Schéma d'authentification WS-Federation : Paramètres avancés
La section Avancé permet de configurer le module d'extension de consommateur d'extension de messages. Vous pouvez également configurer des URL de redirection facultatives pour les erreurs de traitement d'assertion lors de l'authentification.
casso1283
La section Avancé permet de configurer le module d'extension de consommateur d'extension de messages. Vous pouvez également configurer des URL de redirection facultatives pour les erreurs de traitement d'assertion lors de l'authentification.
Cette section contient les paramètres suivants :
Module d'extension de consommateur de messages
Nom de classe Java complet
(Facultatif) Permet de spécifier le nom de classe Java complet d'une classe qui implémente une interface de module d'extension de consommateur de messages pour le schéma d'authentification.
- ParamètrePermet de spécifier une chaîne de paramètres que l'API transfère au module d'extension spécifié. Le champ Paramètre est pertinent uniquement si vous saisissez une valeur dans le champ Nom de classe Java complet.
URL et modes de redirection selon le statut
L'authentification basée sur une assertion peut échouer à l'emplacement consommant des assertions pour diverses raisons. Si un échec se produit lors de l'authentification,
SiteMinder
fournit une fonctionnalité permettant de diriger l'utilisateur vers différentes applications (URL) pour un traitement plus approfondi. Par exemple, lorsqu'une résolution d'ambigüité d'utilisateur échoue, SiteMinder
peut rediriger celui-ci vers un système de provisionnement. Ce système de provisionnement peut créer un compte d'utilisateur basé sur les informations présentes dans l'assertion SAML.Remarque :
La redirection des erreurs a lieu uniquement lorsque le système peut analyser la demande et dispose des informations nécessaires pour identifier les partenaires générant des assertions et les partenaires de confiance.Les options suivantes permettent de rediriger l'utilisateur vers une URL configurée en fonction de la condition ayant entraîné l'échec.
URL en cas d'utilisateur introuvable
(Facultatif) Permet d'identifier l'URL vers laquelle
SiteMinder
redirige l'utilisateur lorsqu'il est introuvable. L'état d'utilisateur introuvable s'applique lorsque le message d'authentification unique ou l'annuaire d'utilisateurs ne contient pas d'ID de connexion.- URL de message d'authentification unique non valide(Facultatif) Permet d'identifier l'URL vers laquelleSiteMinderredirige l'utilisateur sous l'une des conditions suivantes :
- Selon les règles spécifiées par les schémas SAML, le message d'authentification unique n'est pas valide.
- Le consommateur requiert une assertion chiffrée, or le message d'authentification unique n'en contient pas.
- URL des informations d'identification d'utilisateur refusées (message d'authentification unique)(Facultatif) Permet d'identifier l'URL de redirection pour toutes les conditions d'erreur différentes de celles en cas d'utilisateur introuvable ou de message d'authentification unique non valide. L'assertion est valide, maisSiteMindern'accepte pas le message par exemple dans les cas suivants :
- Echec de la validation de signature numérique XML
- Echec du déchiffrement XML
- Echec de la validation XML de conditions, par exemple expiration d'un message ou non correspondance d'audience
- Aucune instruction d'authentification contenue dans les assertions du message d'authentification unique
Mode
Spécifie la méthode utilisée par
SiteMinder
pour rediriger l'utilisateur vers l'URL de redirection. Les options sont :- 302 Aucune donnée (valeur par défaut)Permet de rediriger l'utilisateur à l'aide d'une redirection HTTP 302 contenant un cookie de session, mais aucune autre donnée.
- HTTP POSTPermet de rediriger l'utilisateur à l'aide d'un protocole HTTP POST.