Exigences de SAML relatives aux Identity Providers
L'Identity Provider (IdP) que vous spécifiez pour l'authentification SSO SAML (Security Assertion Markup Language) doit :
- Prendre en charge SAML 2.0 et les versions ultérieures
- Fournir une URL au Service Provider (SP) afin qu'il puisse récupérer et actualiser les métadonnées XML de l'IdP via une programmation
- Traiter le NameId chiffré dans les requêtes envoyées par le SP
- Signer et chiffrer les assertions
- Prendre en charge RSA SHA-256. Pour de plus amples informations, consultez RFC 4051.
- Prendre en charge l'utilisation du même certificat SP pour signer les messages et les données du SP transmis à l'IdP et pour chiffrer les données de l'IdP transmises au SP
- Exiger que les métadonnées du SP soient signées et valider leur signature
- Signer les messages, même si leur contenu, par exemple une assertion, est signé
- Chiffrer le NameId des requêtes, même si ces dernières sont transmises via un canal sécurisé (HTTPS)
- Récupérer et actualiser automatiquement les métadonnées du SP à partir d'une URL publiée, et respecter les valeurs validityPeriod et cacheDuration
- Obtenir un nouveau certificat X.509 à partir des métadonnées du SP de manière à prendre en charge la substitution du certificat SP
- Prendre en charge l'inclusion des groupes auxquels appartient l'utilisateur authentifié par le biais d'un AttributeStatement. Dans la configuration Firebox, le nom par défaut de l'attribut est MemberOf.
- Prendre en charge la liaison HTTP-Redirect du Service de Déconnexion Unique. Si l'IdP prend uniquement en charge la liaison HTTP-Post, cette fonctionnalité ne doit pas être activée si Access Portal est ajouté à l'IdP. Okta constitue un exemple d'IdP prenant uniquement en charge la liaison HTTP-Post.
Voir Également
À propos de SAML Single Sign-On