Configuration de l'objet SAML et des attributs de mappage

Lorsque Verify envoie une assertion d' SAML au fournisseur de services, affirme Verify que l'utilisateur est authentifié. L'utilisateur authentifié est identifié dans l'élément <saml:Subject>. L 'assertion « SAML » peut également contenir un <saml:AttributeStatement> élément, en fonction des informations que vous indiquez dans la section «Attribute Mappings» de la page Applications > Applications > Editer > Sign-on. L'élément <saml:AttributeStatement> émet l'assertion que certains attributs sont associés à l'utilisateur authentifié. Configurez ces éléments en fonction des exigences du fournisseur de services.

Avant de commencer

A propos de cette tâche

Verify peut servir de fournisseur d'identité pour plusieurs applications cibles. Ces applications ou fournisseurs de services ont leur propre ensemble d'attributs utilisateur et de groupe. Un attribut est une caractéristique ou un trait d'une entité, qui décrit l'entité. Il s'agit d'une paire name:value.

Les attributs inclus dans l 'assertion « SAML » correspondent à certains attributs du fournisseur de services :
  • Transmettre les informations de Verify l'utilisateur au prestataire de services.
  • Créer un compte pour l'utilisateur au niveau du fournisseur de services.
  • Autoriser des services spécifiques au niveau du fournisseur de services.

Procédure

  1. Si le fournisseur de services utilise ou exige un identifiant utilisateur différent de Verify, configurez le sujet de l'assertion « SAML ». Le paramètre « SAML » permet d'identifier l'utilisateur authentifié.
    Tableau 1. SAML Objet
    Informations Descriptions
    Format d'ID de nom
    Remarque : cette option n'est disponible que dans un modèle d'application personnalisé.

    Aligne les attentes entre le fournisseur d'identité et le fournisseur de services sur l'identité de l'utilisateur qui est communiquée. Le fournisseur d'identité indique le nom d'utilisateur ou l'identité de l'utilisateur authentifié via l'attribut NameID.

    Les formats suivants sont pris en charge:
    urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
    Lorsque l'identificateur de nom est sélectionné en tant que Not Specified, le sujet NameID est un identificateur unique généré au hasard qui conserve la même valeur pour cette fédération d'applications.

    urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

    La valeur Subject NameID du fournisseur d'identité utilise le format de l'adresse électronique.

    Il s'agit du format par défaut.

    urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

    La valeur Subject NameID du fournisseur d'identité peut être n'importe quel format.

    Le fournisseur d'identité définit le format et le fournisseur de services accepte le format et fournit le service requis à l'utilisateur.

    urn:oasis:names:tc:SAML:2.0:nameid-format:transient
    Le sujet NameID est un attribut généré de manière aléatoire pour une utilisation temporaire. Le fournisseur de services accepte cette valeur comme temporaire.

    Si l'identificateur de nom est sélectionné en tant que Not Specified, le sujet NameID est un identificateur unique généré de manière aléatoire qui est unique sur chaque flux SSO fédéré.

    Remarque : si un attribut utilisé dans ce format n'est pas reconnu par IBM Verify, utilisez un attribut personnalisé et définissez une règle d'attribut pour générer un UUID aléatoire. Sinon, envoyez l'horodatage actuel en millisecondes, qui peut être traité comme temporaire. Voir l'étape 3 « Créer un attribut » dans la section « Gestion des attributs ».
    Identificateur de nom

    Identifie le sujet d'une assertion d' SAML, qui est généralement l'utilisateur en cours d'.

    Cela correspond à <saml:Subject><saml:NameID> l'élément dans l 'assertion « SAML ».

    La valeur par défaut est « preferred_username ». La plupart des fournisseurs de services utilisent le nom d'utilisateur comme identificateur de nom.

    Dans certains cas, le fournisseur de services peut nécessiter un identificateur différent du fournisseur d'identité. À ce titre, configurez l'élément <saml:Subject><saml:NameID> en sélectionnant un attribut « Identifiant du fournisseur d'identité » ou un attribut « Valeur fixe » qui réponde aux exigences du fournisseur de services.

    Ces attributs « Identifiants du fournisseur d'identité » et « Valeur fixe » sont définis dans Répertoire > Attributs.

  2. Si le fournisseur de services exige Verify l'envoi d'attributs spécifiques dans son assertion « SAML », définissez les mappages d'attributs. Faites correspondre les attributs utilisateur connus ou d'autres attributs fournis par le prestataire de services avec les Verify attributs.
    Selon l'application, la section « Attribute Mappings » peut comporter les éléments suivants, décrits dans le tableau 2.
    • Une option de case à cocher pour l'envoi de tous les attributs utilisateur connus.
    • Noms et formats d'attributs prédéfinis, ainsi que la possibilité de sélectionner la source d'attribut correspondante dans Verify.
    • Une option permettant d'ajouter d'autres noms d'attribut, leur format et la source d'attribut correspondante dans le fournisseur d'identité.
    Tableau 2. Mappages d'attributs
    Informations Descriptions
    Envoyer tous les attributs utilisateur connus dans l'assertion SAML

    Une fois cette option sélectionnée, tous les attributs d'identification de l'utilisateur connus et disponibles auprès du fournisseur d'identité sont automatiquement inclus dans l 'assertion « SAML ».

    Les attributs connus des données d'identification utilisateur sont les suivants :
    Attributs standard
    Ces attributs proviennent du Verify répertoire Cloud, qui comprend les attributs intégrés affichés dans Répertoire > Attributs.
    Attributs étendus
    Ces attributs proviennent du fournisseur d'identité d'entreprise « SAML » que vous avez configuré dans Authentification > Fournisseurs d'identité.

    Sinon, ne définissez dans l 'assertion « SAML » que les attributs spécifiques requis par le fournisseur de services.

    Remarque : cette option est sélectionnée par défaut pour les applications déjà configurées et en cours d'utilisation afin d'éviter toute interruption du service configuré.
    Nom d'attribut

    Nom de l'attribut utilisé et requis par le fournisseur de services depuis le fournisseur d'identité.

    Cela correspond à <saml:Attribute Name=""> l'élément dans l 'assertion « SAML ».

    Certains fournisseurs de servicesont des attributs obligatoires ou facultatifs qui sont répertoriés dans la section Mappages d'attributs. Sélectionnez les attributs correspondants à partir du fournisseur d'identité.

    Certains fournisseurs de services peuvent nécessiter des attributs supplémentaires du fournisseur d'identité qui ne sont pas inclus dans le modèle prédéfini. Les attributs supplémentaires dépendent du contrat commercial établi entre le fournisseur d'identité et le fournisseur de services. Dans ce cas, procurez-vous des attributs supplémentaires dans la documentation du fournisseur de services et mappez-les aux attributs du fournisseur d'identité.

    Remarque : si un attribut est configuré avec un nom AuthnContextClassRef et un format urn:oasis:names:tc:SAML:2.0:assertion, la valeur de cet attribut sera définie dans l'élément AuthnContextClassRef du jeton SAML lors du flux SSO.
    Format du nom d'attribut

    Indique comment interpréter le nom d'attribut.

    Cela correspond à <saml:Attribute NameFormat=""> l'élément dans l 'assertion « SAML ».

    Vous pouvez définir votre propre valeur ou choisir l'une des options suivantes :
    urn:oasis:names:tc:SAML:2.0:attrname-format:basic
    Le nom d'attribut utilise une valeur de chaîne simple. Il s'agit du format par défaut si aucun format n'est indiqué.
    urn:oasis:names:tc:SAML:2.0:attrname-format:uri
    Le nom d'attribut utilise l'espace de nom urn:oid.
    urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified

    Le nom d'attribut peut être n'importe quel format. Le fournisseur d'identité définit le format et le fournisseur de services accepte le format et fournit le service requis à l'utilisateur.

    Attributs

    Répertorie tous les attributs que vous avez définis pour chaque type dans Répertoire > Attributs.

    La valeur de l'attribut que vous avez sélectionné est attribuée comme valeur d'attribut pour le nom d'attribut du fournisseur de services défini dans l 'assertion « SAML ».

    Par exemple :
    <saml:AttributeStatement>
       <saml:Attribute 
          Name="mail" 
          NameFormat="urn:oasis:names:tc:SAML:2.0:
             attrname-format:basic"  
          <saml:AttributeValue xsi:type="xs:string">
    abc@example.com
          </saml:AttributeValue>
       </saml:Attribute> 
    </saml:AttributeStatement>
    Remarque :
    • Si la chaîne Attribut non balisé apparaît pour la valeur de source d'attribut, cela signifie que le but de l'attribut a été changé. Les applications existantes qui se servent de l'attribut peuvent continuer de l'utiliser jusqu'à ce que vous remappiez l'application afin d'utiliser un attribut différent pour ce même but. Par exemple, si la case à cocher Connexion unique est désélectionnée pour un attribut existant, les applications qui se servent déjà de cet attribut pour la connexion unique peuvent continuer de l'utiliser pour la connexion unique. Le même comportement s'applique aux mappages des attributs d'application des accès lorsque le but Application des accès est retiré.