur de services de rediriger l'utilisateur vers la ressource cible. Si vous sélectionnez 302 Aucune donnée ou 302 Données de cookie, aucune autre configuration n'est requise. Si vous sélectionnez Redirection à partir du serveur ou Conserver les attributs, une configuration supplémentaire est requise.
- 302 Aucune donnée (valeur par défaut)Permet de rediriger l'utilisateur à l'aide d'une redirection HTTP 302 avec un cookie de session, mais aucune autre donnée.
- 302 Données de cookiePermet de rediriger l'utilisateur à l'aide d'une redirection HTTP 302 avec un cookie de session et des données de cookie supplémentaires, queSiteMindera configuré pour le fournisseur de services sur le fournisseur d'identités.
- casso1283Redirection à partir du serveurPermet de transmettre les informations d'attribut d'en-tête et de cookie reçues dans l'assertion vers l'application cible personnalisée. Le service de consommateur d'assertions SAML 2.0 ou le service de consommateur de jetons de sécurité WS-Federation collecte les informations d'identification de l'utilisateur, puis transfère l'utilisateur vers l'URL de l'application cible à l'aide de la redirection côté serveur. Les redirections côté serveur appartiennent à la spécification de servlets Java. Tous les conteneurs de servlets conformes aux normes prennent en charge les redirections côté serveur.Pour utiliser ce mode, suivez les indications suivantes :
- L'URL spécifiée pour ce mode doit être relative au contexte du servlet qui consomme l'assertion, en règle générale /affwebservices/public/. La racine du contexte correspond à la racine de l'application des services Web de fédérations, en règle générale : /affwebservices/.Tous les fichiers de l'application cible doivent être placés dans le répertoire racine de l'application. Il peut s'agir de l'un des répertoires suivants :- Agent Web :web_agent_home\webagent\affwebservices—Access Gateway:sps_home\secure-proxy\Tomcat\webapps\affwebservices
- Pour protéger des ressources cibles, définissez des domaines, des règles et des stratégies. Dans le filtre de ressources, la définition des domaines doit au moins contenir la valeur /affwebservices/.
- Sur le serveur exécutant l'application Services Web de fédérations, installez une application Java ou JSP personnalisée. Les services Web de fédérations sont installés avec le pack d'options d'agent Web ouAccess Gateway.La technologie de servlet Java autorise les applications à transférer des informations entre deux demandes de ressource à l'aide de la méthode setAttribute de l'interface ServletRequest.Avant de rediriger l'utilisateur vers la cible, le service qui consomme des assertions envoie l'attribut d'utilisateur à l'application cible. Il envoie les attributs en créant un objet java.util.HashMap. Netegrity.AttributeInfo est l'attribut contenant la table d'hachage d'attributs SAML.Le service qui consomme des assertions transfère deux autres attributs Java.lang.String à l'application personnalisée :- L'attribut Netegrity.smSessionID représente l'ID de sessionSiteMinder.- L'attribut Netegrity.userDN représente le nom unique de l'utilisateurSiteMinder.L'application cible personnalisée lit ces objets à partir de la demande HTTP et utilise les données présentes dans les objets de la table d'hachage.
- Conserver les attributsPermet de rediriger l'utilisateur à l'aide d'une redirection HTTP 302 avec un cookie de session, mais aucune autre donnée. En outre, ce mode charge le serveur de stratégies de stocker des attributs extraits d'une assertion dans le référentiel de sessions de sorte à pouvoir les indiquer comme variables d'en-tête HTTP. Pour obtenir des informations de configuration supplémentaires, consultez les instructions sur l'utilisation des attributs SAML en tant qu'en-têtes HTTP.Pour afficher cette option, activez le référentiel de sessions à l'aide de la console de gestion de serveur de stratégiesSiteMinder.casso1283Si vous sélectionnez Conserver les attributs et que l'assertion contient des attributs vides, la valeur NULL sera inscrite dans le référentiel de sessions. Cette valeur sert d'espace réservé à l'attribut vide. Elle est transférée à une application utilisant l'attribut.
- Service d'authentification uniqueSpécifie l'URI du service d'authentification unique sur le fournisseur de services. Cet URI est l'emplacement à partir duquel le service AuthnRequest redirige un message Authnrequest, qui contient l'ID du fournisseur de services. URL par défaut :http://hôte_fournisseur_identités:port/affwebservices/public/saml2sso
- AudienceSpécifie l'audience pour l'assertion SAML. L'audience est une URL qui permet d'identifier l'emplacement d'un document qui décrit les termes et conditions de l'accord entre le fournisseur d'identités et le fournisseur de services. L'administrateur du site du fournisseur d'identités détermine l'audience, qui correspond à celle du fournisseur de services.La valeur de l'audience ne doit pas dépasser 1 Ko et doit respecter la casse. Exemple :http://www.ca.com/SampleAudience
- Cible(Facultatif) Spécifie l'URI de la ressource cible sur le site du fournisseur de services de destination.Le fournisseur de services ne doit pas utiliser la cible par défaut. Le lien qui initialise l'authentification unique peut contenir un paramètre de requête qui spécifie la cible.
- Autoriser le fournisseur d'identités à créer un identificateur d'utilisateurLorsque le fournisseur de services envoie un message AuthnRequest au fournisseur d'identités pour obtenir une assertion, cochez cette case pour définir l'attribut AllowCreate du message AuthnRequest sur True. L'attribut AllowCreate indique au fournisseur d'identités de générer une nouvelle valeur pour l'objet NameID. Vous activez la fonctionnalité AllowCreate sur le fournisseur d'identités. La nouvelle valeur du paramètre NameID est incluse dans l'assertion.
- Profil de proxy et de client amélioréActive le traitement des demandes à l'aide du profil de proxy et de client amélioré SAML 2.0.
- Signer les demandes d'authentificationIndique au serveur de stratégies du fournisseur de services de signer la demande AuthnRequest après l'avoir générée. Cette case à cocher est requise si le fournisseur d'identités requiert des demandes AuthnRequests signées. Le service AuthnRequest redirige la demande AuthnRequest signée vers l'URL de service d'authentification unique.
- Remplacement de la cible par l'état du relais(Facultatif) Remplace la valeur spécifiée dans le champ Cible par la valeur du paramètre de requête d'état de relais pour l'authentification unique initialisée par le fournisseur de services ou par le fournisseur d'identités. Cette case à cocher vous permet de mieux contrôler la cible, car l'utilisation du paramètre de requête d'état de relais vous permet de définir la cible de façon dynamique.
Liaisons
Schéma d'authentification SAML 2.0 - Liaisons - Artefact
Liaisons - Artefact
Si le fournisseur de services prend en charge les liaisons d'artefact, configurez les paramètres de cette section. Les paramètres de l'authentification unique d'artefact SAML 2.0 incluent :
- Artefact
Définit la configuration de profil Artefact HTTP.
Artefact HTTP
Active la liaison d'artefact. Lorsque cette option est activée, les contrôles associés suivants sont activés.
- Signer l'objet ArtifactResolveIndique que le message de résolution d'artefact doit être signé. La demande récupère le message SAML d'origine à partir du fournisseur de services.Si vous cochez cette case, le fournisseur d'identités est configuré pour requérir un message de résolution d'artefact signé.Le traitement des signatures numériques est activé pour la signature du message de résolution d'artefact.
- Remplacer l'ID de source de fournisseur d'identités généré par le systèmePermet de spécifier l'ID source du fournisseur d'identités dans le champ associé. La valeur par défaut est un hachage SHA-1 de l'ID du fournisseur d'identités. Les valeurs doivent être des nombres hexadécimaux de 40 chiffres.
- Objet ArtifactResponse signé requisIndique que le fournisseur de services accepte uniquement la réponse d'artefact, qui doit être signée.Si vous cochez cette case, le fournisseur d'identités est configuré pour signer la réponse d'artefact.Le traitement des signatures numériques est activé pour traiter la réponse signée.
- IndexLorsque vous cochez la case Artefact HTTP, ce champ est activé et vous permet d'affecter un paramètre AssertionConsumerServiceIndex à la liaison d'artefact. Si vous avez plusieurs terminaux dans un réseau fédéré, affectez un index au service de consommateur d'assertions. La valeur d'index indique au fournisseur d'identités la destination vers laquelle envoyer la réponse. Entrez un nombre entier compris entre 0 et 65535.
- Service de résolutionSpécifie l'URL du service de résolution d'artefacts sur le fournisseur de d'identités. URL par défaut :http://hôte:port/affwebservices/saml2artifactresolution
- ID de sourceDéfinit l'ID source du fournisseur d'identités.La spécification SAML définit un ID source comme un nombre binaire hexadécimal de 20 octets qui identifie l'entité générant l'assertion. Le fournisseur de services utilise cet ID pour identifier l'émetteur de l'assertion.La valeur de l'ID source est automatiquement générée en fonction de la valeur de l'ID du fournisseur d'identités, qui se trouve dans les paramètres généraux du schéma d'authentification. Lorsque vous sélectionnez l'option Remplacer l'ID de source de fournisseur d'identités généré par le système, entrez une valeur que le fournisseur d'identités vous fournit dans une communication hors bande.
Schéma d'authentification SAML 2.0 - Liaisons - POST
Liaisons - POST
Si le fournisseur de services prend en charge les liaisons POST, configurez les paramètres de cette section. Les paramètres de transaction POST SAML 2.0 incluent :
- Validé
- HTTP POSTIndique que la liaison POST est activée pour le fournisseur d'identités.
- Appliquer la stratégie d'utilisation uniqueApplique la stratégie d'utilisation unique et empêche la réutilisation des assertions SAML 2.0 sur un fournisseur de services pour établir une deuxième session.
- IndexLorsque vous cochez la case HTTP POST, ce champ est activé et vous permet d'affecter un paramètre AssertionConsumerServiceIndex à la liaison d'artefact. Si vous avez plusieurs terminaux dans un réseau fédéré, affectez un index au service de consommateur d'assertions. La valeur d'index indique au fournisseur d'identités la destination vers laquelle envoyer la réponse.Valeur :entre 0 et 65535