Création de paramètres de fournisseur d'identité au niveau de la configuration du service de connexion sortante (TFIM)

Certains paramètres de métadonnées, tels que l'URL du fournisseur d'identité et l'URL du partenaire, sont nécessaires pour utiliser le fournisseur d'identité Tivoli Federated Identity Manager pour les connexions uniques via le protocole d'authentification SAML 2.0.

Pourquoi et quand exécuter cette tâche

Les valeurs de métadonnées suivantes sont requises pour définir un fournisseur d'identité Tivoli Federated Identity Manager, où IdpName est le nom unique du fournisseur d'identité :
IdpName.IDP_PROTOCOL
Protocole dans l'URL de connexion du fournisseur d'identité. Remplacez la valeur my_idp_prot par la valeur de la partie protocole de l'URL de connexion du fournisseur d'identité, à savoir http ou https.
IdpName.IDP_HOST
Nom d'hôte dans l'URL de connexion du fournisseur d'identité. Remplacez la valeur my_idp_host par le nom d'hôte dans l'URL de connexion du fournisseur d'identité.
IdpName.IDP_PORT
Numéro de port dans l'URL de connexion du fournisseur d'identité. Remplacez la valeur my_idp_port par la valeur de port de l'URL de connexion du fournisseur d'identité.
IdpName.IDP_URI
Chemin de l'URL de connexion du fournisseur d'identité. Remplacez la valeur my_idp_uri par le chemin de l'URL de connexion du fournisseur d'identité.
IdpName.IDP_AUTH_COOKIE.1 et IdpName.IDP_AUTH_COOKIE.2
Jetons d'authentification qui sont créés par le partenaire de fédération.
IdpName.PARAM_NAME.1 et IdpName.PARAM_VALUE.1
Ce paramètre sélectionne la liaison SAML 2.0. Spécifiez la valeur HTTPPost.
IdpName.PARAM_NAME.2 et IdpName.PARAM_VALUE.2
URL du partenaire. Remplacez la valeur my_partner_url par l'URL du partenaire qui exécute le service du fournisseur d'identité.
IdpName.PARAM_NAME.3 et IdpName.PARAM_VALUE.3
Définit le format de la zone ID de nom. Spécifiez la valeur Email.
L'exemple XML suivant crée les paramètres de fournisseur d'identité pour Tivoli Federated Identity Manager au niveau de la configuration du service de connexion distante et utilise les valeurs suivantes :
  • Le nom du fournisseur d'identité est tfim101.
  • L'URL de connexion du fournisseur d'identité est https://idp.example.com/sps/myfederation/saml20/login.
  • L'URL de partenaire est https://sp.example.com/sps/myfederation/saml20/v2_0.
Modifiez ces valeurs en fonction de votre configuration.

Procédure

  1. Créez un document XML comme suit : 
    <?xml version="1.0" encoding="UTF-8"?>
<proxy-rules xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 
xsi:noNamespaceSchemaLocation="http://www.ibm.com/xmlns/prod/sw/http/outbound/proxy-config/2.0">
	<variables>
		<!--  replace values with the IdP login URL and the partner URL -->
  <endpoint name="tfim101.idp_prot">https</endpoint>
  <endpoint name="tfim101.idp_host">idp.example.com</endpoint>
  <endpoint name="tfim101.idp_port">443</endpoint>
  <endpoint name="tfim101.idp_uri">/sps/myfederation/saml20/login</endpoint>
		<endpoint name="tfim101.partner_url">https://sp.example.com/sps/myfederation/saml20/v2_0</endpoint>
	</variables>
	<meta-data>
		<name>tfim101.IDP_PROTOCOL</name>
		<value>my_idp_prot</value>
	</meta-data>
	<meta-data>
		<name>tfim101.IDP_HOST</name>
		<value>my_idp_host</value>
	</meta-data>
	<meta-data>
		<name>tfim101.IDP_PORT</name>
		<value>my_idp_port</value>
	</meta-data>
	<meta-data>
		<name>tfim101.IDP_URI</name>
		<value>my_idp_uri</value>
	</meta-data>
	<meta-data>
		<name>tfim101.PARAM_NAME.1</name>
		<value>RequestBinding</value>
	</meta-data>
	<meta-data>
		<name>tfim101.PARAM_VALUE.1</name>
		<value>HTTPPost</value>
	</meta-data>
	<meta-data>
		<name>tfim101.PARAM_NAME.2</name>
		<value>PartnerId</value>
	</meta-data>
	<meta-data>
		<name>tfim101.PARAM_VALUE.2</name>
		<value>my_partner_url</value>
	</meta-data>
	<meta-data>
		<name>tfim101.PARAM_NAME.3</name>
		<value>NameIdFormat</value>
	</meta-data>
	<meta-data>
		<name>tfim101.PARAM_VALUE.3</name>
		<value>Email</value>
	</metadata>
	<meta-data>
		<name>tfim101.IDP_AUTH_COOKIE.1</name>
		<value>LtpaToken</value>
	</meta-data>
	<meta-data>
		<name>tfim101.IDP_AUTH_COOKIE.2</name>
		<value>LtpaToken2</value>
	</meta-data>
</proxy-rules>
  2. Après avoir enregistré le fichier XML, exécutez la tâche ConfigEngine update-outbound-http-connection-config pour appliquer les paramètres de fournisseur d'identité au profil de configuration globale.
    • AIX®, HP-UX, Linux, Solaris : ./ConfigEngine.sh update-outbound-http-connection-config -DConfigFileName=XML_file -DOutboundProfileType=global
    • IBM® i: ConfigEngine.sh update-outbound-http-connection-config -DConfigFileName=XML_file -DOutboundProfileType=global
    • Windows : ConfigEngine.bat update-outbound-http-connection-config -DConfigFileName=XML_file -DOutboundProfileType=global
    where XML_file is the file path to the XML file.