Fournisseur de services SAML - Paramètres généraux

Les paramètres de cette boîte de dialogue identifient le fournisseur de services pour lequel le fournisseur d'identités génère des assertions.
casso1283
HID_service-provider-general
Les paramètres de cette boîte de dialogue identifient le fournisseur de services pour lequel le fournisseur d'identités génère des assertions.
Paramètres généraux
Les paramètres généraux vous permettent de spécifier différentes informations sur le fournisseur de services.
Les paramètres de l'onglet sont les suivants :
  • nom
    Nom du fournisseur de services. Ce nom est unique pour tous les domaines affiliés.
  • ID de fournisseur de services
    Spécifie un URI qui identifie de façon univoque le fournisseur de services, comme sp.example.com.
  • URL d'authentification
    : URL protégée utilisée par la fédération pour l'authentification des utilisateurs et pour la création d'une session lorsqu'une ressource protégée est demandée. Si le mode d'authentification est défini sur Local et qu'un utilisateur ne s'est pas connecté au niveau de l'entité générant des assertions, il sera dirigé vers cette URL.Cette adresse URL doit pointer vers le fichier redirect.jsp, sauf si vous sélectionnez la case à cocher Utiliser une URL sécurisée.
    Exemple : http://
    myserver.idpA.com
    /siteminderagent/redirectjsp/redirect.jsp
    myserver 
    identifie le serveur Web et le port hébergeant le pack d'options d'agent Web ou la passerelle de fédération. Le fichier redirect.jsp est inclus dans le pack d'options d'agent Web ou la passerelle de fédération installés au niveau de l'entité générant des assertions.
    Protégez l'URL d'authentification à l'aide d'une stratégie de contrôle d'accès. Configurez un schéma d'authentification, un domaine d'authentification et une règle pour la stratégie. Pour ajouter des attributs de référentiel de session à l'assertion, activez la case à cocher Conserver les variables de session d'authentification, qui constitue un paramètre dans le schéma d'authentification.
  • casso1283
    Actif
    Indique si la configuration de fédération héritée est en cours d'utilisation pour un partenariat spécifique. Si le serveur de stratégies utilise la configuration de fédération héritée, confirmez que vous avez sélectionné cette case à cocher. Si vous avez recréé un partenariat fédéré avec des valeurs similaires pour les paramètres d'identité (ID de source, etc.) désactivez cette case à cocher avant d'activer le partenariat fédéré.
    SiteMinder
     ne fonctionne pas avec les configurations héritées et les configurations de partenariat qui utilisent les mêmes valeurs d'identité, car cela entraîne un conflit de noms.
  • Activé
    Active le serveur de stratégies et les services Web de fédérations pour la prise en charge de l'authentification des ressources du fournisseur de services.
  • Marge temporelle
    Spécifie le nombre de secondes, sous la forme d'un nombre entier positif, à ajouter et à soustraire de l'heure actuelle de l'horloge. Cet ajustement permet de prendre en charge les fournisseurs de services dont les horloges ne sont pas synchronisées avec celle du fournisseur d'identités. La marge temporelle et la durée de validité déterminent la méthode qu'emploie le serveur de stratégies pour calculer la durée de validité totale d'une assertion.
    Pour déterminer la validité de l'assertion, la marge temporelle est soustraite de l'heure de génération de l'assertion (IssueInstant), afin d'obtenir l'heure NotBefore. La marge temporelle est ensuite ajoutée à la durée de validité et à l'heure IssueInstant pour obtenir l'heure NotOnOrAfter. Les équations suivantes illustrent l'utilisation de la marge temporelle :
    • Heure NotBefore = Heure IssueInstant - Marge temporelle
    • Heure NotOnOrAfter = Durée de validité + Marge temporelle + Heure IssueInstant
    Les heures sont au format GMT.
  • Version SAML
    Spécifie la version SAML (désactivée ; la valeur est remplacée par défaut par 2.0, indiquant que les assertions envoyées à cet ID de fournisseur de services doivent être conformes à la version SAML 2.0).
  • Description
    (Facultatif) Brève description du fournisseur de services.
  • ID du fournisseur d'identités
    Spécifie un URI qui identifie de façon univoque le fournisseur de services, comme idp.ca.com. Cette valeur d'URI devient la valeur du champ Emetteur dans l'assertion.
  • URL de l'application
    (Facultatif) Identifie l'URL protégée pour une application Web personnalisée utilisée pour fournir des attributs d'utilisateur au service d'authentification unique. L'application peut être installée sur n'importe quel hôte de votre réseau.
    Les attributs de l'application Web spécifiés dans ce champ sont mis à la disposition du générateur d'assertions, puis placés dans l'assertion SAML par un module d'extension de générateur d'assertions. Vous créez le module d'extension et l'intégrez avec
    SiteMinder
    .
    L'application de services Web de fédérations fournit des exemples d'applications Web que vous pouvez utiliser comme référence pour votre application Web. Il s'agit des rôles suivants :
    http://
    serveur_fournisseur_identités:port
    /affwebservices/public/sample_application.jsp
    http://
    serveur_fournisseur_identités:port
    /affwebservices/public/unsolicited_application.jsp
    serveur_fournisseur_identités:port
    Identifie le serveur Web et le port hébergeant le pack d'options d'agent Web ou la passerelle de fédération.
  • Utiliser une URL sécurisée
    Indique au service d'authentification unique qu'il doit chiffrer uniquement le paramètre de requête SMPORTALURL.Un paramètre SMPORTALURL chiffré empêche un utilisateur malveillant de modifier la valeur et de rediriger des utilisateurs authentifiés vers un site Web malveillant.Le paramètre SMPORTALURL est ajouté à l'URL d'authentification avant la redirection de l'utilisateur par le navigateur dans le cadre de l'ouverture d'une session. Une fois l'utilisateur authentifié, le navigateur dirige à nouveau l'utilisateur vers la destination spécifiée dans le paramètre de requête SMPORTALURL.
    Si vous sélectionnez la case Utiliser une URL sécurisée, procédez comme suit :
    1. Définissez le champ URL d'authentification sur l'URL suivante : http(s)://
    serveur_fournisseur_identités:port
    /affwebservices/secure/secureredirect.
    2. Protégez le service Web secureredirect à l'aide d'une stratégie.
    Si l'entité générant des assertions gère plusieurs partenaires de confiance, elle authentifie probablement des utilisateurs différents pour ces divers partenaires. Par conséquent, pour chaque URL d'authentification utilisant le service secureredirect, vous devez inclure ce service Web dans un domaine d'authentification différent pour chaque partenaire.
    Pour associer le service secureredirect à différents domaines, modifiez le fichier web.xml et créez des mappages de ressources différents. Ne copiez pas le service Web secureredirect dans différents emplacements de votre serveur. Recherchez le fichier web.xml sous
    répertoire_installation_agent_Web
    /affwebservices/WEB-INF, où
    répertoire_installation_agent_Web
    est l'emplacement d'installation de l'agent Web.
  • URL d'authentification
    URL protégée utilisée par la fédération pour l'authentification des utilisateurs et pour la création d'une session lorsqu'une ressource protégée est demandée. Si le mode d'authentification est défini sur Local et qu'un utilisateur ne s'est pas connecté au niveau de l'entité générant des assertions, il sera dirigé vers cette URL.Cette adresse URL doit pointer vers le fichier redirect.jsp, sauf si vous sélectionnez la case à cocher Utiliser une URL sécurisée.
    Exemple : http:///siteminderagent/redirectjsp/redirect.jsp
    myserver 
    identifie le serveur Web et le port hébergeant le pack d'options d'agent Web ou la passerelle de fédération. Le fichier redirect.jsp est inclus dans le pack d'options d'agent Web ou la passerelle de fédération installés au niveau de l'entité générant des assertions.
    Protégez l'URL d'authentification à l'aide d'une stratégie de contrôle d'accès. Configurez un schéma d'authentification, un domaine d'authentification et une règle pour la stratégie. Pour ajouter des attributs de référentiel de session à l'assertion, activez la case à cocher Conserver les variables de session d'authentification, qui constitue un paramètre dans le schéma d'authentification.
Les paramètres généraux incluent également les sections suivantes :
  • Restrictions
    Permet de configurer l'adresse IP et les restrictions liées à l'heure de la stratégie de génération d'assertion pour le fournisseur de services.
    • Heure
    • Définir
      Ouvre la boîte de dialogue Heure qui vous permet de configurer la disponibilité du partenaire de ressource. Lorsque vous ajoutez une restriction liée à l'heure, le fournisseur de services fonctionne uniquement pendant la période spécifiée.
    • Effacer
    • Adresses IP
    Répertorie les adresses IP configurées pour la stratégie, pour les ressources du fournisseur de services. Vous pouvez spécifier une adresse IP, une plage d'adresses IP ou un masque de sous-réseau pour le serveur Web. Un navigateur doit être en cours d'exécution sur ce serveur pour que l'utilisateur puisse accéder à un fournisseur de services.
    • Ajouter
      Ouvre une boîte de dialogue Add IP Address (Ajouter une adresse IP) qui vous permet de créer une restriction liée à l'adresse IP.
  • Avancé
    La section Avancé vous permet de configurer les fonctionnalités suivantes :
    • Module d'extension de générateur d'assertions
      Identifie un module d'extension de générateur d'assertions personnalisé qui est développé à l'aide de l'API de module d'extension de générateur d'assertions. Le module d'extension de générateur d'assertions est une fonctionnalité facultative.
    • Délégation
      Identifie le serveur proxy entre le client et le système sur lequel les services Web de fédérations s'exécutent, le cas échéant.
    • Configuration d'authentification unique avancée
      Spécifie des URL de redirection personnalisées pour les erreurs de statut HTTP.
      SiteMinder
      peut rediriger l'utilisateur vers une page d'erreur personnalisée pour une action complémentaire. Les URL personnalisées sont facultatives.
Fournisseur de services SAML : Paramètres avancés
Paramètres du module d'extension de générateur d'assertions
La zone du module d'extension de générateur d'assertions inclut les paramètres suivants :
  • Nom de classe Java complet
    Spécifie le nom de classe Java complet du module d'extension de générateur d'assertions.
  • Paramètres
    Si une valeur est saisie dans le champ Nom de classe Java complet, spécifie une chaîne de paramètres que
    SiteMinder
    transfère au module d'extension spécifié.
  • Serveur proxy
    Lorsque votre réseau a un serveur proxy entre le client et l'environnement d'exploitation de
    , spécifiez les parties de l'URL relatives au schéma et à l'autorité, comme
    protocole
    :
    autorité
    . Le schéma est http ou https, et l'autorité // ou //. Par exemple, http://exemple.ca.com.
Les services Web de fédérations sont disponibles sur un système comprenant le pack d'options d'agent Web ou la passerelle de fédération.
Fournisseur de services SAML - Configuration avancée de l'authentification unique
La section Configuration d'authentification unique avancée vous permet de configurer les fonctionnalités suivantes :
  • Le contexte d'authentification demandé
  • L'utilisation unique de l'assertion
  • Les URL de redirection pour le traitement des erreurs
  • L'utilisation de l'attribut SessionNotOnOrOAfter dans une assertion SAML
Cette boîte de dialogue inclut les paramètres suivants :
  • Ignorer la propriété AuthnContext demandée
    Détermine le traitement d'une transaction si le fournisseur de services inclut l'élément <RequestedAuthnContext> dans un message AuthnRequest lors de la demande d'assertion.
    Le terme
    Contexte d'authentification
    décrit la méthode qu'utilise un utilisateur pour authentifier un fournisseur d'identités. Cet élément est une demande émanant du fournisseur de services indiquant ses besoins pour l'instruction AuthnContext que le fournisseur d'identités doit renvoyer dans la réponse d'assertion.
    Si la case est cochée, le fournisseur d'identités doit ignorer l'élément <RequestedAuthnContext> dans le message AuthnRequest que lui envoie le fournisseur de services. Les fédérations héritées ne prennent pas en charge l'utilisation de l'élément <RequestedAuthnContext> dans un message AuthnRequest, mais cocher cette case vous permet d'éviter l'échec de la transaction.
    Si cette case à cocher n'est pas sélectionnée (la valeur par défaut) et le message AuthnRequest entrant contient l'élément <RequestedAuthnContext>, un échec de la transaction se produit.
  • Définir une condition OneTimeUse
    Le fournisseur de services doit utiliser l'assertion immédiatement et ne pas la conserver pour une utilisation ultérieure. L'assertion est uniquement destinée à une utilisation unique. Les informations d'une assertion peuvent changer ou expirer. La condition OneTimeUse permet donc de garantir que le fournisseur de services utilise une assertion contenant les dernières informations. Au lieu de réutiliser l'assertion, le fournisseur de services doit demander une nouvelle assertion auprès du fournisseur d'identités.
  • Activer l'URL d'erreur de serveur
    Active une redirection d'erreur de serveur.
    • URL de redirection d'erreur de serveur
    L'erreur 500 peut se produire lorsqu'une condition inattendue empêche le serveur Web de répondre à la demande cliente. L'erreur 500 peut se produire lorsqu'une condition inattendue empêche le serveur Web de répondre à la demande cliente. Si c'est le cas, l'utilisateur sera envoyé vers l'URL spécifiée pour un traitement approfondi.
    Exemple : http://www.redirectmachine.com/error_pages/server_error.html
  • Activer l'URL de demande non valide
    Active une redirection en cas d'erreur de demande non valide.
    • URL de redirection de demande non valide
    Spécifie l'URL vers laquelle l'utilisateur est redirigé lorsqu'une erreur HTTP 400 Bad Request ou 405 Method Not Allowed se produit. Un utilisateur peut obtenir une erreur 400 si une demande est mal formulée ou une erreur 405 si le serveur Web ne prend pas en charge une méthode ou une action. Si ce type d'erreur se produit, l'utilisateur est renvoyé vers l'URL spécifiée pour un traitement approfondi.
    Exemple : http://www.redirectmachine.com/error_pages/invalidreq_error.html
  • Activer l'URL d'accès non autorisé
    Active une redirection en cas d'accès non autorisé.
    • URL de redirection d'accès non autorisé
    Spécifie l'URL vers laquelle l'utilisateur est redirigé lorsqu'une erreur HTTP 403 Forbidden se produit. Un utilisateur peut obtenir une erreur 403 si l'URL d'une demande pointe vers une cible incorrecte, comme un annuaire au lieu d'un fichier. Si c'est le cas, l'utilisateur sera envoyé vers l'URL spécifiée pour un traitement approfondi.
    Exemple : http://www.redirectmachine.com/error_pages/unauthorized_error.html
Champs de mode
Pour chaque URL, vous pouvez sélectionner un mode permettant au navigateur de rediriger l'utilisateur.
302 Aucune donnée
Permet de rediriger l'utilisateur à l'aide d'une redirection HTTP 302.
SiteMinder
renvoie l'utilisateur avec un cookie de session.
SiteMinder
n'ajoute aucune information supplémentaire à l'URL de redirection.
  • HTTP POST
    Permet de rediriger l'utilisateur à l'aide du protocole HTTP POST. Lorsque l'utilisateur est redirigé vers l'URL de page d'erreur personnalisée, les données suivantes sont ajoutées à l'URL de redirection, le cas échéant, et publiées dans la page d'erreur personnalisée :
    • TARGET
    • AUTHREASON
    • CONSUMERURL
    • SAMLRESPONSE
    • IDPID
    • SPID
    • PROTOCOLBINDING
Durée de validité de session de fournisseur de services
Détermine l'utilisation de l'attribut SessionNotOnOrOAfter dans une assertion. Définissez cette valeur pour déterminer si le fournisseur d'identités ajoute l'attribut SessionNotOnOrOAfter à une assertion SAML.
Ce paramètre de configuration est disponible uniquement pour le fournisseur d'identités de
SiteMinder
.
SiteMinder
indique au fournisseur d'identités la valeur qu'il définit pour le paramètre SessionNotOnOrAfter dans l'assertion. Le paramètre ne définit aucun délai d'expiration dans le fournisseur de services.
Si
SiteMinder
est utilisé en tant que fournisseur de services, la valeur SessionNotOnOrAfter est ignorée. A la place, un fournisseur de services
SiteMinder
définit des délais d'expiration de session en fonction du délai d'expiration de domaine. Le délai d'expiration de domaine correspond au schéma d'authentification SAML configuré qui protège la ressource cible.
Options :
Utiliser la validité de l'assertion
Calcule la valeur de SessionNotOnOrAfter selon la durée de validité de l'assertion.
Ignorer
Indique au fournisseur d'identités de ne pas inclure le paramètre SessionNotOnOrAfter dans l'assertion.
Session de fournisseur d'identités
Calcule la valeur de SessionNotOnOrAfter selon le délai d'expiration de la session du fournisseur d'identités. Le délai d'expiration est configuré dans le domaine d'authentification du fournisseur d'identités pour l'URL d'authentification. Cette option permet de synchroniser les valeurs d'expiration de sessions du fournisseur d'identités et du fournisseur de services.
Personnalisé
Vous permet de spécifier une valeur personnalisée pour le paramètre SessionNotOnOrAfter dans l'assertion. Si vous sélectionnez cette option, entrez une heure dans le champ Durée de session d'assertion personnalisée (en minutes).
Durée de session d'assertion personnalisée (en minutes)
Spécifie la durée en minutes définie pour le paramètre SessionNotOnOrAfter dans l'assertion. Si l'attribut se trouve dans l'assertion, ce paramètre détermine la durée de la session entre l'utilisateur et le fournisseur d'identités. Configurez une durée qui convient à votre environnement.