Configuration de l'objet SAML et des attributs de mappage
Lorsque Verify envoie une assertion d' SAML au fournisseur de services, affirme Verify que l'utilisateur est authentifié. L'utilisateur authentifié est identifié dans l'élément <saml:Subject>. L 'assertion « SAML » peut également contenir un <saml:AttributeStatement> élément, en fonction des informations que vous indiquez dans la section «Attribute Mappings» de la page Applications > Applications >
> Sign-on. L'élément <saml:AttributeStatement> émet l'assertion que certains attributs sont associés à l'utilisateur authentifié. Configurez ces éléments en fonction des exigences du fournisseur de services.
Avant de commencer
Consultez l'article « SAML » ( 2.0 ) dans leIBM® Verify Centre de documentation.- Voir la section « Configuration de l'authentification unique d' SAML » dans le fournisseur d'identité.
A propos de cette tâche
Verify peut servir de fournisseur d'identité pour plusieurs applications cibles. Ces applications ou
fournisseurs de services ont leur propre ensemble d'attributs utilisateur et de groupe. Un
attribut est une caractéristique ou un trait d'une entité, qui décrit l'entité. Il s'agit d'une paire name:value.
- Transmettre les informations de Verify l'utilisateur au prestataire de services.
- Créer un compte pour l'utilisateur au niveau du fournisseur de services.
- Autoriser des services spécifiques au niveau du fournisseur de services.
Procédure
- Si le fournisseur de services utilise ou exige un identifiant utilisateur différent de Verify, configurez le sujet de l'assertion « SAML ». Le paramètre « SAML » permet d'identifier l'utilisateur authentifié.
Tableau 1. SAML Objet Informations Descriptions Format d'ID de nom Remarque : cette option n'est disponible que dans un modèle d'application personnalisé.Aligne les attentes entre le fournisseur d'identité et le fournisseur de services sur l'identité de l'utilisateur qui est communiquée. Le fournisseur d'identité indique le nom d'utilisateur ou l'identité de l'utilisateur authentifié via l'attribut
NameID.Les formats suivants sont pris en charge:urn:oasis:names:tc:SAML:2.0:nameid-format:persistent- Lorsque l'identificateur de nom est sélectionné en tant que
Not Specified, le sujetNameIDest un identificateur unique généré au hasard qui conserve la même valeur pour cette fédération d'applications. urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddressLa valeur
SubjectNameIDdu fournisseur d'identité utilise le format de l'adresse électronique.Il s'agit du format par défaut.
urn:oasis:names:tc:SAML:1.1:nameid-format:unspecifiedLa valeur
SubjectNameIDdu fournisseur d'identité peut être n'importe quel format.Le fournisseur d'identité définit le format et le fournisseur de services accepte le format et fournit le service requis à l'utilisateur.
urn:oasis:names:tc:SAML:2.0:nameid-format:transient- Le sujet
NameIDest un attribut généré de manière aléatoire pour une utilisation temporaire. Le fournisseur de services accepte cette valeur comme temporaire.Si l'identificateur de nom est sélectionné en tant que
Not Specified, le sujetNameIDest un identificateur unique généré de manière aléatoire qui est unique sur chaque flux SSO fédéré.Remarque : si un attribut utilisé dans ce format n'est pas reconnu par IBM Verify, utilisez un attribut personnalisé et définissez une règle d'attribut pour générer un UUID aléatoire. Sinon, envoyez l'horodatage actuel en millisecondes, qui peut être traité comme temporaire. Voir l'étape 3 « Créer un attribut » dans la section « Gestion des attributs ».
Identificateur de nom Identifie le sujet d'une assertion d' SAML, qui est généralement l'utilisateur en cours d'.
Cela correspond à
<saml:Subject><saml:NameID>l'élément dans l 'assertion « SAML ».La valeur par défaut est « preferred_username ». La plupart des fournisseurs de services utilisent le nom d'utilisateur comme identificateur de nom.
Dans certains cas, le fournisseur de services peut nécessiter un identificateur différent du fournisseur d'identité. À ce titre, configurez l'élément
<saml:Subject><saml:NameID>en sélectionnant un attribut « Identifiant du fournisseur d'identité » ou un attribut « Valeur fixe » qui réponde aux exigences du fournisseur de services.Ces attributs « Identifiants du fournisseur d'identité » et « Valeur fixe » sont définis dans Répertoire > Attributs.
- Si le fournisseur de services exige Verify l'envoi d'attributs spécifiques dans son assertion « SAML », définissez les mappages d'attributs. Faites correspondre les attributs utilisateur connus ou d'autres attributs fournis par le prestataire de services avec les Verify attributs.Selon l'application, la section « Attribute Mappings » peut comporter les éléments suivants, décrits dans le tableau 2.
- Une option de case à cocher pour l'envoi de tous les attributs utilisateur connus.
- Noms et formats d'attributs prédéfinis, ainsi que la possibilité de sélectionner la source d'attribut correspondante dans Verify.
- Une option permettant d'ajouter d'autres noms d'attribut, leur format et la source d'attribut correspondante dans le fournisseur d'identité.
Tableau 2. Mappages d'attributs Informations Descriptions Envoyer tous les attributs utilisateur connus dans l'assertion SAML Une fois cette option sélectionnée, tous les attributs d'identification de l'utilisateur connus et disponibles auprès du fournisseur d'identité sont automatiquement inclus dans l 'assertion « SAML ».
Les attributs connus des données d'identification utilisateur sont les suivants :- Attributs standard
- Ces attributs proviennent du Verify répertoire Cloud, qui comprend les attributs intégrés affichés dans Répertoire > Attributs.
- Attributs étendus
- Ces attributs proviennent du fournisseur d'identité d'entreprise « SAML » que vous avez configuré dans Authentification > Fournisseurs d'identité.
Sinon, ne définissez dans l 'assertion « SAML » que les attributs spécifiques requis par le fournisseur de services.
Remarque : cette option est sélectionnée par défaut pour les applications déjà configurées et en cours d'utilisation afin d'éviter toute interruption du service configuré.Nom d'attribut Nom de l'attribut utilisé et requis par le fournisseur de services depuis le fournisseur d'identité.
Cela correspond à
<saml:Attribute Name="">l'élément dans l 'assertion « SAML ».Certains fournisseurs de servicesont des attributs obligatoires ou facultatifs qui sont répertoriés dans la section Mappages d'attributs. Sélectionnez les attributs correspondants à partir du fournisseur d'identité.
Certains fournisseurs de services peuvent nécessiter des attributs supplémentaires du fournisseur d'identité qui ne sont pas inclus dans le modèle prédéfini. Les attributs supplémentaires dépendent du contrat commercial établi entre le fournisseur d'identité et le fournisseur de services. Dans ce cas, procurez-vous des attributs supplémentaires dans la documentation du fournisseur de services et mappez-les aux attributs du fournisseur d'identité.
Remarque : si un attribut est configuré avec un nomAuthnContextClassRefet un formaturn:oasis:names:tc:SAML:2.0:assertion, la valeur de cet attribut sera définie dans l'élémentAuthnContextClassRefdu jeton SAML lors du flux SSO.Format du nom d'attribut Indique comment interpréter le nom d'attribut.
Cela correspond à
<saml:Attribute NameFormat="">l'élément dans l 'assertion « SAML ».Vous pouvez définir votre propre valeur ou choisir l'une des options suivantes :urn:oasis:names:tc:SAML:2.0:attrname-format:basic- Le nom d'attribut utilise une valeur de chaîne simple. Il s'agit du format par défaut si aucun format n'est indiqué.
urn:oasis:names:tc:SAML:2.0:attrname-format:uri- Le nom d'attribut utilise l'espace de nom
urn:oid. urn:oasis:names:tc:SAML:2.0:attrname-format:unspecifiedLe nom d'attribut peut être n'importe quel format. Le fournisseur d'identité définit le format et le fournisseur de services accepte le format et fournit le service requis à l'utilisateur.
Attributs Répertorie tous les attributs que vous avez définis pour chaque type dans Répertoire > Attributs.
La valeur de l'attribut que vous avez sélectionné est attribuée comme valeur d'attribut pour le nom d'attribut du fournisseur de services défini dans l 'assertion « SAML ».
Par exemple :<saml:AttributeStatement> <saml:Attribute Name="mail" NameFormat="urn:oasis:names:tc:SAML:2.0: attrname-format:basic" <saml:AttributeValue xsi:type="xs:string"> abc@example.com </saml:AttributeValue> </saml:Attribute> </saml:AttributeStatement>Remarque :- Si la chaîne Attribut non balisé apparaît pour la valeur de source d'attribut, cela signifie que le but de l'attribut a été changé. Les applications existantes qui se servent de l'attribut peuvent continuer de l'utiliser jusqu'à ce que vous remappiez l'application afin d'utiliser un attribut différent pour ce même but. Par exemple, si la case à cocher Connexion unique est désélectionnée pour un attribut existant, les applications qui se servent déjà de cet attribut pour la connexion unique peuvent continuer de l'utiliser pour la connexion unique. Le même comportement s'applique aux mappages des attributs d'application des accès lorsque le but Application des accès est retiré.