Documentation sur Oracle Cloud Infrastructure

Ajout d'une application SAML

Créer une application SAML (Security Assertion Markup Language) et l'accorder aux utilisateurs afin qu'ils puissent se connecter par authentification unique aux applications SaaS qui prennent en charge SAML pour l'authentification unique.

Avant de commencer :

Avant de créer l'application SAML, tous les utilisateurs qui doivent se connecter à l'aide de cette application doivent être présents dans le fournisseur de services. Si nécessaire, utilisez le provisionnement SCIM pour synchroniser des utilisateurs ou des groupes du fournisseur d'identités (IdP) avec le fournisseur de services. Voir Intégration d'applications personnalisées avec GIA.

  1. Dans la page de liste Domaines, sélectionnez le domaine dans lequel vous souhaitez apporter des modifications. Si vous avez besoin d'aide pour trouver la page de liste du domaine, voir Liste des domaines d'identité.
  2. Dans la page des détails, sélectionnez Applications intégrées. Une liste d'applications du domaine s'affiche.
  3. Sélectionnez Ajouter une application.
  4. Dans la fenêtre Ajouter une application, sélectionnez Application SAML.
  5. Sélectionnez Lancer le flux de travail.
  6. Dans la page Ajouter une application SAML, indiquez des valeurs pour les champs suivants :

    • Dans le champ Nom, entrez un nom pour l'application.

      Pour les applications portant des noms longs, le nom de l'application apparaît tronqué dans la page Mes applications. Essayez d'utiliser des noms d'application les plus courts possible.

    • Dans le champ Description, entrez 250 caractères ou moins pour fournir une description de l'application.

    • Sélectionnez Fermer (X) dans la fenêtre de l'icône Application pour supprimer l'icône Application par défaut, puis ajoutez votre propre icône pour l'application.

    • Sélectionnez Ajouter des liens d'application pour ajouter des liens associés à l'application. Sélectionnez Ajouter. La fenêtre Ajouter un lien d'application apparaît. Les liens d'application sont des services tels que Mail ou Calendar qui sont offerts par des applications telles que Google ou Office 365.

      Dans la fenêtre Ajouter un lien d'application :

      1. Entrez un nom pour le lien de l'application.

      2. Dans le champ Paramètre RelayState, entrez l'URL utilisée pour accéder à l'application.

      3. Sélectionnez Fermer (X) dans la fenêtre de l'icône Application pour supprimer l'icône Application par défaut du lien d'application, puis ajoutez votre propre icône pour l'application.

      4. Sélectionnez Visible si vous souhaitez que votre application s'affiche automatiquement dans la page Mes applications de chaque utilisateur.
        Note

        La sélection de cette case à cocher n'active pas ou ne désactive pas l'authentification unique dans l'application.

      5. Sélectionnez Ajouter.

      Les informations sur le lien d'application apparaissent dans le tableau de la section Liens d'application.

      Pour supprimer un lien d'application, sélectionnez la rangée, puis Supprimer.

      Note

      Il reste quelques secondes entre la sélection de Supprimer et le moment où l'application ne s'affiche plus dans la page Mes applications. La suppression des liens d'application (et les autorisations liées à ces liens d'application) est asynchrone. Attendez quelques secondes que la tâche asynchrone supprime l'application et ses droits avant de réessayer de cliquer sur Mes applications.

    • Dans le champ Paramètre RelayState, entrez une valeur qui est envoyée au SP SAML en tant que paramètre SAML RelayState.

    • Dans le champ URL de connexion personnalisée, spécifiez une URL de connexion personnalisée. Toutefois, si vous utilisez une page de connexion par défaut fournie par le service IAM, laissez ce champ vide.

    • Dans le champ URL d'erreur personnalisée, entrez l'URL de page d'erreur vers laquelle un utilisateur doit être redirigé, en cas d'échec. Ce champ est facultatif. Toutefois, s'il n'est pas spécifié, l'URL de page d'erreur spécifique au domaine est utilisée. Si les deux URL d'erreur ne sont pas configurées, l'erreur est redirigée vers la page d'erreur GIA (/ui/v1/error).

      Lorsqu'un utilisateur essaie d'utiliser l'authentification sociale (par exemple, Google, Facebook, etc.) pour se connecter à GIA, l'URL de rappel doit être configurée dans le champ URL d'erreur personnalisée. Les fournisseurs d'identités sociales ont besoin de cette URL de rappel pour appeler GIA et renvoyer la réponse après l'authentification sociale. L'URL de rappel fournie permet de vérifier si l'utilisateur existe ou non (dans le cas d'une première authentification sociale) et d'afficher une erreur si l'authentification sociale échoue.

    • Dans le champ URL de rappel de liaison de compte social, entrez l'URL vers laquelle GIA peut réacheminer après la liaison d'un utilisateur entre des fournisseurs d'identités sociales et GIA. Ce champ est facultatif.

      Lorsque vous créez une application personnalisée à l'aide de la trousse SDK personnalisée GIA et l'intégrez à une authentification sociale GIA, l'application personnalisée doit disposer de l'URL de rappel de liaison qui peut être réacheminée après la liaison de l'utilisateur entre un fournisseur d'identités sociales et GIA .

  7. Dans les sections Afficher les paramètres de la page Ajouter une application SAML, effectuez les sélections suivantes :

    • Sélectionnez Afficher dans mes applications pour indiquer que l'application SAML doit être répertoriée dans la page Mes applications.

      Lorsque vous sélectionnez la case Afficher dans mes applications dans les applications, l'application est alors visible dans la page Mes applications, mais la sélection de cette case à cocher n'active pas ou ne désactive pas l'authentification unique pour l'application.

      L'indicateur d'activation ou de désactivation de l'authentification unique provient du modèle d'application.

    • Cochez la case L'utilisateur peut demander l'accès si vous souhaitez que l'application soit répertoriée dans le catalogue. Cette option permet aux utilisateurs finaux de demander l'accès à l'application à partir de leur page Mes applications en sélectionnant Ajouter, puis en sélectionnant l'application dans le catalogue.

    Note

    N'oubliez pas d'activer l'application afin que les utilisateurs puissent demander l'accès.
  8. Lorsque vous créez une application SAML à partir de zéro au lieu de créer une application SAML préconfigurée créée à partir du catalogue d'applications, la section Authentification et autorisation s'affiche. La case Imposer les droits d'autorisation est sélectionnée par défaut. Cette case à cocher permet aux utilisateurs d'accéder uniquement à l'application que vous leur avez affectée ou à laquelle vous leur avez accordé l'accès. Si la case est cochée, IAM peut contrôler l'accès à l'application SAML en fonction des autorisations accordées aux utilisateurs et aux groupes. Si la case n'est pas sélectionnée, tout utilisateur authentifié a accès à l'application quel que soit le statut d'affectation.
  9. Sélectionnez Suivant et configurez l'authentification unique pour l'application SAML.
  10. Dans la section Général de la page Configurer l'authentification unique, définissez les éléments suivants :

    • ID entité : Entrez un nom unique global pour une entité SAML. L'ID entité est généralement l'URL d'un fournisseur d'identités ou d'un fournisseur de services.

    • Confirmation de sujet de détenteur de clé requise : Activez cette option, puis entrez le point d'extrémité chez le fournisseur de services où le fournisseur d'identités peut envoyer des assertions HOK d'authentification SAML (HOK).

    • URL de consommateur d'assertion : Entrez l'URL à laquelle le fournisseur d'identités SAML envoie l'assertion SAML. Cette URL doit commencer par le protocole HTTP ou HTTPS.

    • Format d'ID nom : Sélectionnez le type de format à utiliser pour l'ID nom. Le fournisseur de services et le fournisseur d'identités utilisent ce format pour identifier facilement un objet pendant leur communication.

      Note

      Lorsque vous intégrez IAM à l'application MS SharePoint en fonction du protocole WS Fed 1.1, les options suivantes ne sont pas disponibles au format ID nom : Persistant, Kerberos et Transient.

    • Valeur d'ID nom : sélectionnez cette valeur pour identifier l'utilisateur connecté. Les options disponibles sont Nom d'utilisateur, l'adresse de courriel Principal de l'utilisateur et l'Expression. Lorsque vous sélectionnez l'option Expression, entrez une expression de chemin comme valeur dans la zone de texte. Il n'existe aucune limite de caractères pour la valeur. Toutefois, des règles de validation sont appliquées à la valeur pour les caractères non valides qui ne peuvent pas être mappés.

      Voici quelques exemples d'expressions de chemin :

      • Pour envoyer "home email" comme valeur de l'attribut d'assertion, utilisez :
        $(user.emails[type eq "home"].value)
      • Pour envoyer le prénom d'utilisateurs concaténé avec le nom en tant qu'attribut d'assertion, utilisez :
        #concat($(user.name.givenName), $(user.name.familyName))
      • Pour envoyer un attribut de compte nommé SALARY comme valeur de l'attribut d'assertion, utilisez :
        $(account.SALARY)
      • Pour inclure un attribut department à partir d'une extension de schéma personnalisé, utilisez :
        $(user.urn:ietf:params:scim:schemas:idcs:extension:custom:User:department)

    • Certificat de signature : Chargez le certificat de signature utilisé pour chiffrer l'assertion SAML.

      Note

      Certains navigateurs affichent les chemins d'accès aux fichiers précédés de c:\fakepath\. Ce comportement est une fonction de sécurité du navigateur et ne gêne pas le processus de chargement.
  11. Utilisez le tableau suivant pour définir une configuration SAML plus précise dans la section Configurations supplémentaires.
    Option Description
    Authentification unique signée

    Sélectionnez Assertion pour indiquer que vous voulez que l'assertion SAML soit signée. Sélectionnez Réponse lorsque vous voulez que la réponse de l'authentification SAML soit signée.
    Inclure le certificat de signature dans la signature

    Sélectionnez la case pour inclure le certificat de signature dans la signature, par exemple lorsque l'application exige que le certificat de signature soit envoyé avec l'assertion.
    Algorithme de hachage de signature

    Sélectionnez le type d'algorithme de signature à utiliser pour signer l'assertion ou la réponse, SHA-256 ou SHA-1. SHA-256 génère un hachage fixe de 256 bits. SHA-1 génère une valeur de hachage de 160 bits appelée condensé de message.

    Note : Dans un environnement prenant en charge FIPS, réglez l'algorithme de hachage de signature à SHA-256, le seul algorithme de hachage pris en charge, afin d'éviter les erreurs lors de l'authentification unique.

    Activer la déconnexion unique

    Sélectionnez cette option pour configurer la déconnexion unique SAML. La déconnexion unique permet à un utilisateur de sortir de tous les sites participants d'une session fédérée presque simultanément. Cette case est cochée par défaut. Désélectionnez-la si vous ne voulez pas activer la déconnexion unique.
    Liaison de déconnexion

    Sélectionnez si la demande de déconnexion est envoyée en tant que REDIRECT (transportée à l'aide des messages de réponse de code de statut HTTP 302) ou POST (transportée dans un contenu de contrôle de formulaire HTML, qui utilise le format base-64). Cette liste ne s'affiche que si vous sélectionnez la case Activer la fermeture unique.
    URL de fermeture unique

    Entrez l'emplacement (HTTP ou HTTPS) où est envoyée la demande de déconnexion. Ce champ ne s'affiche que si vous sélectionnez la case Activer la déconnexion unique.
    URL de réponse de déconnexion

    Entrez l'emplacement (HTTP ou HTTPS) où est envoyée la réponse de déconnexion. Ce champ ne s'affiche que si vous sélectionnez la case Activer la déconnexion unique.
    Chiffrer l'assertion

    Sélectionnez si vous voulez chiffrer l'assertion, puis définissez l'algorithme de chiffrement que vous voulez utiliser et chargez le certificat de chiffrement.
    Certificat de chiffrement

    Sélectionnez Charger pour charger le certificat de chiffrement utilisé pour chiffrer l'assertion SAML. Ce bouton s'affiche uniquement si vous sélectionnez la case Encrypt assertion.
    Algorithme de chiffrement

    Sélectionner l'algorithme de chiffrement que vous voulez utiliser pour chiffrer l'assertion SAML. Cette liste ne s'affiche que si vous sélectionnez la case Chiffrer l'assertion.
    Algorithme de chiffrement par clé

    Sélectionnez l'algorithme de chiffrement par clé à utiliser pour chiffrer l'assertion SAML. Cette liste ne s'affiche que si vous sélectionnez la case Chiffrer l'assertion.
  12. Dans la section Configuration d'attributs, ajoutez des attributs propres à l'utilisateur et à un groupe à l'assertion SAML. Cela est utile si votre application utilise des attributs propres à un utilisateur ou à un groupe et que vous souhaitez envoyer ces informations dans l'assertion SAML.
  13. Sélectionnez attributs supplémentaires, puis utilisez le tableau suivant pour spécifier l'attribut d'utilisateur à inclure. Les informations sur l'utilisateur dans l'énoncé d'attribut contiennent une liste d'attributs. Chaque attribut comprend un nom et une liste de valeurs (s'il existe plusieurs valeurs d'attribut). Chaque valeur comprend une valeur et le format de la valeur.
    Option Description
    Le nom

    Entrez le nom de l'attribut d'assertion SAML.
    Format

    Sélectionnez le format de cet attribut d'assertion SAML : De base, Référence URI ou Non spécifié.

    Note : Lorsque vous intégrez GIA à l'application MS SharePoint basée sur le protocole WS Fed 1.1, le menu Format est remplacé par Espace de noms.
    Type
    Sélectionnez l'une des options suivantes pour spécifier la valeur de l'attribut d'assertion :

    • Attribut d'utilisateur

      Sélectionnez cette option pour choisir l'un des attributs d'utilisateur ou de groupe prédéfinis dans le menu Valeur comme valeur de l'attribut d'assertion. Pour spécifier les attributs de groupe, sélectionnez Attribut d'utilisateur et, dans le champ Valeur, sélectionnez Appartenance à un groupe.

    • Expression/littéral

      Sélectionnez cette option lorsque vous ne pouvez utiliser aucune des valeurs prédéfinies dans le menu Valeur. Vous pouvez fournir une expression dans la zone de texte Valeur pour spécifier la valeur de l'attribut d'assertion SAML.

      Pour spécifier les attributs de groupe, sélectionnez Expression/littérale et spécifiez une expression pour extraire les groupes.

      Exemple : L'expression suivante indique que la valeur de l'attribut SAML doit être le nom de tous les groupes auxquels l'utilisateur appartient : $(user.groups[*].display).
    Valeur de type

    Sélectionnez ou entrez la valeur à envoyer dans le cadre de l'assertion selon le type que vous avez sélectionné.

    Lorsque le type est Attribut d'utilisateur, vous pouvez sélectionner l'un des attributs d'utilisateur prédéfinis comme valeur de l'attribut d'assertion. Sélectionnez l'option Appartenance à un groupe dans le menu si vous voulez envoyer l'appartenance au groupe d'utilisateurs comme valeur de l'attribut d'assertion. Les colonnes Condition et Valeur s'affichent lorsque vous choisissez Appartenance à un groupe.

    Lorsque le type est Expression/littérale, le champ de valeur est une zone de texte et vous pouvez entrer n'importe quelle expression de chemin pour spécifier la valeur de l'attribut d'assertion.

    Voici quelques exemples d'expressions de chemin :

    • Pour envoyer une liste de valeurs littérales en tant que valeur de l'attribut d'assertion, utilisez ["value1", "value2", "value3"].

    • Pour envoyer "home email" comme valeur de l'attribut d'assertion, utilisez $(user.emails[type eq "home"].value).

    • Pour envoyer le prénom d'utilisateurs concaténé avec le nom en tant qu'attribut d'assertion, utilisez #concat($(user.name.givenName), $(user.name.familyName)).

    • Pour envoyer un attribut de compte nommé SALARY comme valeur de l'attribut d'assertion, utilisez $(account.SALARY).

    • Pour inclure un attribut department à partir d'une extension de schéma personnalisé, utilisez $(user.urn:ietf:params:scim:schemas:idcs:extension:custom:User:department).

    • Pour envoyer une valeur littérale comme valeur d'assertion, utilisez aLiteralValue.
    Condition

    Sélectionnez une condition dans le menu pour filtrer les appartenances au groupe. Ce champ est activé uniquement lorsque vous sélectionnez Attribut d'utilisateur comme Type et Appartenance à un groupe comme Valeur de type. Les valeurs disponibles sont : Est égal à, Commence par et Tous les groupes.
    Valeur de condition

    Entrez la valeur de filtre à utiliser pour filtrer les appartenances aux groupes.
  14. Sélectionnez Terminer. L'application est ajoutée à un état désactivé. Pour activer votre application, voir Activation des applications.
  15. Dans la section Configuration de l'authentification unique, pour importer le certificat de signature IAM dans votre application, sélectionnez Télécharger le certificat de signature pour télécharger d'abord le fichier de certificat au format PEM. Ce certificat est utilisé par l'application SAML pour vérifier que l'assertion SAML est valide.
  16. Dans la section Configuration de l'authentification unique, pour importer les métadonnées du fournisseur d'identités IAM dans votre application, sélectionnez Télécharger les métadonnées du fournisseur d'identités pour télécharger d'abord le fichier de métadonnées au format XML. L'application SAML a besoin de ces informations pour qu'elle puisse approuver et traiter l'assertion SAML générée par IAM dans le cadre du processus de fédération. Ces informations incluent, par exemple, la prise en charge des profils et des liaisons, les points d'extrémité de connexion et les informations de certificat. Pour obtenir le certificat racine IAM émetteur, voir Obtention du certificat de l'autorité de certification racine.