dani/lemonldap-ng
1
0
Fork 0
Code Issues Pull Requests Packages Projects Releases Wiki Activity
5d35b3271f
lemonldap-ng/po-doc/fr/pages/documentation/current/samlservice.html
Clément Oudot 9a938793d8 FR documentation update
2017-08-30 16:47:26 +00:00

592 lines
27 KiB
HTML
Raw Blame History

<!DOCTYPE html>
<html lang="fr" dir="ltr">
<head>
<meta http-equiv="content-type" content="text/html; charset=UTF-8">
<meta charset="utf-8" />
<title>documentation:2.0:samlservice</title><!-- //if:usedebianlibs
<link rel="stylesheet" type="text/css" href="/javascript/bootstrap/css/bootstrap.min.css" />
//elsif:useexternallibs
<link rel="stylesheet" type="text/css" href="https://maxcdn.bootstrapcdn.com/bootstrap/3.3.6/css/bootstrap.min.css"></script>
//elsif:cssminified
<link rel="stylesheet" type="text/css" href="/static/bwr/bootstrap/dist/css/bootstrap.min.css" />
//else --><!-- //endif -->
<meta name="generator" content="DokuWiki"/>
<meta name="robots" content="noindex,nofollow"/>
<meta name="keywords" content="documentation,2.0,samlservice"/>
<link rel="search" type="application/opensearchdescription+xml" href="lib/exe/opensearch.html" title="LemonLDAP::NG"/>
<link rel="start" href="samlservice.html"/>
<link rel="contents" href="samlservice.html" title="Sitemap"/>
<link rel="stylesheet" type="text/css" href="lib/exe/css.php.t.bootstrap3.css"/>
<link rel="stylesheet" type="text/css" href="/static/bwr/bootstrap/dist/css/bootstrap.css" />
<script type="text/javascript">/*<![CDATA[*/var NS='documentation:2.0';var JSINFO = {"id":"documentation:2.0:samlservice","namespace":"documentation:2.0"};
/*!]]>*/</script>
<script type="text/javascript" charset="utf-8" src="lib/exe/js.php.t.bootstrap3.js"></script><!-- //if:usedebianlibs
<script type="text/javascript" src="/javascript/jquery/jquery.min.js"></script>
//elsif:useexternallibs
<script type="text/javascript" src="http://code.jquery.com/jquery-2.2.0.min.js"></script>
//elsif:jsminified
<script type="text/javascript" src="/static/bwr/jquery/dist/jquery.min.js"></script>
//else -->
<script type="text/javascript" src="/static/bwr/jquery/dist/jquery.js"></script><!-- //endif --><!-- //if:usedebianlibs
<script type="text/javascript" src="/javascript/jquery-ui/jquery-ui.min.js"></script>
//elsif:useexternallibs
<script type="text/javascript" src="http://code.jquery.com/ui/1.10.4/jquery-ui.min.js"></script>
//elsif:jsminified
<script type="text/javascript" src="/lib/scripts/jquery-ui.min.js"></script>
//else -->
<script type="text/javascript" src="/lib/scripts/jquery-ui.js"></script><!-- //endif -->
</head>
<body>
<div class="dokuwiki export container"><!-- TOC START -->
<div id="dw__toc">
<h3 class="toggle">Table of Contents</h3>
<div>
<ul class="toc">
<li class="level1"><div class="li"><a href="#presentation">Présentation</a></div></li>
<li class="level1"><div class="li"><a href="#prerequisites">Pré-requis</a></div>
<ul class="toc">
<li class="level2"><div class="li"><a href="#lasso">Lasso</a></div>
<ul class="toc">
<li class="level3"><div class="li"><a href="#debianubuntu">Debian/Ubuntu</a></div></li>
<li class="level3"><div class="li"><a href="#rhelcentosfedora">RHEL/CentOS/Fedora</a></div></li>
<li class="level3"><div class="li"><a href="#other">Autres</a></div></li>
</ul>
</li>
</ul>
</li>
<li class="level1"><div class="li"><a href="#service_configuration">Configuration du service</a></div>
<ul class="toc">
<li class="level2"><div class="li"><a href="#entry_identifier">Identifiant d'entrée</a></div></li>
<li class="level2"><div class="li"><a href="#security_parameters">Paramètres de sécurité</a></div></li>
<li class="level2"><div class="li"><a href="#nameid_formats">Formats de NameID</a></div></li>
<li class="level2"><div class="li"><a href="#authentication_contexts">Contextes d'authentification</a></div></li>
<li class="level2"><div class="li"><a href="#organization">Organisation</a></div></li>
<li class="level2"><div class="li"><a href="#service_provider">Fournisseur de service</a></div>
<ul class="toc">
<li class="level3"><div class="li"><a href="#general_options">Options générales</a></div></li>
<li class="level3"><div class="li"><a href="#single_logout">Single Logout (SLO)</a></div></li>
<li class="level3"><div class="li"><a href="#assertion_consumer">Consommateur d'assertions</a></div></li>
<li class="level3"><div class="li"><a href="#artifact_resolution">Résolution des artifacts</a></div></li>
</ul>
</li>
<li class="level2"><div class="li"><a href="#identity_provider">Fournisseur d'identité</a></div>
<ul class="toc">
<li class="level3"><div class="li"><a href="#general_parameters">Paramètres généraux</a></div></li>
<li class="level3"><div class="li"><a href="#single_sign_on">Authentification unique (Single Sign On)</a></div></li>
<li class="level3"><div class="li"><a href="#single_logout1">Single Logout (SLO)</a></div></li>
<li class="level3"><div class="li"><a href="#artifact_resolution1">Résolution des artifacts</a></div></li>
</ul>
</li>
<li class="level2"><div class="li"><a href="#attribute_authority">Autorité d'attributs</a></div>
<ul class="toc">
<li class="level3"><div class="li"><a href="#attribute_service">Service d'attribut</a></div></li>
</ul>
</li>
<li class="level2"><div class="li"><a href="#advanced">Avancé</a></div>
<ul class="toc">
<li class="level3"><div class="li"><a href="#saml_sessions_module_name_and_options">Options et nom du module de sessions SAML</a></div></li>
<li class="level3"><div class="li"><a href="#common_domain_cookie">Domaine commun de cookie</a></div></li>
</ul></li>
</ul></li>
</ul>
</div>
</div><!-- TOC END -->
<h1 class="sectionedit1" id="saml_service_configuration">Configuration du service SAML</h1>
<div class="level1">
<div class="noteclassic">La configuration du service <abbr title="Security Assertion Markup Language">SAML</abbr> est une étape commune pour configurer <abbr title="LemonLDAP::NG">LL::NG</abbr> comme <a href="authsaml.html" class="wikilink1" title="documentation:2.0:authsaml">fournisseur de service SAML (SP)</a> ou <a href="idpsaml.html" class="wikilink1" title="documentation:2.0:idpsaml">fournisseur d'identité SAML (IDP)</a>.
</div>
</div><!-- EDIT1 SECTION "SAML service configuration" [1-169] -->
<h2 class="sectionedit2" id="presentation">Présentation</h2>
<div class="level2">
<p>
Cette documentation explique comment configurer le service <abbr title="Security Assertion Markup Language">SAML</abbr> dans <abbr title="LemonLDAP::NG">LL::NG</abbr>, en particulier :
</p>
<ul>
<li class="level1"><div class="li"> Installer les pré-requis</div>
</li>
<li class="level1"><div class="li"> Importer ou generer les clefs de securité</div>
</li>
<li class="level1"><div class="li"> Indiquer les points d'entrées <abbr title="Security Assertion Markup Language">SAML</abbr></div>
</li>
</ul>
<div class="noteimportant">La configuration du service est utilisée pour générer les métadatas <abbr title="Security Assertion Markup Language">SAML</abbr> de <abbr title="LemonLDAP::NG">LL::NG</abbr>, qui sont partagées avec les autres fournisseurs. Ceci signifie que si vous modifiez quelque chose ici, vous devez ré-exporter les metadatas aux autres fournisseurs. En d'autres mots, prenez le temps de bien configurer cette partie avant de partager les metadatas.
</div>
</div><!-- EDIT2 SECTION "Presentation" [170-689] -->
<h2 class="sectionedit3" id="prerequisites">Pré-requis</h2>
<div class="level2">
</div><!-- EDIT3 SECTION "Prerequisites" [690-716] -->
<h3 class="sectionedit4" id="lasso">Lasso</h3>
<div class="level3">
<p>
<a href="documentation/lasso.png_documentation_2.0_samlservice.html" class="media" title="documentation:lasso.png"><img src="documentation/lasso.png" class="mediacenter" alt="" /></a>
</p>
<p>
L'implementation SAML est basée sur <a href="http://lasso.entrouvert.org" class="urlextern" title="http://lasso.entrouvert.org" rel="nofollow">Lasso</a>. Vous devez utiliser une version récente de Lasso (&gt;= 2.3.0).
</p>
</div>
<h4 id="debianubuntu">Debian/Ubuntu</h4>
<div class="level4">
<p>
Les paquets sont disponibles ici : <a href="http://deb.entrouvert.org/" class="urlextern" title="http://deb.entrouvert.org/" rel="nofollow">http://deb.entrouvert.org/</a>.
</p>
<p>
You will only need to install liblasso-perl package:
</p>
<pre class="code">sudo apt-get install liblasso-perl</pre>
</div>
<h4 id="rhelcentosfedora">RHEL/CentOS/Fedora</h4>
<div class="level4">
<p>
RPMs are available in <abbr title="LemonLDAP::NG">LL::NG</abbr> RPM repository (see <a href="installrpm.html#yum_repository" class="wikilink1" title="documentation:2.0:installrpm">yum_repository</a>)
</p>
<p>
Then install lasso and lasso-perl packages:
</p>
<pre class="code">yum install lasso lasso-perl</pre>
<div class="noteimportant">Only EL6 64bits and EL7 64bits package are available.
</div>
</div>
<h4 id="other">Autres</h4>
<div class="level4">
<p>
<a href="http://lasso.entrouvert.org/download/" class="urlextern" title="http://lasso.entrouvert.org/download/" rel="nofollow">Téléchargez l'archive Lasso</a> et compilez là sur votre système.
</p>
</div><!-- EDIT4 SECTION "Lasso" [717-1485] -->
<h2 class="sectionedit5" id="service_configuration">Configuration du service</h2>
<div class="level2">
<p>
Allez dans le Manager et cliquez sur le nœud <code>Service <abbr title="Security Assertion Markup Language">SAML</abbr> 2</code>.
</p>
<div class="notetip">Vous pouvez utiliser le mot clef #PORTAL# dans les valeurs pour remplacer l'<abbr title="Uniform Resource Locator">URL</abbr> du portail.
</div>
</div><!-- EDIT5 SECTION "Service configuration" [1486-1649] -->
<h3 class="sectionedit6" id="entry_identifier">Identifiant d'entrée</h3>
<div class="level3">
<p>
Votre EntityID, souvent utilisé comme <abbr title="Uniform Resource Locator">URL</abbr> des métadatas, par défaut #PORTAL#/saml/metadata.
</p>
<div class="noteclassic">Cette valeur est utilisé dans les metadatas :
<pre class="code file xml"><span class="sc3"><span class="re1">&lt;EntityDescriptor</span> <span class="re0">entityID</span>=<span class="st0">"http://auth.example.com/saml/metadata"</span><span class="re2">&gt;</span></span>
...
<span class="sc3"><span class="re1">&lt;/EntityDescriptor<span class="re2">&gt;</span></span></span></pre>
</div><div class="notewarning">Si vous modifiez le suffixe <code>/saml/metadata</code>, vous devez changer la règle de réécriture d'Apache.
</div>
</div><!-- EDIT6 SECTION "Entry Identifier" [1650-2047] -->
<h3 class="sectionedit7" id="security_parameters">Paramètres de sécurité</h3>
<div class="level3">
<p>
Vous pouver définir des clefs pour la signature et le chiffrement des messages <abbr title="Security Assertion Markup Language">SAML</abbr>. Si aucune clef de chiffrement n'est définie, la clef de signature est aussi utilisée pour le chiffrement.
</p>
<p>
Pour définir les clefs, vous pouvez :
</p>
<ul>
<li class="level1"><div class="li"> import your own private and public keys (<code>Replace by file</code> input)</div>
</li>
<li class="level1"><div class="li"> generate new public and private keys (<code>New keys</code> button)</div>
</li>
</ul>
<div class="notetip">Vous pouvez entrer un mot de passe de protection de la clef privée. Il vous sera demandé à la génération de la clef ou vous pouvez l'entrer dans le champ <code>Mot-de-passe de la clef privée</code>.
</div>
<p>
<img src="documentation/manager-saml-signature.png" class="mediacenter" alt="" />
</p>
<p>
Vous pouver importer un certificat contenant la clef publique au lieu d'une simple clef. Toutefois, le certificat ne sera pas réellement validé par les autres composants <abbr title="Security Assertion Markup Language">SAML</abbr> (date d'expiration, nom commun, etc.), mais simplement vu comme un conteneur de clef publique.
</p>
<p>
You can force <abbr title="LemonLDAP::NG">LL::NG</abbr> to use this certificate in <abbr title="Security Assertion Markup Language">SAML</abbr> responses by enabling <strong>Use certificate in response</strong> option.
</p>
<div class="notetip">You can easily generate a certificate to replace your public key by saving the private key in a file, and use <code>openssl</code> commands to issue a self-signed certificate:
<pre class="code">$ openssl req -new -key private.key -out cert.csr
$ openssl x509 -req -days 3650 -in cert.csr -signkey private.key -out cert.pem</pre>
</div>
</div><!-- EDIT7 SECTION "Security parameters" [2048-3310] -->
<h3 class="sectionedit8" id="nameid_formats">Formats de NameID</h3>
<div class="level3">
<p>
<abbr title="Security Assertion Markup Language">SAML</abbr> peut utiliser plusieurs formats de NameID. NameID est l'identifiant principal de l'utilisateur transmis dans les messages <abbr title="Security Assertion Markup Language">SAML</abbr>. Vous pouvez indiquer ici l'attribut de session de <abbr title="LemonLDAP::NG">LL::NG</abbr> qui sera associé au format du NameID.
</p>
<div class="noteclassic">Ce paramètre est utilisé par l'<a href="idpsaml.html" class="wikilink1" title="documentation:2.0:idpsaml">IdP SAML</a> pour construire le NameID dans les réponses d'authentification.
</div>
<p>
Les formats de NameID personnalisables sont :
</p>
<ul>
<li class="level1"><div class="li"> Email</div>
</li>
<li class="level1"><div class="li"> X509</div>
</li>
<li class="level1"><div class="li"> Windows</div>
</li>
<li class="level1"><div class="li"> Kerberos</div>
</li>
</ul>
<div class="notetip">Par exemple, si vous utilisez <a href="authldap.html" class="wikilink1" title="documentation:2.0:authldap">Active-Directory comme système d'authentification</a>, vous pouvez utiliser sAMAccountName come format de NameID Windows.
</div>
<p>
Les autres formats de NameID sont automatiquement gérés :
</p>
<ul>
<li class="level1"><div class="li"> <strong>Transient</strong>: le NameID est généré</div>
</li>
<li class="level1"><div class="li"> <strong>Persistent</strong>: le NameID est restoré depuis la session précédente</div>
</li>
<li class="level1"><div class="li"> <strong>Undefined</strong>: le format de NameID par défaut est utilisé</div>
</li>
</ul>
</div><!-- EDIT8 SECTION "NameID formats" [3311-4069] -->
<h3 class="sectionedit9" id="authentication_contexts">Contextes d'authentification</h3>
<div class="level3">
<p>
Chaque module d'authentification de <abbr title="LemonLDAP::NG">LL::NG</abbr> dispose d'un niveau d'authentification qui peut être associé à un <a href="http://docs.oasis-open.org/security/saml/v2.0/saml-authn-context-2.0-os.pdf" class="urlextern" title="http://docs.oasis-open.org/security/saml/v2.0/saml-authn-context-2.0-os.pdf" rel="nofollow">contexte d'authentification SAML</a>.
</p>
<div class="noteclassic">Ce paramètre est utilisé par l'<a href="idpsaml.html" class="wikilink1" title="documentation:2.0:idpsaml">IdP SAML</a> pour renseigner le contexte d'authentification dans les réponses. Il utilise le niveau d'authentification enregistré dans la session de l'utilisateur pour établir le contexte d'authentification <abbr title="Security Assertion Markup Language">SAML</abbr>. Il est également utilisé par le <a href="authsaml.html" class="wikilink1" title="documentation:2.0:authsaml">SP SAML</a> pour définir le niveau d'authentification dans la session de l'utilisateur en se basant sur la réponse d'authentification.
</div>
<p>
Les formats de NameID personnalisables sont :
</p>
<ul>
<li class="level1"><div class="li"> Mot-de-passe</div>
</li>
<li class="level1"><div class="li"> Transport protégé du mot-de-passe</div>
</li>
<li class="level1"><div class="li"> Client TLS</div>
</li>
<li class="level1"><div class="li"> Kerberos</div>
</li>
</ul>
</div><!-- EDIT9 SECTION "Authentication contexts" [4070-4793] -->
<h3 class="sectionedit10" id="organization">Organisation</h3>
<div class="level3">
<div class="noteclassic">Ceci concerne tous les paramètres de la section "organization" des métadatas :
<pre class="code file xml"><span class="sc3"><span class="re1">&lt;Organization<span class="re2">&gt;</span></span></span>
<span class="sc3"><span class="re1">&lt;OrganizationName</span> <span class="re0">xml:lang</span>=<span class="st0">"en"</span><span class="re2">&gt;</span></span>Exemple<span class="sc3"><span class="re1">&lt;/OrganizationName<span class="re2">&gt;</span></span></span>
<span class="sc3"><span class="re1">&lt;OrganizationDisplayName</span> <span class="re0">xml:lang</span>=<span class="st0">"en"</span><span class="re2">&gt;</span></span>Exemple<span class="sc3"><span class="re1">&lt;/OrganizationDisplayName<span class="re2">&gt;</span></span></span>
<span class="sc3"><span class="re1">&lt;OrganizationURL</span> <span class="re0">xml:lang</span>=<span class="st0">"en"</span><span class="re2">&gt;</span></span>http://www.example.com<span class="sc3"><span class="re1">&lt;/OrganizationURL<span class="re2">&gt;</span></span></span>
<span class="sc3"><span class="re1">&lt;/Organization<span class="re2">&gt;</span></span></span></pre>
</div><ul>
<li class="level1"><div class="li"> <strong>Nom affiché (display name)</strong> : peut être affiché par le fournisseur d'identité (IDP), this is often your society name</div>
</li>
<li class="level1"><div class="li"> <strong>Name</strong>: nom interne</div>
</li>
<li class="level1"><div class="li"> <strong><abbr title="Uniform Resource Locator">URL</abbr></strong>: <abbr title="Uniform Resource Locator">URL</abbr> de votre organisation</div>
</li>
</ul>
</div><!-- EDIT10 SECTION "Organization" [4794-5305] -->
<h3 class="sectionedit11" id="service_provider">Fournisseur de service</h3>
<div class="level3">
<div class="noteclassic">Ceci concerne tous les paramètres de la section « fournisseur de service » des metadatas :
<pre class="code file xml"><span class="sc3"><span class="re1">&lt;SPSSODescriptor<span class="re2">&gt;</span></span></span>
...
<span class="sc3"><span class="re1">&lt;/SPSSODescriptor<span class="re2">&gt;</span></span></span></pre>
</div>
</div>
<h4 id="general_options">Options générales</h4>
<div class="level4">
<ul>
<li class="level1"><div class="li"> <strong>Requête d'authentification signée</strong> : mettre à « activé » pour toujours signer les requêtes d'authentifications.</div>
</li>
<li class="level1"><div class="li"> <strong>Exiger des assertions signées</strong> : mettre à « activé » pour exiger de recevoir des assertions signées.</div>
</li>
</ul>
<div class="notetip">Ces options peuvent être surchargées pour chaque fournisseur d'identité.
</div>
</div>
<h4 id="single_logout">Single Logout (SLO)</h4>
<div class="level4">
<p>
Pour chaque déclaration, vous pouvez indiquer :
</p>
<ul>
<li class="level1"><div class="li"> <strong>Location</strong>: Point d'accès pour les requêtes de SLO.</div>
</li>
<li class="level1"><div class="li"> <strong>Response Location</strong>: Point d'accès pour les réponses SLO.</div>
</li>
</ul>
<p>
Les déclarations disponibles sont :
</p>
<ul>
<li class="level1"><div class="li"> HTTP Redirect</div>
</li>
<li class="level1"><div class="li"> HTTP POST</div>
</li>
<li class="level1"><div class="li"> HTTP SOAP</div>
</li>
</ul>
</div>
<h4 id="assertion_consumer">Consommateur d'assertions</h4>
<div class="level4">
<p>
Pour chaque déclaration, vous pouvez indiquer :
</p>
<ul>
<li class="level1"><div class="li"> <strong>Défaut</strong> : déclaration utilisée par défaut pour les réponses d'authentification.</div>
</li>
<li class="level1"><div class="li"> <strong>Location</strong>: Point d'accès des requêtes et réponses <abbr title="Authentification unique (Single Sign On)">SSO</abbr>.</div>
</li>
</ul>
<p>
Les déclarations disponibles sont :
</p>
<ul>
<li class="level1"><div class="li"> HTTP Artifact</div>
</li>
<li class="level1"><div class="li"> HTTP POST</div>
</li>
</ul>
</div>
<h4 id="artifact_resolution">Résolution des artifacts</h4>
<div class="level4">
<p>
The only authorized binding is SOAP. Peut être défini par défaut.
</p>
</div><!-- EDIT11 SECTION "Service Provider" [5306-6360] -->
<h3 class="sectionedit12" id="identity_provider">Fournisseur d'identité</h3>
<div class="level3">
<div class="noteclassic">Ceci concerne tous les paramètres de la section « fournisseur de service » des metadatas :
<pre class="code file xml"><span class="sc3"><span class="re1">&lt;IDPSSODescriptor<span class="re2">&gt;</span></span></span>
...
<span class="sc3"><span class="re1">&lt;/IDPSSODescriptor<span class="re2">&gt;</span></span></span></pre>
</div>
</div>
<h4 id="general_parameters">Paramètres généraux</h4>
<div class="level4">
<ul>
<li class="level1"><div class="li"> <strong>Exiger des requêtes d'authentification signées</strong> : mettre à « activer » pour exiger de recevoir des requêtes d'authentification signées.</div>
</li>
</ul>
<div class="notetip">Cette option peut être surchargée pour chaque fournisseur de service.
</div>
</div>
<h4 id="single_sign_on">Authentification unique (Single Sign On)</h4>
<div class="level4">
<p>
Pour chaque déclaration, vous pouvez indiquer :
</p>
<ul>
<li class="level1"><div class="li"> <strong>Location</strong>: Point d'accès pour les requêtes <abbr title="Authentification unique (Single Sign On)">SSO</abbr>.</div>
</li>
<li class="level1"><div class="li"> <strong>Response Location</strong> : Point d'accès pour les réponses <abbr title="Authentification unique (Single Sign On)">SSO</abbr>.</div>
</li>
</ul>
<p>
Les déclarations disponibles sont :
</p>
<ul>
<li class="level1"><div class="li"> HTTP Redirect</div>
</li>
<li class="level1"><div class="li"> HTTP POST</div>
</li>
<li class="level1"><div class="li"> HTTP Artifact</div>
</li>
<li class="level1"><div class="li"> HTTP SOAP</div>
</li>
</ul>
</div>
<h4 id="single_logout1">Single Logout (SLO)</h4>
<div class="level4">
<p>
Pour chaque déclaration, vous pouvez indiquer :
</p>
<ul>
<li class="level1"><div class="li"> <strong>Location</strong>: Point d'accès pour les requêtes de SLO.</div>
</li>
<li class="level2"><div class="li"> <strong>Response Location</strong>: Point d'accès pour les réponses SLO.</div>
</li>
</ul>
<p>
Les déclarations disponibles sont :
</p>
<ul>
<li class="level1"><div class="li"> HTTP Redirect</div>
</li>
<li class="level1"><div class="li"> HTTP POST</div>
</li>
<li class="level1"><div class="li"> HTTP SOAP</div>
</li>
</ul>
</div>
<h4 id="artifact_resolution1">Résolution des artifacts</h4>
<div class="level4">
<p>
The only authorized binding is SOAP. Peut être défini par défaut.
</p>
</div><!-- EDIT12 SECTION "Identity Provider" [6361-7349] -->
<h3 class="sectionedit13" id="attribute_authority">Autorité d'attributs</h3>
<div class="level3">
<div class="noteclassic">Ceci concerne tous les paramètres de la section « autorité d'attributs » des métadatas
<pre class="code file xml"><span class="sc3"><span class="re1">&lt;AttributeAuthorityDescriptor<span class="re2">&gt;</span></span></span>
...
<span class="sc3"><span class="re1">&lt;/AttributeAuthorityDescriptor<span class="re2">&gt;</span></span></span></pre>
</div>
</div>
<h4 id="attribute_service">Service d'attribut</h4>
<div class="level4">
<p>
This is the only service to configure, and it accept only the SOAP binding.
</p>
<p>
Response Location should be empty, as SOAP responses are directly returned (synchronous binding).
</p>
</div><!-- EDIT13 SECTION "Attribute Authority" [7350-7761] -->
<h3 class="sectionedit14" id="advanced">Avancé</h3>
<div class="level3">
<p>
Ces paramètres ne sont pas obligatoires pour faire fonctionner le service <abbr title="Security Assertion Markup Language">SAML</abbr>, mais peuvent aider à leur personnalisation :
</p>
<ul>
<li class="level1"><div class="li"> <strong>Nom du cookie de résolution de l'IDP</strong>: par défaut, c'est le nom du cookie <abbr title="LemonLDAP::NG">LL::NG</abbr> auquel est adjoint <code>idp</code>, par exemple: <code>lemonldapidp</code>.</div>
</li>
<li class="level1"><div class="li"> <strong>Conversion des métadatas un UTF8</strong> : mettre à « activé » pour forcer la conversion des métadata des partenaires.</div>
</li>
</ul>
</div>
<h4 id="saml_sessions_module_name_and_options">Options et nom du module de sessions SAML</h4>
<div class="level4">
<p>
Par défautBy, le module de session principal est utilisé pour stocker les données temporaires <abbr title="Security Assertion Markup Language">SAML</abbr> (tel les états de relais), mais les sessions <abbr title="Security Assertion Markup Language">SAML</abbr> doivent disposer d'un module compatible avec les <a href="documentation/features.html#session_restrictions" class="wikilink1" title="documentation:features">fonctionnalités de restrictions des sessions</a>.
</p>
<p>
C'est par exemple le cas de <a href="memcachedsessionbackend.html" class="wikilink1" title="documentation:2.0:memcachedsessionbackend">Memcached</a>. Dans ce cas, vous devez utiliser un module différent pour gérer les sessions <abbr title="Security Assertion Markup Language">SAML</abbr>.
</p>
<div class="notetip">Vous pouvez également utiliser un module différent pour répartir les sessions <abbr title="Authentification unique (Single Sign On)">SSO</abbr> et <abbr title="Security Assertion Markup Language">SAML</abbr>.
</div><ul>
<li class="level1"><div class="li"> <strong>Durée de vie d'une session RelayState</strong> : durée de vie d'une session RelayState. Par défaut, la session RelayState est détruite lorsqu'elle est lue. This timeout allows one to purge sessions of lost RelayState.</div>
</li>
<li class="level1"><div class="li"> <strong>Use specific query_string method</strong>: the CGI query_string method may break invalid <abbr title="Uniform Resource Locator">URL</abbr> encoded signatures (issued for example by ADFS). This option allows one to use a specific method to extract query string, that should be compliant with non standard <abbr title="Uniform Resource Locator">URL</abbr> encoded parameters.</div>
</li>
</ul>
</div>
<h4 id="common_domain_cookie">Domaine commun de cookie</h4>
<div class="level4">
<div class="noteclassic">Le domaine commun de cookie est également connu comme <a href="http://www.switch.ch/aai/support/tools/wayf.html" class="urlextern" title="http://www.switch.ch/aai/support/tools/wayf.html" rel="nofollow">service WAYF</a>.
</div>
<p>
Le domaine commun est utilisé par le <a href="authsaml.html" class="wikilink1" title="documentation:2.0:authsaml">SP SAML</a> pour trouver le fournisseur d'identité de l'utilisateur et par l'<a href="idpsaml.html" class="wikilink1" title="documentation:2.0:idpsaml">IdP SAML</a> pour s'enregistrer dans la liste des IDP.
</p>
<p>
Les paramètres de configuration sont :
</p>
<ul>
<li class="level1"><div class="li"> <strong>Activation</strong> : mettre à « activé » pour activer le support du domaine commun de cookie.</div>
</li>
<li class="level1"><div class="li"> <strong>Domaine commun</strong> : Nom du domaine commun (où le cookie commun est disponible).</div>
</li>
<li class="level1"><div class="li"> <strong><abbr title="Uniform Resource Locator">URL</abbr> de lecture</strong> : <abbr title="Uniform Resource Locator">URL</abbr> utilisée par le SP <abbr title="Security Assertion Markup Language">SAML</abbr> pour lire le cookie. Laissez vide pour désactiver cette fonctionnalité.</div>
</li>
<li class="level1"><div class="li"> <strong><abbr title="Uniform Resource Locator">URL</abbr> d'écriture</strong> : <abbr title="Uniform Resource Locator">URL</abbr> utilisée par l'IdP <abbr title="Security Assertion Markup Language">SAML</abbr> pour écrire le cookie. Laissez vide pour désactiver cette fonctionnalité.</div>
</li>
</ul>
</div><!-- EDIT14 SECTION "Advanced" [7762-] -->
</div>
</body>
</html>
Reference in New Issue View Git Blame Copy Permalink