Configuration SAML 2.0 à l’aide de la SSO de plusieurs fournisseurs

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 7 minutes de lecture

    • Vous pouvez créer ou mettre à jour une configuration SSO SAML 2.0 à partir de la fonctionnalité SSO de plusieurs fournisseurs.

    Avant de commencer

    Rôle requis : administrateur

    Pourquoi et quand exécuter cette tâche

    Remarque :
    Nouveauté de la Jakarta version, vous devez valider votre configuration à l’aide de la fonctionnalité de test de la connexion avant de pouvoir activer votre configuration IdP. Vous pouvez toujours utiliser la fonctionnalité de mise à jour pour enregistrer vos données de configuration, mais il ne s’agit pas d’une configuration active sans une connexion de test réussie.

    Procédure

    1. Accédez à la Tout > Authentification unique (SSO) de plusieurs fournisseurs > Fournisseurs d'identité.
    2. Effectuez l'une des actions suivantes.
      • Pour mettre à jour une configuration, cliquez sur un enregistrement de configuration SSO.
      • Pour créer une configuration, cliquez sur Nouveau > SAML.
    3. Entrez les informations IdP par l’une des méthodes suivantes.
      OptionDescription
      Utilisation d’une URL de descripteur de métadonnées Cochez la case URL et entrez l’URL de l’IdP que vous utilisez.
      Utilisation d’un fichier XML de descripteur de métadonnées Cochez la case XML et collez les données XML générées à partir de l’IdP que vous utilisez.
      Saisie manuelle des métadonnées Fermez la fenêtre contextuelle et saisissez manuellement les données dans les champs de propriété.
      Tous les champs obligatoires doivent être renseignés sur le formulaire du fournisseur d’identité. Formulaire IdP
      Tableau 1. Champs d’authentification unique de plusieurs fournisseurs
      Propriété Obligatoire Description
      Nom Oui Saisissez le nom de l’IdP. Cet IdP est l’ID système de redirection automatique.
      Actif Oui Actif doit être défini sur vrai pour que l’IdP soit utilisé pour l’authentification.
      Remarque :
      L’option permettant de définir cette propriété n’est disponible qu’après une connexion de test réussie.
      Par défaut Non L’IdP de redirection automatique, anciennement connu sous le nom d’IdP principal, redirige automatiquement les utilisateurs pour accéder à l’URL de l’instance de base. Cette propriété définit cette configuration IdP comme configuration par défaut.
      Rediriger automatiquement l'IdP Non Définit cette configuration IdP comme IdP de redirection automatique.
      Remarque :
      Si vous activez une nouvelle configuration d’IdP de redirection automatique, le glide_sso_id cookie est mis à jour avec le nouvel IdP de redirection automatique. La glide.authenticate.sso.update.idp.cookie propriété système, activée automatiquement, contrôle cette fonctionnalité.
      URL du fournisseur d'identité Oui Entrez l’URL de votre fournisseur d’identité. Chaque URL IdP doit être unique.
      Service AuthnRequest du fournisseur d'identité Oui Entrez l’URL de la liaison HTTP-Redirect obtenue à partir de l’élément SingleSignOnService.
      Service SingleLogoutRequest du fournisseur d'ident Non Entrez l’URL obtenue à partir de l’élément SingleLogoutService.
      ServiceNow Page d’accueil Oui Entrez l’URL, y compris la page de connexion, de l’instance pour laquelle l’IdP s’authentifie. Par exemple : https://yourinstance.service-now.com/navpage.do
      ID d’entité/Émetteur Oui Entrez l’URL de base, à l’exclusion de la page de connexion. de l’instance pour laquelle l’IdP s’authentifie. Par exemple : https://yourinstance.service-now.com/
      URI de l'audience Oui Entrez l’URL de base, à l’exclusion de la page de connexion. de l’instance pour laquelle l’IdP s’authentifie. Par exemple : https://yourinstance.service-now.com/
      Politique NameID Oui Saisissez la valeur de l’élément NameIDFormat que l’intégration utilise.
      Redirection de déconnexion externe Non Saisissez l’URL vers laquelle l’intégration redirige les utilisateurs après leur déconnexion.
      Échec de la redirection du besoin Non Entrez l’URL de redirection des demandes d’authentification ayant échoué. Par défaut, il s’agit du point de terminaison d’URL d’une page d’erreur ou d’une page de déconnexion configurée dans l’IdP. Vous pouvez renseigner cette valeur dans le champ glide.authenticate.failed_requirement_redirect.
      Type de client Non Choisissez le type de client en fonction du type de votre client. Options :Iframe intégré.
      Remarque :
      Si le champ de type client est requis pour votre configuration, vous pouvez modifier le formulaire et ajouter le champ. Pour en savoir plus, reportez-vous à la section Configurer le type de client pour les enregistrements OAuth et SSO.
    4. Facultatif : Onglet Chiffrement et signature
      Remarque :
      • Il est recommandé d’utiliser vos propres certificats pour le chiffrement et la signature.
      • Le mode approuvé FIPS nécessite différents certificats pour le chiffrement et la signature
      • Lors de l’utilisation des certificats, veillez à mettre à jour les propriétés système suivantes avec l’sys_id des certificats (certificats x.509) :
        • Signature (glide.authenticate.sso.saml2.keystore)
        • Chiffrement (glide.authenticate.sso.saml2.encryption.keystore)
      • Assurez-vous de mettre à jour l’alias de clé et le mot de passe de clé des magasins de clés de signature et de chiffrement dans l’enregistrement du fournisseur d’identité et de générer les métadonnées (sélectionner Générer les métadonnées).
      • Chargez les certificats de signature et de chiffrement présents dans les métadonnées générées (XML) vers le fournisseur d’identité.
      Chiffrement et signature
      Tableau 2. Champs de chiffrement et de signature
      Propriété Description
      Signature avec l'alias de clé Saisissez l’alias de signature de l’entrée de clé stockée dans le magasin de clés SAML 2.0 SP.
      Signature avec le mot de passe de clé Saisissez le mot de passe de signature de l’entrée de clé stocké dans le magasin de clés SAML 2.0 SP.
      Alias de clé de chiffrement Entrez l’alias de chiffrement de l’entrée de clé stockée dans le magasin de clés SAML 2.0 SP.
      Mot de passe de clé de chiffrement Saisissez le mot de passe de chiffrement de l’entrée de clé stockée dans le magasin de clés SAML 2.0 SP.
      Chiffrer l'assertion Cochez la case pour chiffrer l’assertion dans la réponse SAML. Les métadonnées générées pour l’IDP incorporent le certificat x509, que l’IDP utilise pour chiffrer l’assertion dans la réponse SAML qu’il génère.
      Algorithme de signature pour la signature Entrez l’URL qui pointe sur le consommateur AuthnRequest du fournisseur d’identité SAML 2.0 pour l’authentification de signature électronique.
      Signer l'AuthnRequest Cochez la case pour permettre au service d’authentification unique IdP de recevoir une demande AuthnRequest signée.
      Signer la LogoutRequest Cochez la case pour permettre au service d’authentification unique IdP de recevoir une LogoutRequest signée.
      Signer la réponse de déconnexion Cochez la case pour permettre au service d’authentification unique IdP de recevoir une réponse de déconnexion signée.
    5. Facultatif : Onglet d’attribution d’utilisateurs
      Onglet d’attribution d’utilisateurs
      Tableau 3. Champs d’attribution d’utilisateurs
      Propriété Description
      Mise en service automatique de l'utilisateur Activez l’attribution automatique d’utilisateurs, crée les utilisateurs lorsque l’utilisateur n’existe pas dans la table des utilisateurs de l’instance en fonction des informations fournies par l’IdP.
      Mettre à jour l'enregistrement utilisateur à chaque connexion Met à jour les informations utilisateur dans la table Utilisateur de l’instance avec les informations dans l’IdP chaque fois que l’utilisateur se connecte à l’aide de SAML.
    6. Facultatif : Onglet Avancé
      Onglet Avancé
      Tableau 4. Champs avancés
      Propriété Description
      Champ d'utilisateur Saisissez le champ de la table Utilisateur qui contient la valeur requise par l’IdP pour identifier l’utilisateur. Il s’agit d’un ID unique dans le cadre de la réponse. Par exemple, nom d’utilisateur, ID d’employé, etc. Dans la table utilisateur système, cet ID unique correspond aux détails de l’utilisateur.
      Attribut NameID Laissez ce champ vide à moins que vous ne configuriez une nouvelle stratégie NameID. Si vous configurez une nouvelle politique, le système requiert la table Utilisateur qu’il doit utiliser pour identifier l’utilisateur qui se connecte. Le système fait correspondre le jeton NameID au nom de ce champ de table d’utilisateur ici.
      Créer une AuthnContextClass Cochez la case pour spécifier une classe de contexte particulière, telle que Transport protégé par mot de passe. Si la case est décochée, l’IdP sélectionne la classe de contexte la plus appropriée.
      Méthode AuthnContextClassRef Entrez l’URL du mécanisme de connexion que l’IdP doit utiliser pour authentifier les utilisateurs.
      Forcer l'AuthnRequest Cochez la case pour forcer l’exécution des AuthnRequests.
      Est une AuthnRequest passive Cochez la case si l’AuthnRequest est passive.
      Script d'authentification unique Sélectionnez le script d’authentification unique. La valeur par défaut est MultiSSOV2_SAML2_custom.
      Signer la réponse de déconnexion Saisissez les détails de la réponse de déconnexion dans ce champ.
      Décalage d'horloge Entrez le nombre de secondes entre les deux attributs qui composent la réponse SAMLResponse nonce. La valeur par défaut est 60. Une réponse SAML valide doit se situer entre les valeurs de date/heure notBefore et notOnOrAfter . Consultez Exemple de réponse SAML 2 avec les éléments SubjectConfirmation et SubjectConfirmationData et Exemple de réponse SAML 2 avec les éléments AudienceRestrictions et Audience pour un exemple de message SAMLResponse.
      Protocole de liaison du service SingleLogoutReuqest de l’IDP Entrez l’une des valeurs prises en charge répertoriées dans l’attribut Binding à partir de l’élément SingleLogoutService.
      URL des métadonnées à partir de laquelle les propriétés IDP sont importées Les propriétés IdP sont importées à partir de cette URL. Si défini, il active l’importation automatique du certificat SAML à partir de l’IdP si le certificat précédent a expiré.
      Remarque :
      Si vous effectuez une mise à niveau de la mise à jour 1 de SAML2 vers la SSO de plusieurs fournisseurs ou si vous configurez manuellement votre connexion SSO, l’URL des métadonnées IdP ne s’affiche pas automatiquement.
      Demande ID unique dans le cadre de la demande, l’ID peut être le nom d’utilisateur, l’ID d’employé, etc.
      Remarque :
      La redirection et la liaison postérieure sont prises en charge pour la demande. L’option permettant de définir ce champ n’apparaît qu’après une connexion de test réussie. Pour plus d'informations, reportez-vous à la section Test des connexions IdP.
      Réponse ID unique Dans le cadre de la réponse, l’ID peut être le nom d’utilisateur, l’ID d’employé, etc.
      Remarque :
      La redirection et la liaison postérieure sont prises en charge pour la réponse. L’option permettant de définir ce champ n’apparaît qu’après une connexion de test réussie. Pour plus d'informations, reportez-vous à la section Test des connexions IdP.