Sommaire
|
Profil Fournisseur
Le profil fournisseur vous permet de modifier tout attribut affiché ; cependant, certains attributs ne sont affichés que pour des types de fournisseurs spécifiques. Les champs d'attributs proposés sont les suivants :
- Attributs communs - Commun à tous les fournisseurs
- URL de communication - Commun à tous les fournisseurs
- Profils de communication - Commun à tous les fournisseurs
- Domaines d'authentification - Commun à tous les fournisseurs
- Fournisseur de services - Affiché uniquement pour les fournisseurs de services, distants ou centraux.
- Configuration d'Access Manager - Affiché uniquement pour les fournisseurs de services et d'identités centraux.
- Attributs SAML - Affiché uniquement pour les fournisseurs de services et d'identités centraux.
- Configuration de l'authentification de proxy - Affiché uniquement pour les fournisseurs d'identités.
- Organisation - Commun à tous les fournisseurs
- Contacts de fournisseur - Commun à tous les fournisseurs
Attributs communs
Valide jusqu'au : ce champ permet d’entrer la date d’expiration des métadonnées relatives au fournisseur. Utilisez le format suivant :
jj-mm-aaaa hh:mm:ss.SZ
Par exemple, 31-12-2004 12:30:00.0-0800
Durée de la mémoire cache : ce champ définit la durée pendant laquelle les métadonnées doivent être placées dans la mémoire cache. Le format utilisé est xs:durée .
Énumération des protocoles pris en charge : ce champ définit la version de protocole prise en charge par l'entité. urn:liberty:iff:2003-08 fait référence à Identity Federation Framework (ID-FF) 1.2 et urn:liberty:iff:2002-12 désigne Federation Identity Framework (ID-FF) 1.1.
Liaison de mappage de l'identificateur du nom de serveur : ce champ définit la liaison de l’autorité SAML au niveau du fournisseur d’identités vers lequel les requêtes de mappage sont envoyées.
Méta-emplacements supplémentaires. ce champ indique l’emplacement d’autres métadonnées pertinentes concernant le fournisseur.
Alias de la clé de signature : ce champ définit l'alias de la clé de certificat de signature utilisé pour signer les demandes et les réponses Pour un fournisseur distant, c'est une clé publique utilisée par le fournisseur pour vérifier les signatures.
Alias de la clé de chiffrement : ce champ définit l'alias du certificat de sécurité. Les certificats sont stockés dans le fichier de clés JKS à côté d’un alias. Cet alias (la clé de sécurité) permet de rechercher le certificat requis.
Taille de la clé de chiffrement : ce champ limite la longueur des clés utilisées par l'utilisateur lorsqu'il interagit avec une autre entité.
Méthode de clé de chiffrement du fournisseur : ce champ définit les URI des préférences de chiffrement.
URL de communication
URL d'arrivée du SOAP : ce champ indique l'emplacement du destinataire des demandes SOAP. Il sert à communiquer sur le canal arrière (communication hors navigateur) via le SOAP.
URL du service de connexion unique (SSO) : elle est utilisée par un fournisseur d'identités pour envoyer et recevoir des demandes de connexion unique.
URL du service de déconnexion unique : l'URL du service de déconnexion unique permet à un fournisseur de services ou à un fournisseur d'identités d'envoyer et de recevoir des demandes de déconnexion.
URL de retour de déconnexion unique : ce champ indique l'URL vers lequel les demandes de déconnexion sont réacheminées une fois traitées.
URL du service d'interruption de la fédération : ce champ indique l'URL vers lequel sont envoyées les demandes d'interruption de la fédération.
URL de retour d'interruption de la fédération : ce champ indique l'URL vers lequel les demandes d'interruption de la fédération sont réacheminées une fois traitées.
URL de service d'enregistrement du nom : ce champ utilise le protocole d'enregistrement de nom dont se sert le fournisseur de services pour enregistrer son propre identificateur de nom pendant qu'il communique avec un fournisseur d'identités. L'enregistrement a lieu uniquement une fois qu'une session de fédération a été établie. Ce champ définit l'URL de service utilisée par un fournisseur de services pour enregistrer un identificateur de nom auprès d'un fournisseur d'identités.
URL de retour d'enregistrement du nom : ce champ utilise le protocole d'enregistrement de nom dont se sert le fournisseur de services pour enregistrer son propre identificateur de nom pendant qu'il communique avec un fournisseur d'identités. L'enregistrement a lieu uniquement une fois qu'une session de fédération a été établie. L'URL de retour du service d'enregistrement de nom est l'URL vers laquelle le fournisseur d'identités renvoie le statut de l'enregistrement.
Profils de communication
Profil d'interruption de la fédération : vous avez le choix entre SOAP et Redirection HTTP. Ce champ indique quel profil (SOAP ou Redirection HTTP) servira à signaler l’interruption de la fédération. Il peut être modifié à tout moment de la vie du fournisseur.
Profil de déconnexion unique : vous avez le choix entre SOAP et Redirection HTTP. Ce champ indique quel profil (SOAP ou Redirection HTTP) sera utilisé pour signaler un événement de déconnexion. Il peut être modifié à tout moment de la vie du fournisseur.
Profil d'enregistrement du nom :vous avez le choix entre SOAP et Redirection HTTP. Ce champ indique le profil (SOAP ou Redirection HTTP) utilisé pour l'enregistrement du nom. Il peut être modifié à tout moment de la vie du fournisseur.
Profil de notification d'interruption de la relation : ce champ contient un URI qui décrit les profils pris en charge par l'entité pour l'interruption de la relation.
Profil de la fédération/connexion unique : ce champ précise le profil utilisé par le fournisseur central pour envoyer des demandes d’authentification. Access Manager propose les protocoles suivants :
Domaines d'authentification
Utilisez les flèches de direction pour déplacer un domaine d’authentification sélectionné vers la liste Disponible. Cliquez sur Enregistrer. Le fournisseur se voit alors affecté au domaine d’authentification. Un fournisseur peut appartenir à un ou plusieurs domaines d’authentification ; toutefois, si aucun domaine d’authentification ne lui est associé, le fournisseur ne peut pas participer aux communications Liberty. Cliquez sur Enregistrer.
Fournisseur de services
Les attributs suivants ne s'affichent que pour un fournisseur de services :
URL de consommateur d'assertion : ce champ définit l'extrémité vers laquelle un fournisseur enverra des assertions SAML.
ID d'URL du service consommateur d'assertion : cet ID est requis si le numéro électronique de la prise en charge du protocole correspond à urn:liberty:iff:2002-12.
L'URL du service consommateur d'assertion est par défaut : cette option définit l'URL de consommateur d'assertion comme valeur par défaut.
Signer la demande d'authentification : cette option, si elle est activée, indique que le fournisseur envoie des demandes d'authentification et de fédération signées. Le fournisseur d’identités ne traitera pas les demandes non signées provenant du fournisseur de services.
Enregistrement du nom après la fédération : lorsqu'elle est activée, cette option permet à un fournisseur de services de participer à l'enregistrement du nom après la fédération. L'enregistrement du nom est un profil qui permet aux fournisseurs de services d'indiquer, pour une entité principale, l'identificateur de nom qu'un fournisseur d'identités utilisera pour communiquer avec le fournisseur de services.
Stratégie d'ID de nom : cette valeur d'attribut fait partie de la demande d'authentification. Elle détermine le format de l'identificateur de nom généré par le fournisseur d'identités. Par exemple, si la valeur de la stratégie d'ID de nom est federated, le format de l'identificateur de nom est urn:liberty:iff:2003:federated.
Activez le codage de l'identificateur : cet attribut permet qu'une variable indique le codage de l'identificateur de nom lors du mappage de l'ID de nom.
Configuration d'Access Manager
Les attributs suivants ne s'affichent que si le fournisseur est un fournisseur central (local).
URL fournisseur : ce champ définit l’URL du fournisseur local.
Alias : ce champ permet d’entrer un nom d’alias pour le fournisseur local.
Type d'authentification. Distant/Local : ce champ indique si le fournisseur central doit contacter un fournisseur d’identités pour l'authentification lorsqu'il reçoit une demande d’authentification (Distant) ou si l’authentification doit être effectuée par le fournisseur central lui-même (Local).
Contexte d'authentification par défaut : ce champ indique le contexte d’authentification à utiliser si le fournisseur d’identités n'en reçoit pas dans le cadre d’une demande du fournisseur de services. Il précise également le contexte d’authentification utilisé par le fournisseur de services lorsqu’un utilisateur inconnu tente d’accéder à des ressources protégées. Les valeurs par défaut sont les suivantes :
- Session précédente
- Jeton temps-sync
- Carte à puce
- Mobile non enregistré
- Carte à puce PKI
- Contrat mobile
- Mot de passe
- Transport protégé par mot de passe
- ID numérique mobile
- Logiciel PKI
Authentification forcée au niveau du fournisseur d'identités : cette option indique si le fournisseur d'identités doit se ré-authentifier (même pendant une session en direct) lorsqu'il reçoit une demande d'authentification.
Demander que le fournisseur d'identités soit passif : si cette option est sélectionnée, le fournisseur d'identités n'interagit pas avec l'entité principale, mais avec l'utilisateur.
DN organisation : ce champ indique l'emplacement de stockage du DN de l'organisation si chaque fournisseur central choisit de gérer les utilisateurs de plusieurs organisations, c'est-à-dire selon un modèle central.
URI version Liberty : ce champ indique la version de la spécification Liberty.
Mise en uvre de l'identificateur de nom : ce champ autorise un fournisseur de services à participer à l'enregistrement du nom. L'enregistrement du nom est un profil qui permet aux fournisseurs de services d'indiquer, pour une entité principale, l'identificateur de nom qu'un fournisseur d'identités utilisera pour communiquer avec le fournisseur de services.
URL de page d'accueil fournisseur : ce champ fait référence à la page d'accueil du fournisseur.
URL de redirection en cas d'échec de connexion unique : ce champ fait référence à la page d'accueil du fournisseur.
Génération d'une offre de ressources de détection pour l'amorçage : lorsque cette option est activée, les données d'offre de ressources du service de détection pour l'amorçage sont générées au cours du processus de connexion unique ID-FF1.2 pour les fournisseurs d'identités centraux (locaux). Cependant, ces données ne sont pas toujours requises (par exemple, dans le cas d'un déploiement de fédération de services non Web). Si l'option est désactivée, les données ne sont pas générées et les performances d'Access Manager en sont améliorées. Par défaut, cette option est activée.
Attributs SAML
Les attributs suivants ne s'affichent que si le fournisseur est un fournisseur central (local).
Intervalle d'assertion : ce champ indique l'intervalle de validité de l'assertion émise par un fournisseur d'identités. Une entité principale demeure authentifiée par le fournisseur d’identités jusqu’à ce que l’intervalle d’assertion arrive à expiration.
Intervalle de nettoyage : ce champ indique la fréquence de suppression des assertions stockées dans le fournisseur d'identités.
Délai d'artéfact : ce champ indique le délai dont dispose un fournisseur d'identités pour les artéfacts d'assertion.
Limite d'assertion : ce champ indique le nombre d'assertions que peut émettre un fournisseur d'identités ou qui peuvent être stockées.
Configuration de l'authentification de proxy
Les attributs suivants ne s'affichent pas pour les fournisseurs d'identités centraux (locaux).
Activer l'authentification de proxy : lorsqu'il est sélectionné, cet attribut active l'authentification de proxy pour un fournisseur de services.
Liste des fournisseurs d'identités proxy : cet attribut affiche la liste des fournisseurs d'identités qui peuvent être utilisés comme proxy pour l'authentification.
Nombre max. de serveurs proxy : cet attribut indique le nombre maximum de serveurs proxy de fournisseur d'identités.
Utiliser un cookie d'introduction pour la création de proxys : si elles sont activées, les introductions sont utilisées pour rechercher le fournisseur d'identités pour la création de proxys.
Organisation
Contacts de fournisseur
Cliquez sur le bouton Nouveau pour ajouter un contact et modifier les champs suivants :
Prénom. prénom du contact.
Nom : nom du contact.
Type : type de contact. Les différents types possibles sont :
- Technique
- Administration
- Facturation
- Autre
Société : nom de la société du contact.
Identificateur principal Liberty : nom de l'identificateur désignant une instance en ligne du profil d'informations personnelles (PIP) du contact.
Adresse électronique : adresse électronique du contact.
Téléphone : numéro de téléphone du contact.
Sommaire |