Exigences de SAML relatives aux Identity Providers

L'Identity Provider (IdP) que vous spécifiez pour l'authentification SSO SAML (Security Assertion Markup Language) doit :

  • Prendre en charge SAML 2.0 et les versions ultérieures
  • Fournir une URL au Service Provider (SP) afin qu'il puisse récupérer et actualiser les métadonnées XML de l'IdP via une programmation
  • Traiter le NameId chiffré dans les requêtes envoyées par le SP
  • Signer et chiffrer les assertions
  • Prendre en charge RSA SHA-256. Pour de plus amples informations, consultez RFC 4051.
  • Prendre en charge l'utilisation du même certificat SP pour signer les messages et les données du SP transmis à l'IdP et pour chiffrer les données de l'IdP transmises au SP
  • Exiger que les métadonnées du SP soient signées et valider leur signature
  • Signer les messages, même si leur contenu, par exemple une assertion, est signé
  • Chiffrer le NameId des requêtes, même si ces dernières sont transmises via un canal sécurisé (HTTPS)
  • Récupérer et actualiser automatiquement les métadonnées du SP à partir d'une URL publiée, et respecter les valeurs validityPeriod et cacheDuration
  • Obtenir un nouveau certificat X.509 à partir des métadonnées du SP de manière à prendre en charge la substitution du certificat SP
  • Prendre en charge l'inclusion des groupes auxquels appartient l'utilisateur authentifié par le biais d'un AttributeStatement. Dans la configuration Firebox, le nom par défaut de l'attribut est MemberOf.
  • Prendre en charge la liaison HTTP-Redirect du Service de Déconnexion Unique. Si l'IdP prend uniquement en charge la liaison HTTP-Post, cette fonctionnalité ne doit pas être activée si Access Portal est ajouté à l'IdP. Okta constitue un exemple d'IdP prenant uniquement en charge la liaison HTTP-Post.

Voir Également

À propos de SAML Single Sign-On

Configurer SAML Single Sign-On

À propos d'Access Portal