SAML et console

Editer en ligne

IBM Aspera Console prend en charge le langage SAML (Security Assertion Markup Language) 2.0, une norme basée sur XML qui permet aux domaines web sécurisés d'échanger des données d'authentification et d'autorisation de l'utilisateur. Avec le modèle SAML, vous pouvez configurer la console en tant que fournisseur de services en ligne (SP) qui contacte un fournisseur d'identité (IdP) en ligne distinct pour authentifier les utilisateurs. Les utilisateurs authentifiés peuvent alors utiliser la console pour accéder au contenu sécurisé.

Lorsque SAML est activé, la console redirige l'utilisateur vers l' URL connexion de l IdP. L'utilisateur s'identifie auprès de l' IdP et ce dernier renvoie une assertion SAML à la console. Lorsqu'un utilisateur SAML se connecte pour la première fois à la console, celle-ci crée automatiquement un nouveau compte utilisateur sur la base des informations fournies par la réponse SAML. Les modifications apportées ultérieurement au compte sur le serveur DS ne sont pas automatiquement prises en compte par la console. Pour plus d'informations sur le provisionnement des utilisateurs SAML, voir Comptes d'utilisateurs provisionnés par Just-In-Time (JIT) Provisioning.

IdP Exigences

Pour utiliser SAML avec la console, vous devez déjà disposer d'un fournisseur d'identité (IdP) qui répond aux exigences suivantes :

  • Supporte SAML 2.0
  • Capable d'utiliser une liaison HTTP POST.
  • Possibilité de se connecter au même service d'annuaire que celui utilisé par la console.
  • Non configuré pour utiliser des pseudonymes.
  • Peut renvoyer à la Console des assertions contenant l'intégralité du contenu du certificat de signature.
  • Si vous y êtes invité, définissez la signature de la réponse SAML. (La signature de l'assertion SAML est facultative)

Configurer le SAML IdP

Avant de configurer SAML dans la console, assurez-vous de configurer votre IdP pour qu'il envoie une réponse SAML correcte à la console. Pour plus d'informations, voir Configuration de votre fournisseur d'identité (IdP).
Pour des instructions sur la configuration de SAML, voir Configuration de SAML.

SAML et services d'annuaire

La console prend en charge l'utilisation de SAML et des services d'annuaire. Si vous configurez les deux services pour la console, assurez-vous que les services utilisent des domaines Active Directory différents. Aspera déconseille de configurer LDAP directement sur Console si le IdP SAML sert de frontend pour le même Active Directory.

Contourner le SAML par défaut IdP

Console fournit un mécanisme permettant aux utilisateurs de contourner la redirection SAML et de se connecter à l'aide d'un nom d'utilisateur et d'un mot de passe locaux. Cette fonction permet aux administrateurs de corriger les paramètres du serveur, y compris une mauvaise configuration de SAML, sans se connecter via SAML.

Pour contourner la connexion SAML, ajoutezlogin?local=trueà la fin de l' URL connexion. Par exemple :

https://IP/aspera/console/login?local=true