Configuration SAML 2.0 à l’aide de l’authentification unique (SSO) de plusieurs fournisseurs

Rversion finale: Zurich

Mis à jour 31 juil. 2025

8 minutes de lecture

Vous pouvez créer ou mettre à jour une configuration SSO SAML 2.0 à partir de la fonctionnalité SSO de plusieurs fournisseurs.

Avant de commencer

Rôle requis : admin

Pourquoi et quand exécuter cette tâche

Remarque :

Nouveauté de la Jakarta version, vous devez valider votre configuration à l’aide de la fonctionnalité Test de la connexion avant de pouvoir activer votre configuration IdP. Vous pouvez toujours utiliser la fonctionnalité de mise à jour pour enregistrer vos données de configuration, mais il ne s’agit pas d’une configuration active sans une connexion de test réussie.

Procédure

Accédez à la Tous > Authentification unique (SSO) de plusieurs fournisseurs > Fournisseurs d'identité.
Effectuez l'une des actions suivantes.
- Pour mettre à jour une configuration, cliquez sur un enregistrement de configuration SSO.
- Pour créer une configuration, cliquez sur Nouveau > SAML.

Saisissez les informations IdP en utilisant l’une des méthodes suivantes.

Option	Description
Utilisation d’une URL de descripteur de métadonnées	Cliquez sur la case à cocher URL et entrez l’URL de l’IdP que vous utilisez.
Utilisation du fichier XML du descripteur de métadonnées	Cochez la case XML et collez les données XML générées à partir de l’IdP que vous utilisez.
Saisie manuelle des métadonnées	Fermez la fenêtre contextuelle et saisissez manuellement les données dans les champs de propriété.

Remarque :

Tous les champs obligatoires doivent être renseignés dans le formulaire Fournisseur d’identité.

Tableau 1. Champs d’authentification unique de plusieurs fournisseurs
Propriété	Obligatoire	Description
Nom	Oui	Saisissez le nom de l’IdP. Cet IdP est l’ID système de redirection automatique.
Actif	Oui	Actif doit être défini sur vrai pour que l’IdP soit utilisé pour l’authentification. Remarque : L’option permettant de définir cette propriété n’intervient qu’après un test de la connexion réussi.
Par défaut	Non	L’IdP de redirection automatique, anciennement appelé fournisseur d’identités principal, redirige automatiquement les utilisateurs vers l’URL de l’instance de base. Cette propriété définit cette configuration IdP par défaut.
Rediriger automatiquement l'IdP	Non	Définit cette configuration IdP en tant qu’IdP de redirection automatique. Remarque : Si vous activez une nouvelle configuration d’IdP de redirection automatique, le glide_sso_id cookie est mis à jour avec le nouvel IdP de redirection automatique. La glide.authenticate.sso.update.idp.cookie propriété système, automatiquement activée, contrôle cette fonctionnalité.
URL du fournisseur d'identité	Oui	Saisissez l’URL de votre fournisseur d’identités. Chaque URL IdP doit être unique.
Service AuthnRequest du fournisseur d'identité	Oui	Entrez l’URL de la liaison HTTP-Redirect obtenue à partir de l’élément SingleSignOnService.
Service SingleLogoutRequest du fournisseur d'ident	Non	Entrez l’URL obtenue à partir de l’élément SingleLogoutService.
ServiceNow Page d’accueil	Oui	Entrez l’URL, y compris la page de connexion, de l’instance pour laquelle l’IdP s’authentifie. Par exemple : https://yourinstance.service-now.com/navpage.do
ID d’entité/émetteur	Oui	Entrez l’URL de base, à l’exclusion de la page de connexion. de l’instance pour laquelle l’IdP s’authentifie. Par exemple : https://yourinstance.service-now.com/
URI de l'audience	Oui	Entrez l’URL de base, à l’exclusion de la page de connexion. de l’instance pour laquelle l’IdP s’authentifie. Par exemple : https://yourinstance.service-now.com/
Politique NameID	Oui	Entrez la valeur de l’élément NameIDFormat que l’intégration utilise.
Redirection de déconnexion externe	Non	Entrez l’URL vers laquelle l’intégration redirige les utilisateurs après leur déconnexion.
Échec de la redirection du besoin	Non	Entrez l’URL de redirection des demandes d’authentification ayant échoué. Par défaut, il s’agit du point de terminaison d’URL d’une page d’erreur ou d’une page de déconnexion configurée dans l’IdP. Vous pouvez renseigner cette valeur dans le champ glide.authenticate.failed_requirement_redirect.
Type de client	Non	Choisissez le type de client, en fonction du type de votre client. Options :Iframe incorporé. Remarque : Si le champ Type de client est requis pour votre configuration, vous pouvez modifier le formulaire et ajouter le champ. Pour en savoir plus, reportez-vous à la section Configurer le type de client pour les enregistrements OAuth et SSO.

Facultatif : Onglet Chiffrement et signature

Remarque :

Il est recommandé d’utiliser vos propres certificats pour le chiffrement et la signature.
Le mode approuvé par FIPS nécessite différents certificats pour le chiffrement et lasignature
Lors de l’utilisation des certificats, assurez-vous de mettre à jour les propriétés système suivantes avec la sys_id des certificats (certificats x.509) :
- Signature (glide.authenticate.sso.saml2.keystore)
- Chiffrement (glide.authenticate.sso.saml2.encryption.keystore)
Assurez-vous de mettre à jour l’alias de clé et le mot de passe de clé des magasins de clés de signature et de chiffrement dans l’enregistrement du fournisseur d’identité et de générer les métadonnées (sélectionnez Générer les métadonnées).
Chargez les certificats de signature et de chiffrement présents dans les métadonnées générées (XML) vers le fournisseur d’identité.

Tableau 2. Champs de chiffrement et de signature
Propriété	Description
Signature avec l'alias de clé	Entrez l’alias de signature de l’entrée de clé stockée dans le magasin de clés SAML 2.0 SP.
Signature avec le mot de passe de clé	Entrez le mot de passe de signature de l’entrée de clé stockée dans le magasin de clés SAML 2.0 SP.
Alias de clé de chiffrement	Entrez l’alias de chiffrement de l’entrée de clé stockée dans le magasin de clés SAML 2.0 SP.
Mot de passe de clé de chiffrement	Entrez le mot de passe de chiffrement de la saisie de clé stockée dans le magasin de clés SAML 2.0 SP.
Chiffrer l'assertion	Cochez la case pour chiffrer l’assertion dans la réponse SAML. Les métadonnées générées pour l’IDP incorporent le certificat x509, que l’IDP utilise pour chiffrer l’assertion dans la réponse SAML qu’il génère.
Algorithme de signature pour la signature	Entrez l’URL qui pointe sur le consommateur AuthnRequest du fournisseur d’identité SAML 2.0 pour l’authentification de signature électronique.
Signer l'AuthnRequest	Cochez la case pour activer le service d’authentification unique IdP pour recevoir une demande AuthnRequest signée.
Signer la LogoutRequest	Cochez cette case pour activer le service d’authentification unique IdP pour recevoir une LogoutRequest.
Signer la réponse de déconnexion	Cochez cette case pour activer le service d’authentification unique IdP afin de recevoir une réponse de déconnexion signée.

Facultatif : Onglet Attribution d’utilisateurs

Tableau 3. Champs d’attribution d’utilisateurs
Propriété	Description
Mise en service automatique de l'utilisateur	Activer la mise en service automatique d’un utilisateur, crée les utilisateurs lorsque l’utilisateur n’existe pas dans l’instance Table des utilisateurs sur la base des informations fournies par l’IdP.
Mettre à jour l'enregistrement utilisateur à chaque connexion	Met à jour les informations utilisateur dans la table Utilisateur de l’instance avec les informations dans l’IdP chaque fois que l’utilisateur se connecte à l’aide de SAML.

Facultatif : Onglet Avancé

Tableau 4. Champs avancés
Propriété	Description
Champ d'utilisateur	Saisissez le champ de la table Utilisateur qui contient la valeur requise par l’IdP pour identifier l’utilisateur. Il s’agit d’un ID unique dans le cadre de la réponse. Par exemple, nom d’utilisateur, ID d’employé, etc. Dans la table utilisateur système, cet ID unique est mis en correspondance avec les détails de l’utilisateur.
Attribut NameID	Laissez ce champ vide, sauf si vous configurez une nouvelle politique NameID. Si vous configurez une nouvelle politique, le système nécessite la table Utilisateur qu’il doit utiliser pour identifier l’utilisateur qui se connecte. Le système associe le jeton NameID au nom de ce champ de table Utilisateur ici.
Créer une AuthnContextClass	Cochez la case pour spécifier une classe de contexte particulière, telle que Transport protégé par mot de passe. Si la case n’est pas cochée, l’IdP sélectionne la classe de contexte la plus appropriée.
Méthode AuthnContextClassRef	Entrez l’URN du mécanisme de connexion que vous souhaitez que l’IdP utilise pour authentifier les utilisateurs.
Forcer l'AuthnRequest	Cochez cette case pour forcer l’exécution des AuthnRequest.
Est une AuthnRequest passive	Cochez la case si l’AuthnRequest est passive.
Script d'authentification unique	Sélectionnez le script Authentification unique. La valeur par défaut est MultiSSOV2_SAML2_custom.
Signer la réponse de déconnexion	Saisissez les détails de la réponse de déconnexion dans ce champ.
Décalage d'horloge	Entrez le nombre de secondes entre les deux attributs qui composent le nonce de la réponse SAML. La valeur par défaut est 60. Une SAMLResponse valide doit se situer entre les valeurs date-heure notBefore et notOnOrAfter . Voir Exemple de réponse SAML 2 avec les éléments SubjectConfirmation et SubjectConfirmationData et Exemple de réponse SAML 2 avec les éléments AudienceRestrictions et Audience pour un exemple de message SAMLResponse.
Protocole de liaison du service SingleLogoutReuqest de l’IDP	Entrez l’une des valeurs prises en charge répertoriées dans l’attribut Binding à partir de l’élément SingleLogoutService.
URL des métadonnées à partir de laquelle les propriétés IDP sont importées	Les propriétés IdP sont importées à partir de cette URL. Si activé, il active l’importation automatique du certificat SAML à partir de l’IdP si le certificat précédent a expiré. Remarque : Si vous effectuez une mise à niveau de SAML2 Update 1 vers l’authentification unique (SSO) de plusieurs fournisseurs ou si vous configurez manuellement votre connexion SSO, l’URL des métadonnées IdP n’est pas automatiquement renseignée.
Demande	Un ID unique dans le cadre de la demande. Il peut s’agir d’un nom d’utilisateur, d’un ID d’employé, etc. Remarque : La redirection et la liaison de publication sont toutes deux prises en charge pour la demande. L’option permettant de définir ce champ n’apparaît qu’après un test de la connexion réussi. Pour plus d'informations, reportez-vous à la section Tester les connexions IdP.
Réponse	Un ID unique dans le cadre de la réponse, l’ID peut être un nom d’utilisateur, un ID d’employé... Remarque : La redirection et la liaison de publication sont toutes deux prises en charge pour la réponse. L’option permettant de définir ce champ n’apparaît qu’après un test de la connexion réussi. Pour plus d'informations, reportez-vous à la section Tester les connexions IdP.

Facultatif : Dans l’onglet Authentification continue, configurez les champs suivants :

Remarque :

L’onglet Authentification continue s’affiche uniquement lorsque vous installez le module d’extension Authentification Zero Trust - continue (com.snc.zero_trust_continuous_authentication) qui nécessite une licence.
Si vous utilisez la stratégie d’authentification continue pour protéger l’accès à la table ou à la classe de données, reportez-vous à la section Authentification continue (CA).

Authentification continue : informations sur l’onglet

Tableau 5. Authentification continue
Champ	Description
Authentification continue configurée	Cochez la case pour activer la configuration.
URL du consommateur de l'authentification continue	Fournissez l’URL du consommateur à partir du fournisseur d’identité.
Script d'authentification continue	Sélectionnez l’icône de recherche pour choisir le script fourni dans la plateforme. Dans cette configuration, pour SAML : MultiSSOv2_SAML2_ContinuousAuth_custom