Paramètres de configuration des connexions authentifiées via SAML

Pour activer une règle de connexion pour l'authentification via SAML, vous devez définir les paramètres suivants dans la section de métadonnées de la règle, du mappage de règle ou du mappage par défaut.

SSO_SAML20_IDP

Nom unique du fournisseur d'identité, par exemple, IdpName. Ces métadonnées activent la règle pour l'authentification via SAML et permettent de localiser les paramètres de fournisseur d'identité. Ces métadonnées sont nécessaires pour prendre en charge l'authentification via SAML. Voir l'exemple suivant :

<meta-data>
	<name>SSO_SAML20_IDP</name>
	<value>IdpName</value>
</meta-data>

Important : Pour les paramètres restants, IdpName fait référence au nom du fournisseur d'identité que vous avez spécifié au paramètre SSO_SAML20_IDP.

IdpName.IDP_HOST

Nom d'hôte ou adresse IP du fournisseur d'identité. Ce paramètre est obligatoire. Voir l'exemple suivant :

<meta-data>
	<name>IdpName.IDP_HOST</name>
	<value>www.mytfim.org</value>
</meta-data>

IdpName.IDP_PROTOCOL

Ce paramètre définit le mode de connexion du fournisseur d'identité. Les deux valeurs possibles pour ce paramètre sont http ou https. Voir l'exemple suivant :

<meta-data>
	<name>IdpName.IDP_PROTOCOL</name>
	<value>https</value>
</meta-data>

IdpName.IDP_PORT

Ce paramètre définit le port TCP qui est utilisé pour la connexion du fournisseur d'identité. La valeur par défaut est 80. Voir l'exemple suivant :

<meta-data>
	<name>IdpName.IDP_PORT</name>
	<value>9443</value>
</meta-data>

IdpName.IDP_URI

URI du service de fournisseur d'identité auquel l'authentification via SAML est soumis. Si ce paramètre de métadonnées n'est pas défini, la connexion utilise l'URI par défaut /SAML2/SSO/POST. Voir l'exemple suivant :

<meta-data>
	<name>IdpName.IDP_URI</name>
	<value>/idp/saml20/post</value>
</meta-data>

IdpName.IDP_TIMEOUT

Valeur de délai de la connexion au fournisseur d'identité. Si ce paramètre de métadonnées n'est pas défini, le délai de connexion est de 60 secondes. Voir l'exemple suivant :

<meta-data>
	<name>IdpName.IDP_TIMEOUT</name>
	<value>120</value> <!-- wait 2 minutes -->
</meta-data>

IdpName.IDP_AUTH_TOKEN_SOURCE

Paramètre facultatif qui détermine la provenance des jetons d'authentification pour le fournisseur d'identité. La valeur par défaut est ltpa. Le protocole d'authentification SAML commence par une demande envoyée au fournisseur d'identité (IDP). Cette demande contient un jeton d'authentification qui est utilisé pour identifier l'appelant au niveau du fournisseur d'identité. Le paramètre IdpName.IDP_AUTH_TOKEN_SOURCE détermine la provenance de ce jeton d'authentification. Actuellement, deux valeurs sont activées :

ltpa

Si la valeur ltpa est définie, le proxy Ajax crée un jeton LTPA à partir du sujet utilisateur de la connexion de proxy Ajax. Ce jeton LTPA est soumis au fournisseur d'identité pour authentifier la demande IDP. Pour la plupart des scénarios d'authentification qui reposent sur Tivoli Federated Identity Manager, le paramètre ltpa est privilégié.

cookies

Si la valeur cookies est définie, le proxy Ajax utilise les cookies d'authentification à partir de la connexion locale pour authentifier la demande IDP. Les noms de cookie d'authentification sont définis dans les paramètres de métadonnées IdpName.IDP_AUTH_TOKEN.n.

Voir l'exemple suivant :

<meta-data>
	<name>IdpName.IDP_AUTH_TOKEN_SOURCE</name>
	<value>cookies</value>
<! -- take cookie list from IDP_AUTH_TOKEN_COOKIE.n as authentication tokens -->
</meta-data>

IdpName.PARAM_NAME.n et IdpName.PARAM_VALUE.n

IdpName.PARAM_NAME.n est le nom d'un paramètre de requête d'URL envoyé au fournisseur d'identité. Utilisez ce paramètre avec IdpName.PARAM_VALUE.n, qui définit la valeur d'un paramètre de requête d'URL envoyé au fournisseur d'identité. Pour les deux paramètres, n représente un compteur commençant à 1. Voir l'exemple suivant :

<meta-data>
	<name>IdpName.PARAM_NAME.1</name>
	<value>RequestBinding</value>
</meta-data>
<meta-data>
	<name>IdpName.PARAM_VALUE.1</name>
	<value>HTTPPost</value>
</meta-data>

IdpName.IDP_AUTH_COOKIE.n

Nom du cookie d'authentification, où n est un compteur commençant à 1. Si ce paramètre de métadonnées n'est pas défini, le cookie d'authentification par défaut est SAML20. Voir l'exemple suivant :

<meta-data>
	<name>IdpName.IDP_AUTH_COOKIE.1</name>
	<value>SAML20</value>
</meta-data>
<meta-data>
	<name>IdpName.IDP_AUTH_COOKIE.2</name>
	<value>another_cookie</value>
</meta-data>

IdpName.IDP_AUTH_TOKEN_COOKIE.n

Nom du cookie d'authentification qui est utilisé pour l'authentification auprès du fournisseur d'identité afin de commencer le protocole d'authentification SAML. Ces métadonnées ne sont effectives que si le paramètre de métadonnées IdpName.IDP_AUTH_TOKEN_SOURCE a pour valeur cookies. Dans le cas contraire, les paramètres sont ignorés. L'exemple ci-après définit les cookies d'authentification MSISAuthenticated, MSISAuth et MSISAuth1.

<meta-data>
	<name>IdpName.IDP_AUTH_TOKEN_COOKIE.1</name>
	<value>MSISAuthenticated</value>
</meta-data>
<meta-data>
	<name>IdpName.IDP_AUTH_TOKEN_COOKIE.2</name>
	<value>MSISAuth</value>
</meta-data>
<meta-data>
	<name>IdpName.IDP_AUTH_TOKEN_COOKIE.3</name>
	<value>MSISAuth1</value>
</meta-data>