Créer une application Single Sign-On
Pour créer une application Custom Single Sign-On :
- Connectez-vous en tant qu'administrateur à Specops Authentication Web.
- Cliquez sur Single Sign-On.
- Cliquez sur Ajouter un nouveau.
- Sélectionnez Modèle d'application : Personnalisé.
- Sélectionnez Protocole d'application : SAML.
- Cliquez sur Suivant.
- Sous Paramètres généraux, saisissez un nom d'application et éventuellement une description pour l'application.
- Sous Source de configuration, sélectionnez l'une des options suivantes :
- Sélectionnez URL de métadonnées pour charger la configuration à partir d'une URL de métadonnées fournie par votre fournisseur de services. C'est l'option recommandée. Contrairement à URL de métadonnées sous Manuel, qui importe et enregistre les métadonnées une seule fois, cette option charge la configuration à partir de l'URL chaque fois qu'un utilisateur se connecte avec Specops SSO.
- Sélectionnez Manuel pour soit importer et enregistrer les métadonnées une fois, soit configurer les valeurs manuellement.
- Sous Importation de métadonnées, sélectionnez l'une des sources suivantes pour fournir les métadonnées à importer. Puis cliquez sur Charger les métadonnées :
- URL de métadonnées - entrez une URL de métadonnées fournie par votre fournisseur de services.
- Fichier de métadonnées (.xml) - téléchargez un fichier de métadonnées.
- Saisie XML - collez le contenu des métadonnées dans le champ.
- Pour configurer les valeurs manuellement, passez à l'étape suivante.
- Sous Importation de métadonnées, sélectionnez l'une des sources suivantes pour fournir les métadonnées à importer. Puis cliquez sur Charger les métadonnées :
- Pour Entity ID, entrez l'identifiant unique utilisé pour identifier le fournisseur de services.
- Pour URL du service consommateur d'assertions (ACS), entrez l'URL où la réponse d'authentification sera envoyée au fournisseur de services.
- Pour URL de déconnexion unique (SLO) SP, entrez l'URL du fournisseur de services où Specops Authentication (IdP) doit envoyer les réponses de déconnexion, si le fournisseur de services prend en charge la déconnexion unique. Remarque que les demandes SLO doivent être signées. Passez à l'étape suivante et considérez les Règles de validation SLO et de signature.
-
Sous Portée de signature des demandes, faites ce qui suit :
- Pour Portée de signature, sélectionnez quelles demandes SP entrantes doivent être signées :
- Aucune
- Demandes d'authentification uniquement
- Demande de déconnexion
- Demandes d'authentification et de déconnexion
- Pour Certificat(s) de signature, entrez le certificat public X.509 du fournisseur de services (PEM ou Base64) utilisé pour vérifier les demandes signées.
- Pour Portée de signature, sélectionnez quelles demandes SP entrantes doivent être signées :
-
Sous Name ID, sélectionnez un Attribut AD Name ID qui sera mappé au NameId, et un Format de revendication Name ID.
Avertissement
"Name ID" doit être mappé à un attribut AD qui est immuable et identifie de manière unique l'utilisateur. Ne mappez jamais "Name ID" à, par exemple, l'attribut "EmailAddress" car cela pourrait permettre à un utilisateur malveillant d'accéder au compte d'un autre utilisateur. Le "Name ID" est mappé à "objectGUID" par défaut.
-
Sous Mappage des revendications standard, cliquez éventuellement sur Ajouter un mappage pour ajouter les revendications qui doivent être envoyées au fournisseur de services lors de l'authentification.
- Revendication : Sélectionnez un nom dans la liste des noms prédéfinis ou sélectionnez Personnalisé... pour entrer un nom personnalisé.
- Attribut AD ou valeur personnalisée : Sélectionnez une valeur dans la liste des attributs Active Directory ou sélectionnez Personnalisé... pour entrer un nom personnalisé. Si un attribut AD est sélectionné, la revendication sera remplie à partir de l'utilisateur lors de l'authentification. Si Custom est sélectionné, une valeur fixe est utilisée.
-
Cliquez sur Suivant : Mappage des revendications de groupe.
Remarque
Les revendications standard ajoutées dans Mappage des revendications standard sont toujours envoyées au fournisseur de services. Les revendications de groupe saisies dans Mappage des revendications de groupe sont des revendications supplémentaires ajoutées à l'assertion SAML pour les utilisateurs qui sont membres des groupes AD sélectionnés.
Cette configuration ne contrôle pas quels utilisateurs peuvent accéder à l'application. L'accès à l'application est contrôlé par la configuration de la politique, ce qui signifie que les utilisateurs des groupes sélectionnés doivent également être inclus dans une politique pour accéder à l'application.
-
Sous Ajouter de nouvelles revendications de groupe, ajoutez éventuellement des revendications pour les groupes de sécurité. Entrez le nom d'un groupe dans Active Directory et cliquez sur Ajouter.
- Entrez une ou plusieurs revendications et valeurs de revendication pour le groupe et cliquez sur Enregistrer.
- Continuez vers Configurer la politique d'authentification.
Règles de validation SLO et de signature
Lors de la configuration de URL de déconnexion unique (SLO) SP et Portée de signature des demandes, considérez les règles suivantes :
- Si URL de déconnexion unique (SLO) SP est configuré, une valeur Certificat(s) de signature est requise.
-
Si Portée de signature est défini sur :
-
Demande de déconnexion ou Demandes d'authentification et de déconnexion :
Les valeurs Certificat(s) de signature et URL de déconnexion unique (SLO) SP sont requises.
-
Demandes d'authentification uniquement :
Une valeur Certificat(s) de signature est requise et URL de déconnexion unique (SLO) SP doit être vide.
Les points de terminaison de déconnexion ne sont pas pris en charge pour l'application et l'URL de déconnexion n'est pas publiée dans les métadonnées.
-
-
Pour Certificat(s) de signature, le certificat ajouté doit être un certificat X.509 valide encodé en Base64 avec une clé publique RSA.