Schéma d'authentification WS-Federation : Profils SAML
La page contient les champs suivants :
casso1283
HID_wsfed-auth-scheme-saml-profiles
La page contient les champs suivants :
- Mode de redirectionIndique la méthode utilisée par le partenaire de ressource pour rediriger l'utilisateur vers la ressource cible. Si vous sélectionnez 302 Aucune donnée ou 302 Données de cookie, aucune autre configuration n'est requise. Si vous sélectionnez Redirection à partir du serveur ou Conserver les attributs, une configuration supplémentaire est requise.
- 302 Aucune donnée(Option par défaut) Indique qu'une redirection 302 redirige l'utilisateur vers la cible avec un cookie de session, mais aucune autre donnée.
- 302 Données de cookieIndique qu'une redirection 302 HTTP redirige l'utilisateur vers la cible avec un cookie de session et des données de cookie supplémentaires pour le partenaire de ressource.
- casso1283Redirection à partir du serveurPermet de transmettre les informations d'attribut d'en-tête et de cookie reçues dans l'assertion vers l'application cible personnalisée. Le service de consommateur d'assertions SAML 2.0 ou le service de consommateur de jetons de sécurité WS-Federation collecte les informations d'identification de l'utilisateur, puis transfère l'utilisateur vers l'URL de l'application cible à l'aide de la redirection côté serveur. Les redirections côté serveur appartiennent à la spécification de servlets Java. Tous les conteneurs de servlets conformes aux normes prennent en charge les redirections côté serveur.Pour utiliser ce mode, suivez les indications suivantes :
- L'URL spécifiée pour ce mode doit être relative au contexte du servlet qui consomme l'assertion, en règle générale /affwebservices/public/. La racine du contexte correspond à la racine de l'application des services Web de fédérations, en règle générale : /affwebservices/.Tous les fichiers de l'application cible doivent être placés dans le répertoire racine de l'application. Il peut s'agir de l'un des répertoires suivants :- Agent Web :web_agent_home\webagent\affwebservices—Access Gateway:sps_home\secure-proxy\Tomcat\webapps\affwebservices
- Pour protéger des ressources cibles, définissez des domaines, des règles et des stratégies. Dans le filtre de ressources, la définition des domaines doit au moins contenir la valeur /affwebservices/.
- Sur le serveur exécutant l'application Services Web de fédérations, installez une application Java ou JSP personnalisée. Les services Web de fédérations sont installés avec le pack d'options d'agent Web ouAccess Gateway.La technologie de servlet Java autorise les applications à transférer des informations entre deux demandes de ressource à l'aide de la méthode setAttribute de l'interface ServletRequest.Avant de rediriger l'utilisateur vers la cible, le service qui consomme des assertions envoie l'attribut d'utilisateur à l'application cible. Il envoie les attributs en créant un objet java.util.HashMap. Netegrity.AttributeInfo est l'attribut contenant la table d'hachage d'attributs SAML.Le service qui consomme des assertions transfère deux autres attributs Java.lang.String à l'application personnalisée :- L'attribut Netegrity.smSessionID représente l'ID de sessionSiteMinder.- L'attribut Netegrity.userDN représente le nom unique de l'utilisateurSiteMinder.L'application cible personnalisée lit ces objets à partir de la demande HTTP et utilise les données présentes dans les objets de la table d'hachage.
- Conserver les attributsIndique qu'une redirection 302 redirige l'utilisateur vers la cible avec un cookie de session, mais aucune autre donnée. En outre, ce mode charge le serveur de stratégies de stocker des attributs extraits d'une assertion dans le référentiel de sessions de sorte à pouvoir les indiquer comme variables d'en-tête HTTP. Pour obtenir des informations de configuration supplémentaires, consultez les instructions sur l'utilisation des attributs SAML en tant qu'en-têtes HTTP.casso1283Si vous sélectionnez Conserver les attributs et que l'assertion contient des attributs vides, la valeur NULL sera inscrite dans le référentiel de sessions. Cette valeur sert d'espace réservé à l'attribut vide. Elle est transférée à une application utilisant l'attribut.
- Ciblepermet de spécifier l'URI de ressource cible au niveau du site de destination du fournisseur de services.
- Appliquer la stratégie d'utilisation uniquePermet d'appliquer l'utilisation unique d'une stratégie. Cette option permet d'éviter que des assertions soient réutilisées au niveau d'un partenaire de ressource pour établir une deuxième session.
La section de déconnexion permet de configurer la méthode utilisée par le partenaire de ressource pour répondre à une demande de déconnexion.
Voici les paramètres inclus dans cette section :
- Enable SignoutJava.lang.String attributes (activer les attributs SignoutJava.lang.String)Permet d'activer la déconnexion de WS-Federation.
- URL de déconnexionPermet de spécifier l'URL du servlet de déconnexion au niveau du partenaire de compte. Il est recommandé de saisir L'URL par défaut :https://<ap_service:port>/affwebservices/public/wsfeddispatcherLe service WSFedDispatcher reçoit tous les messages WS-Federation entrants et transmet le traitement des demandes au service approprié en fonction des données de paramètre de requête. Même en cas de disponibilité d'un service wsfedsignout, utilisez l'URL de wsfeddispatcher pour l'URL de déconnexion.
La section Résolution d'ambigüité d'utilisateur définit la méthode utilisée pour obtenir des informations d'utilisateur à partir d'une assertion dans un message <RequestSecurityTokenResponse> entrant.
L'onglet contient les champs et commandes suivants :
Résolution d'ambigüité d'utilisateur
- Requête XPathPermet de spécifier une requête XPath. La requête XPath indique au schéma d'authentification l'emplacement d'une entrée dans l'assertion, qui est ensuite utilisée en tant qu'ID de connexion de l'utilisateur. La valeur obtenue par la requête fait alors partie de la spécification de recherche d'une entrée du référentiel d'utilisateurs.Si aucune n'est configurée, la requête XPath par défaut utilisée sera la suivante :/Assertion/Subject/NameID/text()Xpath queries must not contain namespace prefixes. The following is an invalid Xpath query:/saml:Response/saml:Assertion/saml:AuthenticationStatement/saml:Subject/saml:NameIdentifier/text()The valid Xpath query is://Response/Assertion/AuthenticationStatement/Subject/NameIdentifier/text()ExemplePour obtenir l'attribut FirstName à partir de l'assertion à des fins d'authentification, utilisez la requête XPath :/Assertion/AttributeStatement/Attribute[@Name=”FirstName”]/AttributeValue/text()
- Recherche d'utilisateurAffiche des types d'espace de noms dans lesquels vous pouvez entrer un critère afin de rechercher l'enregistrement d'un utilisateur dans un annuaire d'utilisateurs. Pour un espace de noms non répertorié, utilisez le champ Personnalisé.Entrez des critères de recherche pour le type de référentiel d'utilisateurs que vous utilisez. Les critères de recherche associent un attribut de référentiel d'utilisateurs et la valeur identifiée par la requête XPath. Le schéma d'authentification utilise les critères de recherche pour localiser un enregistrement d'utilisateur dans le référentiel d'utilisateurs.Utilisez %s pour représenter la valeur de l'ID de connexion.Par exemple, l'ID de connexion est user1. Si vous spécifiez Username=%s dans le champ Critères de recherche, la chaîne résultante sera Username=user1. Cette chaîne est comparée aux enregistrements de l'annuaire d'utilisateurs afin de récupérer l'enregistrement approprié pour l'authentification.Vous pouvez également spécifier des filtres avec plusieurs variables %s. Exemple :|(uid=%s)(email=%[email protected])|(abcAliasName=%s)(cn=%s)Résultats :|(uid=user1)([email protected])|(abcAliasName=user1)(cn=user1)