Configuration de l'authentification unique d' SAML. dans le fournisseur d'identité

Utilisez SAML pour l'authentification unique afin de permettre aux applications de vérifier l'identité de leurs utilisateurs en s'appuyant sur l'authentification effectuée par Verify. Les utilisateurs sont redirigés vers Verify pour se connecter. Verify vérifie l'identité des utilisateurs, transmet ces informations via une assertion « SAML » et confirme auprès du fournisseur de services que les utilisateurs sont autorisés à accéder à la ressource et à l'utiliser.

Avant de commencer

  • Vous devez disposer des droits d'administration pour effectuer cette tâche.
  • Ouvrez au moins deux fenêtres de navigateur pour terminer la configuration. L'un pour la Verify console d'administration et l'autre pour la console d'administration de l'application cible.
    • Connectez-vous à la IBM® Verify console d'administration en tant qu'administrateur.
    • Connectez-vous à la console d'administration de l'application cible avec votre compte administrateur.
  • Vous devez configurer les informations de base de l'instance de l'application dans l'onglet « Général ». Voir la section « Configuration des informations de base de l'application ».

A propos de cette tâche

Verify peut servir de fournisseur d'identité pour l'authentification unique ou de fournisseur de services. Dans cette tâche, Verify joue le rôle de fournisseur d'identité, tandis que l'application cible est le fournisseur de services.

Si vous utilisez un modèle d'application personnalisée, consultez la section « Application personnalisée » avant de continuer.

Configurez Verify le service et le fournisseur de services pour qu'ils puissent communiquer entre eux. Pour activer l'authentification unique d' SAML, vous devez fournir :
  • Verify avec certaines données fournies par le prestataire de services.
  • Le prestataire de services disposant de certaines données provenant de Verify.

Si le fournisseur de services signe sa demande d'authentification SAML, vous devez d'abord ajouter le certificat du signataire dans la page Sécurité > Certificats. Voir la section « Gestion des certificats ».

Si le fournisseur de services a besoin d'autres attributs provenant de l 'assertion « SAML » en plus des attributs intégrés, ajoutez les sources d'attributs requises dans la page Répertoire > Attributs. Voir « Gestion des attributs ».

/v1.0/saml/federations/{federationName}Remarque : les administrateurs de tenant peuvent consulter et mettre à jour certaines configurations de fédération d' SAML s via le nouveau point de terminaison API, à manageFederations condition de disposer des autorisations API et readFederations .
Les propriétés de configuration utilisées pour les sources d'identité sont les suivantes :
clockSkew
Tolérance en secondes lorsque l'assertion SAML reçue NotBefore et NotOnOrAfter est validée.
messageValidTime
Tolérance en secondes lorsque le message SAML reçu IssueInstant est validé.
skipTargetUrlValidation
Indique si une validation d'URL cible doit être ignorée dans SAML.

La valeur par défaut est false.

allowedTargetUrls
Indique les URL cible autorisées pour SAML.

La valeur de cette propriété de configuration est un tableau de chaînes. Chaque élément de tableau est une URL. Le nom d'hôte URL prend en charge le caractère générique. Par exemple, *.ibmcloud.com.

La valeur est vide par défaut.

signatureAlgorithm
Pour la signature, un algorithme signe numériquement le message SAML AuthnRequest. Les valeurs prises en charge sont : RSA-SHA1, RSA-SHA256, RSA-SHA512, ECDSA-SHA256, ECDSA-SHA384, ECDSA-SHA512. S'il est vide, il prend la valeur par défaut RSA-SHA256.
La valeur est vide par défaut.
signingKeyLabel
En matière de signature, ce certificat sert à signer le site SAML AuthnRequest lors de l'authentification unique. La sélection par défaut fait référence au certificat personnel par défaut que vous avez configuré dans Sécurité > Certificats > Certificats personnels.
Le certificat personnel par défaut est sélectionné.
decryptionKeyLabel
Utilisez ce certificat pour déchiffrer le message de réponse « SAML » reçu s'il contient des éléments chiffrés lors de l'authentification unique. Les certificats personnels par défaut que vous avez configurés dans Sécurité > Certificats > Certificats personnels.
Le certificat personnel par défaut est sélectionné.
Les propriétés de configuration utilisées pour les applications sont les suivantes :
assertionSettings.assertionValidAfter
Tolérance en secondes qui est ajoutée à NotOnOrAfter lorsque l'assertion SAML est émise.
assertionSettings.assertionValidBefore
Tolérance en secondes qui est ajoutée à NotBefore lorsque l'assertion SAML est émise.
messageValidTime
Tolérance en secondes lorsque le message SAML reçu IssueInstant est validé.
Les propriétés de configuration utilisées pour les sources d'identité et les applications sont les suivantes :
crlEnabled
Vérifie la liste de révocation de certificat. La vérification est effectuée pour toutes les fonctions qui utilisent un certificat externe. Si votre configuration ne nécessite pas la vérification CRL, vous pouvez la désactiver. Par exemple, si vous utilisez une autorité de certification interne (CA), vous pouvez désactiver la vérification CRL. :NONE.crlEnabledLa valeur par défaut de la propriété esttrue.
keySelectionCriteria
Définissez la clé ou le certificat à utiliser pour la signature, la validation, le chiffrement ou le déchiffrement de messages. S'il existe plusieurs clés ou certificats dont le nom SubjectDN correspond à celui de la clé ou du certificat associé à l'alias spécifié, ce paramètre permet de déterminer lequel utiliser. Utilisez l'une des méthodes de sélection suivantes :
only.alias
Sélectionnez la clé ou le certificat avec l'alias spécifié. Il s'agit de la méthode par défaut.
longest.lifetime
Pour la signature, une clé valide avec la durée de vie maximale est utilisée. Pour la validation, les clés ayant le même SubjectDN sont triées en fonction de la disponibilité de la durée de vie. Les clés sont essayées de manière séquentielle en commençant par celle dont la disponibilité de durée de vie est la plus longue jusqu'à ce que la validation aboutisse.
shortest.lifetime
Pour la signature, une clé valide avec la durée de vie minimale est utilisée. Pour la validation, les clés ayant le même SubjectDN sont triées en fonction de la disponibilité de la durée de vie. Les clés sont essayées de manière séquentielle en commençant par celle dont la disponibilité de durée de vie est la plus courte jusqu'à ce que la validation aboutisse.
  • Type de données : chaîne
  • Exemple : only.alias

Procédure

  1. Indiquez si vous souhaitez utiliser des métadonnées pour configurer l'application.
    Tableau 1. Options de métadonnées
    Informations Descriptif
    Utiliser les métadonnées Indique s'il faut utiliser les métadonnées pour configurer l'application. La valeur par défaut est « true » lors de la création d'une application et « false » lors de la mise à jour d'une application existante.
    Type d'importation Indique le type de métadonnées. La source peut être soit un fichier de métadonnées, soit une page web accessible au public ( URL ).
    Fichier de métadonnées Le bouton de téléchargement de fichier s'affiche lorsque l'option « Importer les métadonnées à partir d'un fichier » est sélectionnée dans le champ « Type d'importation ». Cliquez ici pour télécharger un fichier de métadonnées.
    URL des métadonnées Le champ « URL » s'affiche lorsque l'option «Importer les métadonnées depuis URL » est sélectionnée dans le champ «Type d'importation». Saisissez l' URL e à partir de laquelle vous souhaitez télécharger le fichier de métadonnées.
    Remarque : lorsque l'option « Utiliser les métadonnées » est cochée, certains champs des tableaux suivants peuvent être masqués.
  2. Identifiez le fournisseur de services et les URL nécessaires pour mettre en place l'authentification unique entre les fournisseurs.
    Tableau 2. Identifiants et URL
    Informations Descriptions
    ID du fournisseur

    VerifyIl s'agit de l'identifiant du fournisseur de l'application cible qui identifie de manière unique cette application.

    Vous pouvez obtenir cette information de l'application tierce. En fonction de l'application cible, ces informations peuvent provenir de l'une des sources applicables suivantes :
    • Dans la page Configuration de la connexion unique de la console d'administration de l'application cible.

      Consultez la section « Configuration de l'authentification unique » pour savoir comment accéder à cette page.

    • Dans les métadonnées du fournisseur de services.
    • Dans la documentation relative à la configuration de l'authentification unique ( SAML ) de l'application cible.
    • De l'équipe de support de l'application cible.
    La valeur dépend de l'application tierce. Elle peut prendre diverses formes :
    • Statique ou des formats suivants :
      • https://{@domainName}.<application>.com
      • {@domainName}.<application>.com

      {@domainName} correspond au seul composant dynamique de l'ID du fournisseur et est remplacé automatiquement à l'exécution par la valeur que vous avez spécifiée dans l'onglet Général.

      Important : si vous modifiez l 'identifiant du fournisseur puis le nom de domaine dans l'onglet « Général », la valeur de l'identifiant du fournisseur revient à sa valeur par défaut, calculée en fonction du nom de domaine spécifié.
    • Dynamique

      L'ID fournisseur comporte plusieurs composants dynamiques. En tant que telle, la valeur de la zone n'est pas préremplie.

    Remarque : seuls les caractères ASCII sont pris en charge. Pour plus d'informations, consultez le site https://ascii.cl/.
    Utiliser un ID unique Cette case à cocher est disponible dans certaines applications.

    Elle permet de créer un identificateur unique pour l'application afin d'éviter tout conflit dû à des ID fournisseur en double.

    URL du service de consommateur d'assertion (HTTP-POST)

    Spécifie le point de terminaison chez le fournisseur de services qui reçoit la réponse d'authentification de l' SAML.

    Le fournisseur d'identité redirige la réponse d'authentification de SAML vers cette page : URL. Ce point de terminaison reçoit et traite l 'assertion « SAML ».

    Le fournisseur de services peut indiquer son protocole de communication préféré ( URL ) lorsqu'il envoie sa demande d'authentification ( SAML ).

    La valeur dépend de l'application tierce. Elle peut prendre diverses formes :
    • Statique ou des formats suivants :
      • https://{@domainName}.<application>.com/saml/consume
      • https://{@domainName}.<application>.com/saml/callback

      {@domainName} correspond au seul composant dynamique de l'URL du service de consommateur d'assertion et est remplacé automatiquement à l'exécution par la valeur que vous avez spécifiée dans l'onglet Général.

    • Dynamique

      L'URL du service de consommateur d'assertion comporte plusieurs composants dynamiques. En tant que telle, la valeur de la zone n'est pas préremplie.

    Vous pouvez obtenir cette information de l'application tierce. En fonction de l'application cible, ces informations peuvent provenir de l'une des sources applicables suivantes :
    • Dans la page Configuration de la connexion unique de la console d'administration de l'application cible.

      Consultez la section « Configuration de l'authentification unique » pour savoir comment accéder à cette page.

    • Dans les métadonnées du fournisseur de services.
    • Dans la documentation relative à la configuration de l'authentification unique ( SAML ) de l'application cible.
    • De l'équipe de support de l'application cible.
    Remarque :

    Pour les applications personnalisées, vous pouvez disposer de plusieurs URL de service de consommateur d'assertion. Vous pouvez indiquer jusqu'à 1500 URL. Vous pouvez modifier la valeur d'index de l'URL, mais chaque valeur doit être unique. Vous pouvez également sélectionner l'URL que vous voulez définir comme URL par défaut.

    URL de gestion des identificateurs de nom (HTTP-POST)
    Remarque : cette option n'est disponible que dans un modèle d'application personnalisé configuré avec Persistent le format d' NameID, et dont l 'identifiant de nom est Not Specified.

    Indique le noeud final au niveau du fournisseur de services qui reçoit la demande SAML Manage Name IDet la réponse SAML Manage Name ID .

    Le fournisseur d'identité redirige la requête SAML Manage Name ID et la réponse SAML Manage Name ID à cette URL. Ce noeud final reçoit et traite la demande SAML Manage Name ID et la réponse SAML Manage Name ID.

    La valeur dépend de l'application tierce.

    Vous pouvez obtenir ces informations de l'application tierce. En fonction de l'application cible, ces informations peuvent provenir de l'une des sources applicables suivantes :

    • Dans la page Configuration de la connexion unique de la console d'administration de l'application cible, consultez les instructions Configuration de la connexion unique de l'application pour plus d'informations sur le mode d'accès à la page.

    • Dans les métadonnées du fournisseur de services.
    • Dans la documentation sur la configuration de la connexion unique SAML de l'application cible.
    • De l'équipe de support de l'application cible.
    Utiliser la connexion unique initiée par le fournisseur d'identité
    Remarque : cette option n'est disponible que dans un modèle d'application personnalisé.

    Sélectionnez cette option si le fournisseur de services prend en charge la connexion unique lancée par le fournisseur d'identité. Dans ce scénario, les utilisateurs se connectent directement au site du fournisseur d'identité puis accèdent au fournisseur de services.

    Si cette option est activée, l' URL d'authentification unique lancée par le fournisseur d'identité est générée automatiquement. C'est l' URL e qui lance le processus d'authentification unique (SSO) depuis le fournisseur d'identité. Vous n'avez pas besoin de fournir l' URL d'authentification unique (SSO) du fournisseur de services.

    Si cette option n'est pas activée, l' URL s d'authentification unique (SSO) du fournisseur de services doivent être fournies. C'est l' URL e qui lance le processus d'authentification unique (SSO) depuis le fournisseur de services.

    URL cible

    Il s'agit de la page d'arrivée de l'utilisateur dans l'application cible, vers laquelle l'utilisateur est redirigé une fois connecté.

    Cela ne fait pas nécessairement référence à la console d'administration de l'application cible. Il peut s'agir de l'une des ressources protégées du fournisseur de services qui est la destination finale d'une connexion unique.

    Cette zone est affichée uniquement pour ces conditions :
    • L'application cible prend en charge l'état de relais.
    • L'application cible prend en charge la connexion unique initiée par le fournisseur d'identité. Cette URL n'est utilisée que lorsque l'authentification unique est lancée par le fournisseur d'identité SAML 2.0.
    • La cible « URL » est dynamique ou peut prendre plusieurs valeurs.
    Vous pouvez obtenir cette information de l'application tierce. En fonction de l'application cible, ces informations peuvent provenir de l'une des sources applicables suivantes :
    • Dans la page Configuration de la connexion unique de la console d'administration de l'application cible.

      Consultez la section « Configuration de l'authentification unique » pour savoir comment accéder à cette page.

    • Depuis le site Web de l'application cible.
      1. Accédez à la page d'arrivée cible
      2. Copiez et collez l'URL dans cette zone.
    URL de connexion unique du fournisseur de services

    C'est le point de terminaison du fournisseur de services qui lance la demande d'authentification SAML à partir du navigateur d'un utilisateur et renvoie une réponse d'authentification SAML afin de vérifier l'identité de l'utilisateur.

    Cette zone est affichée uniquement pour ces conditions :
    • L'application cible prend en charge la connexion unique initiée par le fournisseur de services.
    • L'URL de connexion unique du fournisseur de services est dynamique ou a plusieurs valeurs possibles.
    Vous pouvez obtenir cette information de l'application tierce. En fonction de l'application cible, ces informations peuvent provenir de l'une des sources applicables suivantes :
    • Dans la page Configuration de la connexion unique de la console d'administration de l'application cible.

      Consultez la section « Configuration de l'authentification unique » pour savoir comment accéder à cette page.

    • Dans la documentation relative à la configuration de l'authentification unique ( SAML ) de l'application cible.
    • De l'équipe de support de l'application cible.
  3. Si le fournisseur de services prend en charge la déconnexion unique, configurez les paramètres de déconnexion unique.
    Remarque : si une application de la session en cours ne répond pas à une demande de déconnexion envoyée par IBM Verify, la déconnexion unique s'arrête à cette application. Pour reprendre la déconnexion unique à partir de l'application suivante, l'utilisateur doit à nouveau effectuer la déconnexion unique.
    Tableau 3. Paramètres de déconnexion unique
    Informations Descriptif
    URL de déconnexion unique (HTTP-POST)

    Spécifie le point de terminaison chez le fournisseur de services qui reçoit la demande de déconnexion SAML et la réponse de déconnexion SAML.

    Le fournisseur d'identité redirige la requête de déconnexion SAML et la réponse de déconnexion SAML vers cette page URL. Ce point de terminaison reçoit et traite la requête de déconnexion SAML ainsi que la réponse de déconnexion SAML.

    La valeur dépend de l'application tierce.

    Vous pouvez obtenir ces informations de l'application tierce. En fonction de l'application cible, ces informations peuvent provenir de l'une des sources applicables suivantes :

    • Sur la page de configuration de la connexion unique de la console d'administration de l'application cible. Pour plus d'informations sur l'accès à la page, consultez les instructions de configuration de la connexion unique de l'application.
    • Dans les métadonnées du fournisseur de services.
    • Dans la documentation sur la configuration de la connexion unique SAML de l'application cible.
    • De l'équipe de support de l'application cible.
  4. Configurez les options de signature. Utilisez une signature numérique pour établir une relation de confiance entre Verify vous et le prestataire de services.
    Tableau 4. Options de signature
    Informations Descriptions
    Signer la réponse d'authentification
    Remarque : cette option n'est disponible que dans un modèle d'application personnalisé.
    Indique si le fournisseur d'identité signe l 'assertion « SAML » et la réponse d'authentification.
    Remarque : certains fournisseurs de services ne peuvent pas accepter une réponse d'authentification signée.

    Lorsqu'elles sont sélectionnées, l 'assertion « SAML » et la réponse d'authentification sont toutes deux signées.

    Si cette option n'est pas sélectionnée, seule l 'assertion « SAML » est signée. L 'assertion « SAML » est toujours signée, que la case soit cochée ou non.

    Algorithme de signature
    Remarque : cette option n'est disponible que dans un modèle d'application personnalisé.

    L'algorithme de signature signe numériquement l 'assertion SAML ou la réponse d'authentification SAML.

    Utilisez un algorithme de signature numérique pour traiter les données puis chiffrer ce résultat. Sélectionnez l'un des algorithmes pris en charge suivants :
    • RSA-SHA1
    • RSA-SHA256
    • RSA-SHA512
    • ECDSA-SHA256
    • ECDSA-SHA384
    • ECDSA-SHA512

    La plupart des applications utilisent l'algorithme « RSA-SHA256 » par défaut pour signer l 'assertion « SAML » ou la réponse d'authentification.

    RSA-SHA1 est obsolète et est uniquement fourni pour une utilisation avec des applications existantes qui ne prennent pas en charge le chiffrement renforcé.

    Signature du certificat

    Répertorie tous les certificats personnels qui ont été téléchargés depuis la page Paramètres > Certificats > Certificats personnels.

    Sélectionnez le certificat personnel que vous avez téléchargé pour l'application sélectionnée.

    Valider la signature de demande SAML

    Indique si le fournisseur de services signe la demande d'authentification SAML lorsqu'il lance le processus d'authentification unique SAML.

    La signature de la requête d'authentification « SAML » peut être obligatoire pour certains fournisseurs de services et facultative pour d'autres.

    Une fois cette option sélectionnée, vous devez choisir les certificats personnels.

    Remarque : cette option n'est pas disponible pour les fournisseurs de services qui ne signent pas leur requête d'authentification « SAML ».
    Valider la signature de demande de déconnexion SAML Indique si le message de demande de déconnexion entrant nécessite une signature.

    Une fois cette option sélectionnée, vous devez choisir les certificats personnels.

    Valider la signature de réponse de déconnexion SAML Indique si le message de réponse de déconnexion entrant nécessite une signature.

    Une fois cette option sélectionnée, vous devez choisir les certificats personnels.

  5. Configurez les options de chiffrement. Activez le chiffrement pour sécuriser le contenu de l 'assertion « SAML », afin que seul le destinataire prévu puisse y accéder.
    Tableau 5. Options de chiffrement
    Informations Descriptions
    Chiffrer l'assertion
    Crypte l'intégralité de l'assertion « SAML » envoyée au fournisseur de services. Seul le fournisseur de services concerné peut déchiffrer et comprendre son contenu.
    Remarque : cette option n'est disponible que pour les fournisseurs de services prenant en charge le chiffrement.
    Algorithme de chiffrement d'assertion SAML

    L'algorithme crypte le contenu de l'assertion « SAML ».

    Effectuez une sélection parmi les algorithmes AES (Advanced Encryption Standard) ou DES (Data Encryption Standard) suivants :
    AES-128
    Utilise une clé de 128 bits en mode AES-CBC. La transformation des données se répète sur 10 cycles.
    AES-192
    Utilise une clé de 192 bits en mode AES-CBC. La transformation des données se répète sur 12 cycles.
    AES-256
    Utilise une clé de 256 bits en mode AES-CBC. La transformation des données se répète sur 14 cycles. Il s'agit de l'algorithme de chiffrement par défaut ou couramment utilisé.
    Triple DES
    Utilise une clé de données de longueur triple composée de trois clés DES 8 octets pour chiffrer 8 octets de données. La méthode suivante est utilisée :
    • Chiffrement des données à l'aide de la première clé
    • Déchiffrement du résultat à l'aide de la deuxième clé.
    • Chiffrement du deuxième résultat à l'aide de la troisième clé.
    AES-128-GCM
    Utilise une clé de 128 bits en mode AES- GCM.
    AES-192-GCM
    Utilise une clé de 192 bits en mode AES- GCM.
    AES-256-GCM
    Utilise une clé de 256 bits en mode AES- GCM.
    Remarque : cette option est disponible pour toutes les applications prenant en charge le chiffrement.
    Algorithme de transport de clé de chiffrement L'algorithme chiffre la clé de chiffrement de l'assertion. Effectuez une sélection parmi les algorithmes suivants.
    RSA-OAEP

    Schéma de chiffrement de clé publique. Cet algorithme est conçu pour chiffrer uniquement les messages courts, principalement les clés secrètes pour le chiffrement symétrique.

    Voir http://www.w3.org/2001/04/xmlenc#rsa-oaep-mgf1p.

    RSA-v1.5
    Schéma de signature.

    Voir http://www.w3.org/2001/04/xmlenc#rsa-1_5

    Remarque : l'algorithme de transport de clés de chiffrement « RSA-v1.5 » ne sera plus pris en charge à partir de mars 2024.
    Remarque : cette option est disponible pour toutes les applications prenant en charge le chiffrement.
    Certificat de chiffrement de fournisseur de services

    Répertorie tous les certificats de chiffrement des fournisseurs de services importés dans Sécurité > Certificats > Certificats de signature.

    Sélectionnez le certificat de chiffrement qui Verify doit être utilisé conjointement avec l 'algorithme de chiffrement d'assertion « SAML » sélectionné pour chiffrer le contenu de l'assertion « SAML ».

  6. Identifiez les sources d'attributs du fournisseur d'identité pour l 'assertion « SAML ». Voir la rubrique « Configuration de l' SAML » et les attributs de mappage.
  7. Sélectionnez la stratégie qui détermine la manière dont les utilisateurs peuvent accéder à l'application.

    Vous pouvez continuer d'utiliser la stratégie d'accès par défaut affectée, c'est-à-dire Autoriser l'accès depuis tous les appareils. Vous pouvez également décocher la case, puis cliquer sur Editer pour sélectionner une politique d'accès parmi la liste des politiques prédéfinies. Pour plus d'informations, consultez la section « Politiques d'accès ».

  8. Cliquez sur Enregistrer.

Que faire ensuite

  • Fournissez au fournisseur de services les Verify informations nécessaires pour finaliser la configuration de l'authentification unique SAML entre Verify [nom] et le fournisseur de services. Voir les instructions fournies dans l'interface utilisateur.

    Si l'application SAML est configurée avec le certificat personnel par défaut comme certificat de signature, vous pouvez télécharger les métadonnées d' SAML depuis la section « Vérifier à https://{tenantName}/v1.0/saml/federations/saml20ip/metadata». Si l'application SAML est configurée avec un certificat personnel autre que le certificat par défaut, portant la mention « {actualKeyLabel} » comme certificat de signature, vous pouvez télécharger les métadonnées de SAML à partir de https://{tenantName}/v1.0/saml/federations/saml20ip/metadata?keyLabel={actualKeyLabel}.

  • Ajoutez des habilitations d'utilisateur ou de groupe pour permettre l'accès aux applications configurées. Voir « Gestion des droits d'accès aux applications » (par l'administrateur ou le propriétaire de l'application).
  • Imposez aux utilisateurs l'authentification à deux facteurs pour un meilleur contrôle de la sécurité lorsqu'ils se connectent aux applications configurées. Voir la section « Configuration des facteurs d'authentification ».