Configuration de l'objet SAML et des attributs de mappage

Modifier en ligne

Lorsque Verify envoie une assertion SAML au fournisseur de services, Verify affirme que l'utilisateur est authentifié. L'utilisateur authentifié est identifié dans l'élément <saml:Subject>. L 'assertion SAML peut également contenir un <saml:AttributeStatement> élément, en fonction des informations que vous spécifiez dans la section Mappages d'attributs de la page Applications > Applications > Editer > Connexion. L'élément <saml:AttributeStatement> émet l'assertion que certains attributs sont associés à l'utilisateur authentifié. Configurez ces éléments en fonction des exigences du fournisseur de services.

Avant de commencer

A propos de cette tâche

Verify peut être utilisé comme fournisseur d'identité pour plusieurs applications cible. Ces applications ou fournisseurs de services ont leur propre ensemble d'attributs utilisateur et de groupe. Un attribut est une caractéristique ou un trait d'une entité, qui décrit l'entité. Il s'agit d'une paire name:value.

Les attributs inclus dans l' assertion SAML correspondent à certains attributs du fournisseur de services pour:
  • Transmettez les informations utilisateur de Verify au fournisseur de services.
  • Créer un compte pour l'utilisateur au niveau du fournisseur de services.
  • Autoriser des services spécifiques au niveau du fournisseur de services.

Procédure

  1. Si le fournisseur de services utilise ou requiert un ID utilisateur différent de Verify, configurez le sujet de l' assertion SAML . Le sujet SAML identifie l'utilisateur authentifié.
    Tableau 1. Sujet SAML
    Informations Descriptions
    Format d'ID de nom
    Remarque: Cette option est disponible uniquement dans un modèle d'application personnalisée.

    Aligne les attentes entre le fournisseur d'identité et le fournisseur de services sur l'identité de l'utilisateur qui est communiquée. Le fournisseur d'identité indique le nom d'utilisateur ou l'identité de l'utilisateur authentifié via l'attribut NameID.

    Les formats suivants sont pris en charge:
    urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
    Lorsque l'identificateur de nom est sélectionné en tant que Not Specified, le sujet NameID est un identificateur unique généré au hasard qui conserve la même valeur pour cette fédération d'applications.

    urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

    La valeur Subject NameID du fournisseur d'identité utilise le format de l'adresse électronique.

    Il s'agit du format par défaut.

    urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

    La valeur Subject NameID du fournisseur d'identité peut être n'importe quel format.

    Le fournisseur d'identité définit le format et le fournisseur de services accepte le format et fournit le service requis à l'utilisateur.

    urn:oasis:names:tc:SAML:2.0:nameid-format:transient
    Le sujet NameID est un attribut généré de manière aléatoire pour une utilisation temporaire. Le fournisseur de services accepte cette valeur comme temporaire.

    Si l'identificateur de nom est sélectionné en tant que Not Specified, le sujet NameID est un identificateur unique généré de manière aléatoire qui est unique sur chaque flux SSO fédéré.

    Remarque: Si un attribut utilisé dans ce format n'est pas connu de IBM Verify, utilisez un attribut personnalisé et définissez une règle d'attribut pour générer un identificateur unique universel aléatoire. Sinon, envoyez l'horodatage actuel en millisecondes, qui peut être traité comme temporaire. Voir l'étape 3 Création d'un attribut dans Gestion des attributs.
    Identificateur de nom

    Identifie le sujet d'une assertion SAML, qui correspond généralement à l'utilisateur en cours d'authentification.

    Il correspond à l'élément <saml:Subject><saml:NameID> dans l' assertion SAML.

    La valeur par défaut est preferred_username. La plupart des fournisseurs de services utilisent le nom d'utilisateur comme identificateur de nom.

    Dans certains cas, le fournisseur de services peut nécessiter un identificateur différent du fournisseur d'identité. A ce titre, définissez l'élément <saml:Subject><saml:NameID> en sélectionnant un attribut Données d'identification du fournisseur d'identité ou un attribut Valeur fixe qui correspond aux exigences du fournisseur de services.

    Ces attributs Données d'identification du fournisseur d'identité et Valeur fixe sont définis dans Annuaire > Attributs.
  2. Si le fournisseur de services requiert que Verify envoie des attributs spécifiques dans son assertion SAML, définissez les mappages d'attributs. Mappez les attributs utilisateur connus ou d'autres attributs du fournisseur de services avec les attributs Verify .
    En fonction de l'application, la section Mappages d'attributs peut comporter les éléments suivants, décrits dans le tableau 2.
    • Une option de case à cocher pour l'envoi de tous les attributs utilisateur connus.
    • Noms et format d'attribut prédéfinis, ainsi que l'option permettant de sélectionner la source d'attribut correspondante dans Verify.
    • Une option permettant d'ajouter d'autres noms d'attribut, leur format et la source d'attribut correspondante dans le fournisseur d'identité.
    Tableau 2. Mappages d'attributs
    Informations Descriptions
    Envoyer tous les attributs utilisateur connus dans l'assertion SAML

    Lorsque cette option est sélectionnée, tous les attributs de données d'identification utilisateur connus disponibles auprès du fournisseur d'identité fournisseur d'identité sont automatiquement inclus dans l' assertion SAML.

    Les attributs connus des données d'identification utilisateur sont les suivants :
    Attributs standard
    Ces attributs proviennent de Verify Cloud Directory, qui inclut les attributs intégrés affichés dans Directory > Attributs.
    Attributs étendus
    Ces attributs proviennent du fournisseur d'identité Entreprise SAML que vous avez configuré dans Authentification > Fournisseurs d'identité.

    Sinon, définissez uniquement les attributs spécifiques requis par le fournisseur de services dans l' assertion SAML.

    Remarque: Cette option est sélectionnée par défaut pour les applications déjà configurées et en cours d'utilisation afin d'éviter d'interrompre le service configuré.
    Nom d'attribut

    Nom de l'attribut utilisé et requis par le fournisseur de services depuis le fournisseur d'identité.

    Il correspond à l'élément <saml:Attribute Name=""> dans l' assertion SAML.

    Certains fournisseurs de servicesont des attributs obligatoires ou facultatifs qui sont répertoriés dans la section Mappages d'attributs. Sélectionnez les attributs correspondants à partir du fournisseur d'identité.

    Certains fournisseurs de services peuvent nécessiter des attributs supplémentaires du fournisseur d'identité qui ne sont pas inclus dans le modèle prédéfini. Les attributs supplémentaires dépendent du contrat commercial établi entre le fournisseur d'identité et le fournisseur de services. Dans ce cas, procurez-vous des attributs supplémentaires dans la documentation du fournisseur de services et mappez-les aux attributs du fournisseur d'identité.

    Remarque: Si un attribut est configuré avec le nom AuthnContextClassRef et le format urn:oasis:names:tc:SAML:2.0:assertion, la valeur de l'attribut est définie dans l'élément AuthnContextClassRef du jeton SAML lors du flux SSO.
    Format du nom d'attribut

    Indique comment interpréter le nom d'attribut.

    Il correspond à l'élément <saml:Attribute NameFormat=""> dans l' assertion SAML.

    Vous pouvez définir votre propre valeur ou choisir l'une des options suivantes :
    urn:oasis:names:tc:SAML:2.0:attrname-format:basic
    Le nom d'attribut utilise une valeur de chaîne simple. Il s'agit du format par défaut si aucun format n'est indiqué.
    urn:oasis:names:tc:SAML:2.0:attrname-format:uri
    Le nom d'attribut utilise l'espace de nom urn:oid.
    urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified

    Le nom d'attribut peut être n'importe quel format. Le fournisseur d'identité définit le format et le fournisseur de services accepte le format et fournit le service requis à l'utilisateur.
    Attributs

    Répertorie tous les attributs que vous avez définis pour chaque type dans Annuaire > Attributs.

    La valeur de l'attribut sélectionné est affectée en tant que valeur d'attribut pour le nom d'attribut fournisseur de services défini dans l' assertion SAML.

    Par exemple :
    <saml:AttributeStatement>
   <saml:Attribute 
      Name="mail" 
      NameFormat="urn:oasis:names:tc:SAML:2.0:
         attrname-format:basic"  
      <saml:AttributeValue xsi:type="xs:string">
abc@example.com
      </saml:AttributeValue>
   </saml:Attribute> 
</saml:AttributeStatement>
    Remarque :
    • Si la chaîne Attribut non balisé apparaît pour la valeur de source d'attribut, cela signifie que le but de l'attribut a été changé. Les applications existantes qui se servent de l'attribut peuvent continuer de l'utiliser jusqu'à ce que vous remappiez l'application afin d'utiliser un attribut différent pour ce même but. Par exemple, si la case à cocher Connexion unique est désélectionnée pour un attribut existant, les applications qui se servent déjà de cet attribut pour la connexion unique peuvent continuer de l'utiliser pour la connexion unique. Le même comportement s'applique aux mappages des attributs d'application des accès lorsque le but Application des accès est retiré.