<liclass="level2"><divclass="li"><ahref="#authentication_and_userdb">Authentification et base d'utilisateurs</a></div></li>
<liclass="level2"><divclass="li"><ahref="#register_lemonldapng_on_partner_identity_provider">Enregistrer LemonLDAP::NG dans le fournisseur d'identité partenaire</a></div></li>
<liclass="level2"><divclass="li"><ahref="#register_partner_identity_provider_on_lemonldapng">Enregistrer le fournisseur d'identité partenaire dans LemonLDAP::NG</a></div>
<abbrtitle="LemonLDAP::NG">LL::NG</abbr> peut utiliser SAML2 pour obtenir l'identité et d'autres attributs definis dans le profil utilisateur défini chez son fournisseur d'identité (IDP). Dans ce cas, <abbrtitle="LemonLDAP::NG">LL::NG</abbr> agit comme un fournisseur de service SAML2 (SP).
</p>
<p>
Plusieurs IDPs peuvent être autorisés, dans ce cas l'utilisateur peut choisir l'IDP qu'il souhaite. Il est possible de pré-selectionner l'IDP par une règle de résolution.
</p>
<p>
Pour chaque IDP, il faut configurer les attributs à collecter. Certains peuvent être obligatoires, et s'ils ne sont pas retournés par l'IDP, la session n'est pas ouverte.
<divclass="notetip"><abbrtitle="LemonLDAP::NG">LL::NG</abbr> can also act as <ahref="idpsaml.html"class="wikilink1"title="documentation:2.0:idpsaml">SAML IDP</a>, that allows one to interconnect two <abbrtitle="LemonLDAP::NG">LL::NG</abbr> systems.
<divclass="notetip">Comme les mots-de-passe ne sernt pas gérés par <abbrtitle="LemonLDAP::NG">LL::NG</abbr>, il est possile de désactiver le <ahref="portalmenu.html#menu_modules"class="wikilink1"title="documentation:2.0:portalmenu">module mots-de-passe du menu</a>.
<h3class="sectionedit7"id="register_lemonldapng_on_partner_identity_provider">Enregistrer LemonLDAP::NG dans le fournisseur d'identité partenaire</h3>
<divclass="level3">
<p>
Après avoir configuré le service <abbrtitle="Security Assertion Markup Language">SAML</abbr> Service, exporter les metadatas vers le fournisseur d'identité partenaire.
</p>
<p>
Elles sont disponibles à l'<abbrtitle="Uniform Resource Locator">URL</abbr> EntityID, par défaut : <ahref="http://auth.example.com/saml/metadata"class="urlextern"title="http://auth.example.com/saml/metadata"rel="nofollow">http://auth.example.com/saml/metadata</a>.
<h3class="sectionedit8"id="register_partner_identity_provider_on_lemonldapng">Enregistrer le fournisseur d'identité partenaire dans LemonLDAP::NG</h3>
<divclass="level3">
<p>
Dans le Manager, selectionner le noeud <code>Fournisseurs d'identité <abbrtitle="Security Assertion Markup Language">SAML</abbr></code> et cliquer sur <code>Ajouter un IdP <abbrtitle="Security Assertion Markup Language">SAML</abbr></code> : Le nom d'IDP est demandé, entrer-le et cliquer sur OK.
</p>
</div>
<h4id="metadata">Métadonnée</h4>
<divclass="level4">
<p>
Il faut enregistrer les métadatas de l'IDP ici. Ceci peut être fait soit en téléchargeant le fichier, soit en l'obtenant par l'<abbrtitle="Uniform Resource Locator">URL</abbr> de métadatas de l'IDP (à condition d'avoir un lien réseau entre le serveur et l'IDP):
<liclass="level1"><divclass="li"><strong>Nom de clef</strong> : nom de la clef dans la session LemonLDAP::NG (par exemple “uid” équivaut à $uid dans les règles d'accès)</div>
</li>
<liclass="level1"><divclass="li"><strong>Obligatoire</strong> : si activé, les sessions ne seront ouvertes que si l'attribut est fourni par l'IDP.</div>
</li>
<liclass="level1"><divclass="li"><strong>Nom</strong>: Nom de l'attribut <abbrtitle="Security Assertion Markup Language">SAML</abbr>.</div>
</li>
<liclass="level1"><divclass="li"><strong>Nom alternatif</strong>: optionnel, nom alternatif de l'attribut <abbrtitle="Security Assertion Markup Language">SAML</abbr>.</div>
</li>
<liclass="level1"><divclass="li"><strong>Format</strong> (optionnel) : format de l'attribut <abbrtitle="Security Assertion Markup Language">SAML</abbr>.</div>
<liclass="level1"><divclass="li"><strong>Règle de résolution</strong> : règle à appliquer pour pré-sélectionner cet IDP. You have access to all environment variable <em>(like user <abbrtitle="Internet Protocol">IP</abbr> address)</em> and all session keys.</div>
<liclass="level1"><divclass="li"><strong>Format du NameID</strong> : force le format du NameID (email, persistent, transient, etc.). Si aucune valeur n'est indiquée, le premier format de NameID activé dans les métadatas sera utilisé.</div>
</li>
<liclass="level1"><divclass="li"><strong>Authentification forcée</strong> : positionne le drapeau ForceAuthn dans la requête d'authentification</div>
</li>
<liclass="level1"><divclass="li"><strong>Authentification passive</strong> : positionne le drapeau IsPassive dans la requête d'authentification</div>
</li>
<liclass="level1"><divclass="li"><strong>Authentification proxy autorisée</strong> : autorise qu'une réponse d'authentification soit issue d'un autre IDP que celui enregistré (proxy IDP). En interdisant ceci, on risque d'interdire aussi les authentification directe des IDP car la restriction est indiquée dans la requête d'authentification.</div>
</li>
<liclass="level1"><divclass="li"><strong>Authentification depuis le fournisseur autorisée</strong> : autorise l'utilisateur à se connecter directement depuis un lien de l'IDP. Dans ce cas, l'authentification n'est pas une réponse à une requête d'authentification ce qui diminue les capacités de contrôle.</div>
</li>
<liclass="level1"><divclass="li"><strong>Contexte d'authentification demandé</strong> : ce contexte est déclaré dans la requête d'authentification. À la réception de la requête, le contexte d'authentification réel est traduit en un niveau d'authentification interne (voir <ahref="samlservice.html#authentication_contexts"class="wikilink1"title="documentation:2.0:samlservice">comment configurer la translation</a>), utilisable pour accorder ou non la création de session.</div>
</li>
<liclass="level1"><divclass="li"><strong>Allow <abbrtitle="Uniform Resource Locator">URL</abbr> as RelayState</strong>: Set to On if the RelayState value sent by IDP is the <abbrtitle="Uniform Resource Locator">URL</abbr> where the user must be redirected after authentication.</div>
</li>
</ul>
</div>
<h5id="session">Session</h5>
<divclass="level5">
<ul>
<liclass="level1"><divclass="li"><strong>Adaptation de la durée de vie de la session</strong> : la durée de vie de la session sera adaptée sur la base de la valeur de <code>SessionNotOnOrAfter</code> dans les réponses d'authentification. Celà signifie que si l'IDP propose de clore la session au-delà de la durée de vie par défaut dans LemonLDAP::NG, la valeur de _utime sera modifiée afin que la session ne soit effacée qu'au moment indiqué par l'IDP.</div>
</li>
<liclass="level1"><divclass="li"><strong>Forcer l'UTF-8</strong> : force la conversion UTF-8 des valeurs d'attributs collectées depuis l'IDP.</div>
<liclass="level1"><divclass="li"><strong>Store <abbrtitle="Security Assertion Markup Language">SAML</abbr> Token</strong>: allows one to keep <abbrtitle="Security Assertion Markup Language">SAML</abbr> token (assertion) inside user session. Don't enable it unless you need to replay this token on an application.</div>
Ces options surchargent les options de signature du service (voir la <ahref="samlservice.html#general_options"class="wikilink1"title="documentation:2.0:samlservice">configuration du service SAML</a>).
</p>
<ul>
<liclass="level1"><divclass="li"><strong>Signature des messages <abbrtitle="Authentification unique (Single Sign On)">SSO</abbr></strong> : signe les messages <abbrtitle="Authentification unique (Single Sign On)">SSO</abbr></div>
</li>
<liclass="level1"><divclass="li"><strong>Vérification de la signature des messages <abbrtitle="Authentification unique (Single Sign On)">SSO</abbr></strong> : vérifie la signature des messages <abbrtitle="Authentification unique (Single Sign On)">SSO</abbr></div>
</li>
<liclass="level1"><divclass="li"><strong>Signature des messages SLO</strong> : signe les messages de déconnexion SLO (single logout)</div>
</li>
<liclass="level1"><divclass="li"><strong>Vérifie la signature des messages SLO</strong> : vérifie la signature des messages SLO</div>
</li>
</ul>
</div>
<h5id="binding">Méthode</h5>
<divclass="level5">
<ul>
<liclass="level1"><divclass="li"><strong>Méthode <abbrtitle="Authentification unique (Single Sign On)">SSO</abbr></strong> : force la méthode à utiliser pour le <abbrtitle="Authentification unique (Single Sign On)">SSO</abbr> (http-redirect, http-post, etc.)</div>
</li>
<liclass="level1"><divclass="li"><strong>Méthode SLO</strong> : force la méthode à utiliser pour le SLO (http-redirect, http-post, etc.)</div>
</li>
</ul>
<divclass="noteclassic">Si aucune méthode n'est définie, la méthode par défaut des métadatas de l'IDP sera utilisée.
</div>
</div>
<h5id="security">Sécurité</h5>
<divclass="level5">
<ul>
<liclass="level1"><divclass="li"><strong>Mode de chiffrement</strong> : fixe le mode de chiffrement pour cet IDP (None, NameID ou Assertion).</div>
</li>
<liclass="level1"><divclass="li"><strong>Check time conditions</strong>: set to Off to disable time conditions checking on authentication responses.</div>
</li>
<liclass="level1"><divclass="li"><strong>Check audience conditions</strong>: set to Off to disable audience conditions checking on authentication responses.</div>