Sommaire    

Attributs du service SAML

Les attributs du service SAML (Security Assertion Markup Language) sont des attributs globaux. Les valeurs qui leur sont affectées s'appliquent à la totalité de la configuration de Sun Java System Access Manager et sont transmises à chaque organisation configurée. (Elles ne peuvent pas être affectées directement aux rôles ou aux organisations dans la mesure où les attributs globaux ont pour finalité de personnaliser le serveur Access Manager.)

Pour plus d'informations sur l'architecture du service SAML, reportez-vous au manuel Access Manager Developer’s Guide.

Les attributs SAML sont les suivants :

ID et nom de l'émetteur du site

Cet attribut contient une liste d’entrées, chacune contenant un ID d’instance, un ID de site et le nom de l’émetteur du site. Une valeur par défaut sera affectée pendant l’installation. Le format est le suivant :

idinstance=protocoleserveur://nomserveur:numéroport|idsite=id_site|nomEmetteu r=nom_émetteur_site

Après avoir défini cet attribut pour le protocole SSL (dans les sites source et de destination), assurez-vous que le protocole instanceid est HTTPS//.

Signer la demande SAML

Cet attribut indique si toutes les requêtes SAML seront signées numériquement (XML DSIG) avant d'être envoyées. Cliquez sur cette option pour l'activer.

Signer la réponse SAML

Cet attribut indique si toutes les réponses SAML seront signées numériquement (XML DSIG) avant d'être envoyées. Cliquez sur cette option pour l'activer.

Toutes les réponses SAML utilisées par le profil Web SAML de type Post reçoivent une signature numérique, que l'option soit activée ou non.

Signer l'assertion

Cet attribut indique si toutes les assertions SAML seront signées numériquement (XML DSIG) avant d'être envoyées. Cliquez sur cette option pour l'activer.

Nom d'artéfact SAML

Cet attribut affecte un nom de variable à un artéfact SAML défini dans la configuration de service SAML. Un artéfact SAML se compose de données limitées en taille permettant d'identifier une assertion, ainsi qu'un site source. Il est transporté comme partie intégrante d'une chaîne de requête URL, puis est redirigé vers le site de destination. La valeur par défaut est SAMLart. Par exemple, avec la configuration de service SAMLart par défaut, la chaîne de requête de redirection pourrait être la suivante :

http:/host:port/deploy_URI/SamlAwareServlet?TARGET=http://URL/&SAMLart=artifact 123

Indicateur cible

Cet attribut affecte un nom de variable à l’URL du site de destination utilisée dans la redirection. La valeur par défaut est Cible.

Délai d’artéfact

Cet attribut définit le délai d'attente d'une assertion ayant été créée pour un artéfact. La valeur par défaut est 400.

Facteur d'inclinaison de l'assertion pour le temps notBefore

Cet attribut permet de calculer la durée notBefore d'une assertion. Par exemple, si la valeur IssueInstant correspond à 2002-09024T21:39:49Z et que la valeur notBefore du facteur d'inclinaison de l'assertion soit de 300 secondes (la valeur par défaut étant de 180), l'attribut notBefore de l'élément des conditions de l'assertion est 2002-09-24T21:34:49Z.

Délai d'assertion

Cet attribut définit le nombre de secondes avant l'expiration de l'assertion. La valeur par défaut est 420.


Remarque

La durée totale valide d'une assertion est déterminée par les valeurs définies dans les attributs Facteur d'inclinaison de l'assertion pour la durée notBefore et Délai d'assertion.


Sites partenaires sécurisés

Cet attribut stocke les informations d’un partenaire, ce qui permet à un site d’établir une relation de confiance pour communiquer avec un autre site partenaire.

L’attribut contient une liste d’entrées, chacune d’elle contenant des paires clé/valeur (séparées par le signe « | »). L’ID source est obligatoire pour chaque entrée. Par exemple :

SourceID=siteid|SOAPURL=https://servername:portnumber/amserver/SAMLSOAPRec eiver|AuthType=SSL|hostlist=ipaddress (ou , nom DNS du serveur ou alias cert)

Les paramètres sont les suivants :

Tableau 0-1  Sites des partenaires approuvés

 

 

SourceID

Chaîne de 20 octets définie dans les champs ID site et Nom de l'émetteur du site.

cible

Ce paramètre est défini dans un domaine spécifique, avec ou sans numéro de port. Si vous souhaitez consulter une page Web dans ce domaine spécifique, cible indique la redirection vers une URL définie par les paramètres UrlSAML ou UrlPOST en vue d’un traitement ultérieur.

Si l’attribut comporte deux entrées (l’une contenant un numéro de port, l’autre n’en contenant pas) ayant le même domaine spécifié dans l’attribut Sites partenaires sécurisés, l’entrée comportant le numéro de port prévaut.

Par exemple, si vous avez les deux définitions de sites partenaires sécurisés suivantes :

cible=sun.com|UrlSAML=http://machine1.sun.com:8080/serveuram/ServletSAMLAware

et

cible=sun.com:8080|UrlSAML=httyp://machine2.sun.com:80/serveuram/ServletSAMLAware

et que vous recherchiez la page suivante :

http://machineuntel.sun.com:8080/index.html

la seconde définition sera choisie comme fournisseur de services SAML du fait que le domaine et le port correspondants coexistent dans le paramètre cible.

UrlSAML

Définit l’URL qui fournit le service POST. Le servlet spécifié dans l’URL met en uvre le profil SSO navigateur Web avec artéfact qui est défini dans la spécification des liaisons et profils OASIS-SAML.

UrlPOST

Définit l’URL qui fournit le service POST. Le servlet spécifié dans cette URL met en uvre le profil SSO navigateur Web avec POST qui est défini dans la spécification des liaisons et profils OASIS-SAML.

émetteur

Définit le créateur d’une assertion générée dans Access Manager. La syntaxe est nomhôte:port.

UrlSOAP

Indique l'URL du service de réception SOAP.

AuthType

Détermine le type d'authentification utilisé avec le standard SAML. Les différents types possibles sont :

  • NOAUTH
  • BASICAUTH
  • SSL
  • SSLWITHBASICAUTH

Ce paramètre est facultatif. Si aucun paramètre n'est spécifié, la valeur par défaut est NOAUTH.

Si BASICAUTH ou SSLWITHBASICAUTH est sélectionné, le paramètre User est requis et l'URL SOAPUrl doit être de type HTTPS.

Utilisateur

Indique l'ID utilisateur du partenaire utilisé pour protéger le récepteur SOAP du partenaire.

version

Définit la version SAML utilisée pour envoyer une requête SAML. Indiquez soit 1.0 soit 1.1 pour la version SAML. Si ce paramètre n'est pas défini, les valeurs par défaut suivantes extraites de AMConfig.properties sont utilisées :

com.example.identity.saml.asertion.version-1.1

com.example.identity.saml.protocol.version=1.1

hostlist

Cet attribut répertorie les adresses IP et/ou le nom certAlias de la totalité des hôtes (du site partenaire spécifié) pouvant envoyer des demandes à ce site. Cela assure que le demandeur est bien le destinataire voulu pour l’artéfact SAML.

Si l'hôte ou le certificat client du demandeur figure dans cette liste dans le site du destinataire, le service continue. Si l'hôte ou le certificat client du demandeur ne correspond à aucun des hôtes ou des certificats figurant dans la liste des hôtes, le service SAML rejettera la requête.

AccountMapper

Indique une classe enfichable qui définit comment l’objet d’une assertion est lié à une identité sur le site de destination. Par défaut, il s’agit de :

com.sun.identity.saml.plugins.DefaultAccountMa pper

attributeMapper

Indique la classe attributeMapper ainsi que son chemin d'accès. Les applications peuvent développer un mappeur attributeMapper pour obtenir un ID de jeton SSO ou une assertion comprenant la commande AuthenticationStatement à partir de la requête. Le mappeur est ensuite utilisé pour extraire les attributs de l'objet. Si aucun attributeMapper n'est spécifié, la valeur DefaultAttributeMapper est utilisée.

actionMapper

Indique la classe actionMapper ainsi que son chemin d'accès. Les applications peuvent développer un mappeur actionMapper pour obtenir un ID de jeton SSO ou une assertion comprenant la commande AuthenticationStatement à partir de la requête. Le mappeur est ensuite utilisé pour extraire les autorisations relatives aux actions définies dans la requête. Si aucun mappeur actionMapper n'est spécifié, la valeur DefaultActionMapper est utilisée.

siteAttributeMapper

Indique la classe siteAttributeMapper, ainsi que son chemin d'accès. Les applications peuvent développer un mappeur siteAttributeMapper pour obtenir les attributs à inclure dans l'assertion lors de l'accès SSO. Si aucun mappeur siteAttributeMapper n'est trouvé, aucun attribut ne sera inclus dans l'assertion lors de l'accès SSO.

certAlias=aliasName

Indique un nom certAlias utilisé pour vérifier la signature d'une assertion, lorsque cette dernière a été signée par un partenaire et que son certificat est introuvable dans la section KeyInfo de l'assertion signée.

Le tableau ci-dessous répertorie une configuration type pour les sites partenaires sécurisés. Tous les paramètres n’étant pas nécessaires pour tous les cas de figure, les paramètres facultatifs sont présentés entre crochets.

 

Expéditeur

Destinataire

 

 

 

Artéfact

idsource

idsource

 

cible

UrlSOAP

 

UrlSAML

[accountMapper]

 

hostlist

[AuthType]

 

[siteAttributeMapper]

[User]

 

 

[certAlias]

 

 

 

Profil POST

idsource

idsource

 

cible

émetteur

 

UrlPOST

[accountMapper]

 

[siteAttributeMapper]

[certAlias]

 

 

 

Demande SOAP

 

idsource

 

 

hostlist

 

 

[attributeMapper]

 

 

[actionMapper]

 

 

[certAlias]

 

 

[émetteur]

 

 

 

Transport POST vers des URL cible

Si l'URL cible reçue par le site via un accès SSO (profil de type artéfact ou POST) est répertoriée dans cet attribut, la ou les assertions reçues par l'intermédiaire de l'accès SSO seront envoyées vers l'URL cible via http: FORM POST. Évitez d'utiliser des URL de test ou toute autre URL supplémentaire.


Sommaire