Documentation en ligne

Déclaration d'un service SAML

SAML (pour Security Assertion Markup Language) est un standard définissant un protocole pour échanger des informations liées à la sécurité; il propose notamment le nécessaire pour assurer l'authentification unique (en anglais single sign-on ou SSO) sur le web.

Un service SAML est défini par un fichier de métadonnées (metadata)  qui décrit les URL et options concernant divers aspects du protocole.

Pour déclarer un nouveau service SAML, depuis la page d'administration technique d'Autentic, choisissez d'ajouter un « Fournisseur SAML » et complétez le formulaire :

  • Identifiant est le nom du service tel que vous voulez le voir présenté aux usagers;
  • Identifiant court est un identifiant interne;
  • Collectivité permet d'attacher le service à une collectivité particulière;

La suite du formulaire concerne la description technique du service.  Si les métadonnées du service sont disponibles d'une URL publique, elle peut être renseignée ici, cela facilitera ensuite les mises à jour en cas de changement. Dans tous les cas, placez le fichier de métadonnées du service dans le champ.

La clé publique du service est normalement reprise dans le fichier de métadonnées, si ce n'était pas le cas, il est possible de poser ici cette information au format PEM. Le certificat SSL et les la chaine de certificat vers l'autorité de certification sont optionnels et doivent couramment être laissés vides.

Dans la section suivante, il est possible de régler des options de fonctionnement du service, les métadonnées peuvent en fait décrire plusieurs services, la première case à cocher permet de dire que le premier doit être activé, ce sera généralement le seul, il faut donc cocher la case.

Le règlement d'options de fournisseur de service permet de régler des options supplémentaires par rapport au protocole, ceux-ci seront décrits dans une autre page de la documentation (TODO).

Dans la dernière partie du formulaire, il est possible de définir des attributs supplémentaires qui seront passés lors de la phase d'authentification, généralement ceux-ci auront déjà été définis au niveau du règlement d'options et cette partie peut ainsi être laissée vide.

Dernière mise à jour le 18 avril 2018 08:55