Création de paramètres de fournisseur d'identité au niveau de la configuration du service de connexion sortante (ADFS)

Certains paramètres de métadonnées, tels que les cookies ADFS, l'URL de fournisseur d'identité et l'URL de partenaire sont requis pour définir une connexion unique via ADFS (Active Directory Federation Services).

Pourquoi et quand exécuter cette tâche

Les valeurs de métadonnées suivantes sont requises pour définir un fournisseur d'identité ADFS où IdpName est le nom unique du fournisseur d'identité :
IdpName.IDP_PROTOCOL
Protocole dans l'URL de connexion du fournisseur d'identité. Remplacez la valeur my_idp_prot par la valeur de la partie protocole de l'URL de connexion du fournisseur d'identité, à savoir http ou https.
IdpName.IDP_HOST
Nom d'hôte dans l'URL de connexion du fournisseur d'identité. Remplacez la valeur my_idp_host par le nom d'hôte dans l'URL de connexion du fournisseur d'identité.
IdpName.IDP_PORT
Numéro de port dans l'URL de connexion du fournisseur d'identité. Remplacez la valeur my_idp_port par la valeur de port de l'URL de connexion du fournisseur d'identité.
IdpName.IDP_URI
Chemin de l'URL de connexion du fournisseur d'identité. Remplacez la valeur my_idp_uri par le chemin de l'URL de connexion du fournisseur d'identité.
IdpName.IDP_AUTH_COOKIE.1
Jeton d'authentification créé par le partenaire de fédération. La valeur par défaut est SamlSession.
IdpName.IDP_AUTH_TOKEN_SOURCE
Détermine l'endroit où le proxy AJAX obtient les jetons d'authentification IDP. Les jetons d'authentification IDP sont les cookies requis pour authentifier la connexion au fournisseur d'identité. Par défaut, le proxy AJAX crée un jeton LTPA à partir du sujet d'utilisateur et utilise ce jeton LTPA pour authentifier la connexion au fournisseur d'identité. Etant donné que le fournisseur d'identité ADFS ne prend pas en charge l'authentification basée sur LTPA, affectez la valeur cookies à ce paramètre. Cela permet au proxy AJAX d'utiliser les jetons d'authentification qui sont définis dans les paramètres de métadonnées IdpName.IDP_AUTH_TOKEN_COOKIE.n.
IdpName.IDP_AUTH_TOKEN_COOKIE.n
Jetons d'authentification requis pour l'authentification auprès du fournisseur d'identité. Dans l'exemple suivant, les cookies MSISAuth, MSISAuth1 et MSISAuthenticated sont définis.
IdpName.PARAM_NAME.1 et IdpName.PARAM_VALUE.1
Ce paramètre définit l'URL de partenaire. Remplacez la valeur idp_name_partner_url par l'URL du partenaire qui exécute le service du fournisseur d'identité.
L'exemple XML suivant crée les paramètres de fournisseur d'identité pour une connexion Active Directory Federation Services au niveau de la configuration du serveur de connexion sortante et utilise les valeurs suivantes :
  • Le nom du fournisseur d'identité est adfs01.
  • L'URL de connexion du fournisseur d'identité est https://idp.example.com/sps/myfederation/saml20/login.
  • L'URL de partenaire est https://sp.example.com/sps/myfederation/saml20/v2_0.
  • Les cookies d'authentification ADFS sont MSISAuth, MSISAuth1 et MSISAuthenticated.
Modifiez ces valeurs en fonction de votre configuration.

Procédure

  1. Créez un document XML comme suit : 
    <?xml version="1.0" encoding="UTF-8"?>
<proxy-rules xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 
xsi:noNamespaceSchemaLocation="http://www.ibm.com/xmlns/prod/sw/http/outbound/proxy-config/2.0">
	<variables>
		<!--  replace values with the IdP login URL and the partner URL -->
  <endpoint name="adfs01.idp_prot">https</endpoint>
  <endpoint name="adfs01.idp_host">idp.example.com</endpoint>
  <endpoint name="adfs01.idp_port">443</endpoint>
  <endpoint name="adfs01.idp_uri">/adfs/ls/IdpInitiatedSignOn.asp</endpoint>
		<endpoint name="adfs01.partner_url">https://sp.example.com/sps/myfederation/saml20/v2_0</endpoint>
	</variables>
	<meta-data>
		<name>adfs01.IDP_PROTOCOL</name>
		<value>my_idp_prot</value>
	</meta-data>
	<meta-data>
		<name>adfs01.IDP_HOST</name>
		<value>my_idp_host</value>
	</meta-data>
	<meta-data>
		<name>adfs01.IDP_PORT</name>
		<value>my_idp_port</value>
	</meta-data>
	<meta-data>
		<name>adfs01.IDP_URI</name>
		<value>my_idp_uri</value>
	</meta-data>
	<meta-data>
		<name>adfs01.PARAM_NAME.1</name>
		<value>LoginToRp</value>
	</meta-data>
	<meta-data>
		<name>adfs01.PARAM_VALUE.1</name>
		<value>idp_name_partner_url</value>
	</meta-data>
	<meta-data>
		<name>adfs01.IDP_AUTH_TOKEN_SOURCE</name>
		<value>cookies</value>
	</meta-data>
	<meta-data>
		<name>adfs01.IDP_AUTH_TOKEN_COOKIE.1</name>
		<value>MSISAuth</value>
	</meta-data>
	<meta-data>
		<name>adfs01.IDP_AUTH_TOKEN_COOKIE.2</name>
		<value>MSISAuth1</value>
	</meta-data>
	<meta-data>
		<name>adfs01.IDP_AUTH_TOKEN_COOKIE.3</name>
		<value>MSISAuthenticated</value>
	</metadata>
	<meta-data>
		<name>adfs01.IDP_AUTH_COOKIE.1</name>
		<value>SamlSession</value>
	</meta-data>
</proxy-rules>
  2. Après avoir enregistré le fichier XML, exécutez la tâche ConfigEngine update-outbound-http-connection-config pour appliquer les paramètres de fournisseur d'identité au profil de configuration globale.
    • AIX®, HP-UX, Linux, Solaris : ./ConfigEngine.sh update-outbound-http-connection-config -DConfigFileName=XML_file -DOutboundProfileType=global
    • IBM® i: ConfigEngine.sh update-outbound-http-connection-config -DConfigFileName=XML_file -DOutboundProfileType=global
    • Windows : ConfigEngine.bat update-outbound-http-connection-config -DConfigFileName=XML_file -DOutboundProfileType=global
    where XML_file is the file path to the XML file.