Fournisseur de services SAML - Paramètres généraux
Les paramètres de cette boîte de dialogue identifient le fournisseur de services pour lequel le fournisseur d'identités génère des assertions.
casso1283
HID_service-provider-general
Les paramètres de cette boîte de dialogue identifient le fournisseur de services pour lequel le fournisseur d'identités génère des assertions.
Paramètres généraux
Les paramètres généraux vous permettent de spécifier différentes informations sur le fournisseur de services.
Les paramètres de l'onglet sont les suivants :
- nomNom du fournisseur de services. Ce nom est unique pour tous les domaines affiliés.
- ID de fournisseur de servicesSpécifie un URI qui identifie de façon univoque le fournisseur de services, comme sp.example.com.
- URL d'authentification: URL protégée utilisée par la fédération pour l'authentification des utilisateurs et pour la création d'une session lorsqu'une ressource protégée est demandée. Si le mode d'authentification est défini sur Local et qu'un utilisateur ne s'est pas connecté au niveau de l'entité générant des assertions, il sera dirigé vers cette URL.Cette adresse URL doit pointer vers le fichier redirect.jsp, sauf si vous sélectionnez la case à cocher Utiliser une URL sécurisée.Exemple : http://myserver.idpA.com/siteminderagent/redirectjsp/redirect.jspmyserveridentifie le serveur Web et le port hébergeant le pack d'options d'agent Web ou la passerelle de fédération. Le fichier redirect.jsp est inclus dans le pack d'options d'agent Web ou la passerelle de fédération installés au niveau de l'entité générant des assertions.Protégez l'URL d'authentification à l'aide d'une stratégie de contrôle d'accès. Configurez un schéma d'authentification, un domaine d'authentification et une règle pour la stratégie. Pour ajouter des attributs de référentiel de session à l'assertion, activez la case à cocher Conserver les variables de session d'authentification, qui constitue un paramètre dans le schéma d'authentification.
- casso1283ActifIndique si la configuration de fédération héritée est en cours d'utilisation pour un partenariat spécifique. Si le serveur de stratégies utilise la configuration de fédération héritée, confirmez que vous avez sélectionné cette case à cocher. Si vous avez recréé un partenariat fédéré avec des valeurs similaires pour les paramètres d'identité (ID de source, etc.) désactivez cette case à cocher avant d'activer le partenariat fédéré.SiteMinderne fonctionne pas avec les configurations héritées et les configurations de partenariat qui utilisent les mêmes valeurs d'identité, car cela entraîne un conflit de noms.
- ActivéActive le serveur de stratégies et les services Web de fédérations pour la prise en charge de l'authentification des ressources du fournisseur de services.
- Marge temporelleSpécifie le nombre de secondes, sous la forme d'un nombre entier positif, à ajouter et à soustraire de l'heure actuelle de l'horloge. Cet ajustement permet de prendre en charge les fournisseurs de services dont les horloges ne sont pas synchronisées avec celle du fournisseur d'identités. La marge temporelle et la durée de validité déterminent la méthode qu'emploie le serveur de stratégies pour calculer la durée de validité totale d'une assertion.Pour déterminer la validité de l'assertion, la marge temporelle est soustraite de l'heure de génération de l'assertion (IssueInstant), afin d'obtenir l'heure NotBefore. La marge temporelle est ensuite ajoutée à la durée de validité et à l'heure IssueInstant pour obtenir l'heure NotOnOrAfter. Les équations suivantes illustrent l'utilisation de la marge temporelle :
- Heure NotBefore = Heure IssueInstant - Marge temporelle
- Heure NotOnOrAfter = Durée de validité + Marge temporelle + Heure IssueInstant
- Version SAMLSpécifie la version SAML (désactivée ; la valeur est remplacée par défaut par 2.0, indiquant que les assertions envoyées à cet ID de fournisseur de services doivent être conformes à la version SAML 2.0).
- Description(Facultatif) Brève description du fournisseur de services.
- ID du fournisseur d'identitésSpécifie un URI qui identifie de façon univoque le fournisseur de services, comme idp.ca.com. Cette valeur d'URI devient la valeur du champ Emetteur dans l'assertion.
- URL de l'application(Facultatif) Identifie l'URL protégée pour une application Web personnalisée utilisée pour fournir des attributs d'utilisateur au service d'authentification unique. L'application peut être installée sur n'importe quel hôte de votre réseau.Les attributs de l'application Web spécifiés dans ce champ sont mis à la disposition du générateur d'assertions, puis placés dans l'assertion SAML par un module d'extension de générateur d'assertions. Vous créez le module d'extension et l'intégrez avecSiteMinder.L'application de services Web de fédérations fournit des exemples d'applications Web que vous pouvez utiliser comme référence pour votre application Web. Il s'agit des rôles suivants :http://serveur_fournisseur_identités:port/affwebservices/public/sample_application.jsphttp://serveur_fournisseur_identités:port/affwebservices/public/unsolicited_application.jspserveur_fournisseur_identités:portIdentifie le serveur Web et le port hébergeant le pack d'options d'agent Web ou la passerelle de fédération.
- Utiliser une URL sécuriséeIndique au service d'authentification unique qu'il doit chiffrer uniquement le paramètre de requête SMPORTALURL.Un paramètre SMPORTALURL chiffré empêche un utilisateur malveillant de modifier la valeur et de rediriger des utilisateurs authentifiés vers un site Web malveillant.Le paramètre SMPORTALURL est ajouté à l'URL d'authentification avant la redirection de l'utilisateur par le navigateur dans le cadre de l'ouverture d'une session. Une fois l'utilisateur authentifié, le navigateur dirige à nouveau l'utilisateur vers la destination spécifiée dans le paramètre de requête SMPORTALURL.Si vous sélectionnez la case Utiliser une URL sécurisée, procédez comme suit :1. Définissez le champ URL d'authentification sur l'URL suivante : http(s)://serveur_fournisseur_identités:port/affwebservices/secure/secureredirect.2. Protégez le service Web secureredirect à l'aide d'une stratégie.Si l'entité générant des assertions gère plusieurs partenaires de confiance, elle authentifie probablement des utilisateurs différents pour ces divers partenaires. Par conséquent, pour chaque URL d'authentification utilisant le service secureredirect, vous devez inclure ce service Web dans un domaine d'authentification différent pour chaque partenaire.Pour associer le service secureredirect à différents domaines, modifiez le fichier web.xml et créez des mappages de ressources différents. Ne copiez pas le service Web secureredirect dans différents emplacements de votre serveur. Recherchez le fichier web.xml sousrépertoire_installation_agent_Web/affwebservices/WEB-INF, oùrépertoire_installation_agent_Webest l'emplacement d'installation de l'agent Web.
- URL d'authentificationURL protégée utilisée par la fédération pour l'authentification des utilisateurs et pour la création d'une session lorsqu'une ressource protégée est demandée. Si le mode d'authentification est défini sur Local et qu'un utilisateur ne s'est pas connecté au niveau de l'entité générant des assertions, il sera dirigé vers cette URL.Cette adresse URL doit pointer vers le fichier redirect.jsp, sauf si vous sélectionnez la case à cocher Utiliser une URL sécurisée.Exemple : http:///siteminderagent/redirectjsp/redirect.jspmyserveridentifie le serveur Web et le port hébergeant le pack d'options d'agent Web ou la passerelle de fédération. Le fichier redirect.jsp est inclus dans le pack d'options d'agent Web ou la passerelle de fédération installés au niveau de l'entité générant des assertions.Protégez l'URL d'authentification à l'aide d'une stratégie de contrôle d'accès. Configurez un schéma d'authentification, un domaine d'authentification et une règle pour la stratégie. Pour ajouter des attributs de référentiel de session à l'assertion, activez la case à cocher Conserver les variables de session d'authentification, qui constitue un paramètre dans le schéma d'authentification.
Les paramètres généraux incluent également les sections suivantes :
- RestrictionsPermet de configurer l'adresse IP et les restrictions liées à l'heure de la stratégie de génération d'assertion pour le fournisseur de services.
- Heure
- DéfinirOuvre la boîte de dialogue Heure qui vous permet de configurer la disponibilité du partenaire de ressource. Lorsque vous ajoutez une restriction liée à l'heure, le fournisseur de services fonctionne uniquement pendant la période spécifiée.
- Effacer
- Adresses IP
- AjouterOuvre une boîte de dialogue Add IP Address (Ajouter une adresse IP) qui vous permet de créer une restriction liée à l'adresse IP.
- AvancéLa section Avancé vous permet de configurer les fonctionnalités suivantes :
- Module d'extension de générateur d'assertionsIdentifie un module d'extension de générateur d'assertions personnalisé qui est développé à l'aide de l'API de module d'extension de générateur d'assertions. Le module d'extension de générateur d'assertions est une fonctionnalité facultative.
- DélégationIdentifie le serveur proxy entre le client et le système sur lequel les services Web de fédérations s'exécutent, le cas échéant.
- Configuration d'authentification unique avancéeSpécifie des URL de redirection personnalisées pour les erreurs de statut HTTP.SiteMinderpeut rediriger l'utilisateur vers une page d'erreur personnalisée pour une action complémentaire. Les URL personnalisées sont facultatives.
Fournisseur de services SAML : Paramètres avancés
Paramètres du module d'extension de générateur d'assertions
La zone du module d'extension de générateur d'assertions inclut les paramètres suivants :
- Nom de classe Java completSpécifie le nom de classe Java complet du module d'extension de générateur d'assertions.
- ParamètresSi une valeur est saisie dans le champ Nom de classe Java complet, spécifie une chaîne de paramètres queSiteMindertransfère au module d'extension spécifié.
- Serveur proxyLorsque votre réseau a un serveur proxy entre le client et l'environnement d'exploitation de , spécifiez les parties de l'URL relatives au schéma et à l'autorité, commeprotocole:autorité. Le schéma est http ou https, et l'autorité // ou //hôte.domaine.com:port. Par exemple, http://exemple.ca.com.
Les services Web de fédérations sont disponibles sur un système comprenant le pack d'options d'agent Web ou la passerelle de fédération.
Fournisseur de services SAML - Configuration avancée de l'authentification unique
La section Configuration d'authentification unique avancée vous permet de configurer les fonctionnalités suivantes :
- Le contexte d'authentification demandé
- L'utilisation unique de l'assertion
- Les URL de redirection pour le traitement des erreurs
- L'utilisation de l'attribut SessionNotOnOrOAfter dans une assertion SAML
Cette boîte de dialogue inclut les paramètres suivants :
- Ignorer la propriété AuthnContext demandéeDétermine le traitement d'une transaction si le fournisseur de services inclut l'élément <RequestedAuthnContext> dans un message AuthnRequest lors de la demande d'assertion.Le termeContexte d'authentificationdécrit la méthode qu'utilise un utilisateur pour authentifier un fournisseur d'identités. Cet élément est une demande émanant du fournisseur de services indiquant ses besoins pour l'instruction AuthnContext que le fournisseur d'identités doit renvoyer dans la réponse d'assertion.Si la case est cochée, le fournisseur d'identités doit ignorer l'élément <RequestedAuthnContext> dans le message AuthnRequest que lui envoie le fournisseur de services. Les fédérations héritées ne prennent pas en charge l'utilisation de l'élément <RequestedAuthnContext> dans un message AuthnRequest, mais cocher cette case vous permet d'éviter l'échec de la transaction.Si cette case à cocher n'est pas sélectionnée (la valeur par défaut) et le message AuthnRequest entrant contient l'élément <RequestedAuthnContext>, un échec de la transaction se produit.
- Définir une condition OneTimeUseLe fournisseur de services doit utiliser l'assertion immédiatement et ne pas la conserver pour une utilisation ultérieure. L'assertion est uniquement destinée à une utilisation unique. Les informations d'une assertion peuvent changer ou expirer. La condition OneTimeUse permet donc de garantir que le fournisseur de services utilise une assertion contenant les dernières informations. Au lieu de réutiliser l'assertion, le fournisseur de services doit demander une nouvelle assertion auprès du fournisseur d'identités.
- Activer l'URL d'erreur de serveurActive une redirection d'erreur de serveur.
- URL de redirection d'erreur de serveur
Exemple : http://www.redirectmachine.com/error_pages/server_error.html - Activer l'URL de demande non valideActive une redirection en cas d'erreur de demande non valide.
- URL de redirection de demande non valide
Exemple : http://www.redirectmachine.com/error_pages/invalidreq_error.html - Activer l'URL d'accès non autoriséActive une redirection en cas d'accès non autorisé.
- URL de redirection d'accès non autorisé
Exemple : http://www.redirectmachine.com/error_pages/unauthorized_error.html
Champs de mode
Pour chaque URL, vous pouvez sélectionner un mode permettant au navigateur de rediriger l'utilisateur.
302 Aucune donnée
Permet de rediriger l'utilisateur à l'aide d'une redirection HTTP 302.
SiteMinder
renvoie l'utilisateur avec un cookie de session. SiteMinder
n'ajoute aucune information supplémentaire à l'URL de redirection.- HTTP POSTPermet de rediriger l'utilisateur à l'aide du protocole HTTP POST. Lorsque l'utilisateur est redirigé vers l'URL de page d'erreur personnalisée, les données suivantes sont ajoutées à l'URL de redirection, le cas échéant, et publiées dans la page d'erreur personnalisée :
- TARGET
- AUTHREASON
- CONSUMERURL
- SAMLRESPONSE
- IDPID
- SPID
- PROTOCOLBINDING
Durée de validité de session de fournisseur de services
Détermine l'utilisation de l'attribut SessionNotOnOrOAfter dans une assertion. Définissez cette valeur pour déterminer si le fournisseur d'identités ajoute l'attribut SessionNotOnOrOAfter à une assertion SAML.
Ce paramètre de configuration est disponible uniquement pour le fournisseur d'identités de
SiteMinder
. SiteMinder
indique au fournisseur d'identités la valeur qu'il définit pour le paramètre SessionNotOnOrAfter dans l'assertion. Le paramètre ne définit aucun délai d'expiration dans le fournisseur de services. Si
SiteMinder
est utilisé en tant que fournisseur de services, la valeur SessionNotOnOrAfter est ignorée. A la place, un fournisseur de services SiteMinder
définit des délais d'expiration de session en fonction du délai d'expiration de domaine. Le délai d'expiration de domaine correspond au schéma d'authentification SAML configuré qui protège la ressource cible.Options :
Utiliser la validité de l'assertion
Calcule la valeur de SessionNotOnOrAfter selon la durée de validité de l'assertion.
Ignorer
Indique au fournisseur d'identités de ne pas inclure le paramètre SessionNotOnOrAfter dans l'assertion.
Session de fournisseur d'identités
Calcule la valeur de SessionNotOnOrAfter selon le délai d'expiration de la session du fournisseur d'identités. Le délai d'expiration est configuré dans le domaine d'authentification du fournisseur d'identités pour l'URL d'authentification. Cette option permet de synchroniser les valeurs d'expiration de sessions du fournisseur d'identités et du fournisseur de services.
Personnalisé
Vous permet de spécifier une valeur personnalisée pour le paramètre SessionNotOnOrAfter dans l'assertion. Si vous sélectionnez cette option, entrez une heure dans le champ Durée de session d'assertion personnalisée (en minutes).
Durée de session d'assertion personnalisée (en minutes)
Spécifie la durée en minutes définie pour le paramètre SessionNotOnOrAfter dans l'assertion. Si l'attribut se trouve dans l'assertion, ce paramètre détermine la durée de la session entre l'utilisateur et le fournisseur d'identités. Configurez une durée qui convient à votre environnement.