<liclass="level2"><divclass="li"><ahref="#register_lemonldapng_on_partner_service_provider">Enregistrer LemonLDAP::NG sur le fournisseur de service partenaire</a></div></li>
<liclass="level2"><divclass="li"><ahref="#register_partner_service_provider_on_lemonldapng">Enregistrer le fournisseur de service dans LemonLDAP::NG</a></div>
<abbrtitle="LemonLDAP::NG">LL::NG</abbr> can act as an <abbrtitle="Security Assertion Markup Language">SAML</abbr> 2.0 Identity Provider, that can allow one to federate <abbrtitle="LemonLDAP::NG">LL::NG</abbr> with:
<liclass="level1"><divclass="li"> Un autre système <abbrtitle="LemonLDAP::NG">LL::NG</abbr> configuré avec <ahref="authsaml.html"class="wikilink1"title="documentation:2.0:authsaml">authentification SAML</a></div>
</li>
<liclass="level1"><divclass="li"> Tout fournisseur de service <abbrtitle="Security Assertion Markup Language">SAML</abbr>, par exemple:</div>
<divclass="noteclassic">Ceci nécessite de configurer <abbrtitle="LemonLDAP::NG">LL::NG</abbr> comme <spanclass="curid"><ahref="idpsaml.html"class="wikilink1"title="documentation:2.0:idpsaml">fournisseur d'identité SAML</a></span>.
Dans le manager, aller dans <code>Paramètres généraux</code>><code>Modules fournisseurs</code> » <code><abbrtitle="Security Assertion Markup Language">SAML</abbr> et configurer :
</p>
<ul>
<liclass="level1"><divclass="li"><strong>Activation</strong> : mettre à <code>Activé</code>.</div>
</li>
<liclass="level1"><divclass="li"><strong>Chemin</strong> : laisser <code>^/saml/</code> sauf si les suffixes des points d'accès <abbrtitle="Security Assertion Markup Language">SAML</abbr> ont été modifiés sans la <ahref="samlservice.html"class="wikilink1"title="documentation:2.0:samlservice">configuration du service SAML</a>.</div>
</li>
<liclass="level1"><divclass="li"><strong>Règle d'utilisation</strong> : une règle pour autoriser l'usage de ce module, mettre 1 pour toujours l'autoriser.</div>
</li>
</ul>
<divclass="notetip">Par exemple, pour n'autoriser que les utilisateurs authentifiés fortement :
<h3class="sectionedit9"id="register_lemonldapng_on_partner_service_provider">Enregistrer LemonLDAP::NG sur le fournisseur de service partenaire</h3>
<divclass="level3">
<p>
Après avoir configuré le service <abbrtitle="Security Assertion Markup Language">SAML</abbr>, exporter les métadonnéesvers le fournisseur de service partenaire.
</p>
<p>
Elles sont disponibles à l'<abbrtitle="Uniform Resource Locator">URL</abbr> EntityID, par défaut : <ahref="http://auth.example.com/saml/metadata"class="urlextern"title="http://auth.example.com/saml/metadata"rel="nofollow">http://auth.example.com/saml/metadata</a>.
<h3class="sectionedit10"id="register_partner_service_provider_on_lemonldapng">Enregistrer le fournisseur de service dans LemonLDAP::NG</h3>
<divclass="level3">
<p>
Dans le Manager, selectionner le noeud Fournisseurs d'identité <abbrtitle="Security Assertion Markup Language">SAML</abbr> et cliquer sur <code>Ajouter un IdP <abbrtitle="Security Assertion Markup Language">SAML</abbr></code>.
</p>
<p>
Le nom de SP est demandé, entrer-le et cliquer sur OK.
</p>
<p>
Il est ensuite possible d'accéder à la liste des paramètre du SP :
</p>
</div>
<h4id="metadata">Métadonnée</h4>
<divclass="level4">
<p>
Il faut enregistrer les métadatas du SP ici. Ceci peut être fait soit en téléchargeant le fichier, soit en l'obtenant par l'<abbrtitle="Uniform Resource Locator">URL</abbr> de métadatas du SP (à condition d'avoir un lien réseau entre le serveur et le SP):
<liclass="level1"><divclass="li"><strong>Nom de clef</strong> : nom de la clef dans la session LemonLDAP::NG</div>
</li>
<liclass="level1"><divclass="li"><strong>Nom</strong>: Nom de l'attribut <abbrtitle="Security Assertion Markup Language">SAML</abbr>.</div>
</li>
<liclass="level1"><divclass="li"><strong>Nom alternatif</strong>: optionnel, nom alternatif de l'attribut <abbrtitle="Security Assertion Markup Language">SAML</abbr>.</div>
</li>
<liclass="level1"><divclass="li"><strong>Obligatoire</strong> : si activé, cet attribut sera envoyé dans les réponses d'authentification. Sinon, il ne sera envoyé dans les réponses que s'il est explicitement demandé dans les requêtes d'attributs.</div>
</li>
<liclass="level1"><divclass="li"><strong>Format</strong> (optionnel) : format de l'attribut <abbrtitle="Security Assertion Markup Language">SAML</abbr>.</div>
<liclass="level1"><divclass="li"><strong>Format de NameID par défaut</strong> : si aucun fiormat de NameID n'est demandé, ou si le format n'est pas défini, ce format de NameID sera utilisé. Si aucune valeur n'est indiquée, le format de NameID par défaut est Email.</div>
</li>
<liclass="level1"><divclass="li"><strong>Forcer la clef de session NameID</strong> : si vide, la correspondance NameID définie dans la configuration du <ahref="samlservice.html"class="wikilink1"title="documentation:2.0:samlservice">service SAML</a> sera utilisée. On peut forcer ici une autre clef de session qui sera utilisée comme contenu sde NameID.</div>
</li>
<liclass="level1"><divclass="li"><strong>Usage unique</strong> : active le drapeau OneTimeUse dans les réponses d'authentification (<code><Condtions></code>).</div>
</li>
<liclass="level1"><divclass="li"><strong>Durée sessionNotOnOrAfter</strong> : durée en secondes, ajoutée à la durée d'authentification, pour définir la valeur sessionNotOnOrAfter dans les réponses <abbrtitle="Security Assertion Markup Language">SAML</abbr> (<code><AuthnStatement></code>):</div>
<liclass="level1"><divclass="li"><strong>Durée notOnOrAfter</strong> : durée en secondes, ajoutée à la durée d'authentification, pour définir la valeur notOnOrAfter dans les réponses <abbrtitle="Security Assertion Markup Language">SAML</abbr> (<code><Conditions></code> et <code><SubjectConfirmationData></code>) :</div>
<divclass="noteimportant">Il y a une tolérance de 60 seconds dans les <code><Conditions></code>
</div><ul>
<liclass="level1"><divclass="li"><strong>Force UTF-8</strong>: Activate to force UTF-8 decoding of values in <abbrtitle="Security Assertion Markup Language">SAML</abbr> attributes. If set to 0, the value from the session is directly copied into <abbrtitle="Security Assertion Markup Language">SAML</abbr> attribute.</div>
</li>
</ul>
</div>
<h5id="signature">Signature</h5>
<divclass="level5">
<p>
Ces options surchargent les options de signature du service (voir la <ahref="samlservice.html#general_options"class="wikilink1"title="documentation:2.0:samlservice">configuration du service SAML</a>).
</p>
<ul>
<liclass="level1"><divclass="li"><strong>Signature des messages <abbrtitle="Authentification unique (Single Sign On)">SSO</abbr></strong> : signe les messages <abbrtitle="Authentification unique (Single Sign On)">SSO</abbr></div>
</li>
<liclass="level1"><divclass="li"><strong>Vérification de la signature des messages <abbrtitle="Authentification unique (Single Sign On)">SSO</abbr></strong> : vérifie la signature des messages <abbrtitle="Authentification unique (Single Sign On)">SSO</abbr></div>
</li>
<liclass="level1"><divclass="li"><strong>Signature des messages SLO</strong> : signe les messages de déconnexion SLO (single logout)</div>
</li>
<liclass="level1"><divclass="li"><strong>Vérifie la signature des messages SLO</strong> : vérifie la signature des messages SLO</div>
</li>
</ul>
</div>
<h5id="security">Sécurité</h5>
<divclass="level5">
<ul>
<liclass="level1"><divclass="li"><strong>Mode de chiffrement</strong> : fixe le mode de chiffrement pour cet IDP (None, NameID ou Assertion).</div>
</li>
<liclass="level1"><divclass="li"><strong>Activer l'<abbrtitle="Uniform Resource Locator">URL</abbr> initiée par l'IdP</strong> : mettre à <code>On</code> pour activer l'<abbrtitle="Uniform Resource Locator">URL</abbr> initiée par l'IdP sur ce SP.</div>
</li>
</ul>
<divclass="notetip">L'<abbrtitle="Uniform Resource Locator">URL</abbr> initiée par l'IdP est l'<abbrtitle="Uniform Resource Locator">URL</abbr><abbrtitle="Security Assertion Markup Language">SAML</abbr> du <abbrtitle="Authentification unique (Single Sign On)">SSO</abbr> avec les paramètres GET :<ul>
<liclass="level1"><divclass="li"> Un parmi :</div>
<ul>
<liclass="level2"><divclass="li"> sp: identifiant du SP</div>
</li>
<liclass="level2"><divclass="li"> spConfKey : clef de configuration du SP</div>
</li>
</ul>
</li>
</ul>
<p>
Par exemple: <ahref="http://auth.example.com/saml/singleSignOn?IDPInitiated=1&spConfKey=simplesamlphp"class="urlextern"title="http://auth.example.com/saml/singleSignOn?IDPInitiated=1&spConfKey=simplesamlphp"rel="nofollow">http://auth.example.com/saml/singleSignOn?IDPInitiated=1&spConfKey=simplesamlphp</a>