Propriétés SAML

Vous pouvez configurer SAML selon vos besoins.

Vous pouvez changer les propriétés qui sont mises en évidence comme des propriétés inter-locataire uniquement en utilisant l'outil de ligne de commande ARIS Cloud Controller. Pour changer les paramètres, saisissez ce qui suit :

reconfigure umcadmin_<size of your installation, s, m, or l> JAVA-D<property name>="<value>"

Exemple

reconfigure umcadmin_m JAVA-Dcom.aris.umc.loadbalancer.url="https://myserver.com"

Généralités

Clé

Description

com.aris.umc.saml.active

Utiliser SAML

Définit si une connexion basée sur SAML est autorisée.

Entrée valide

true, false

Exemple

False

com.aris.umc.saml.binding

Binding

Définit le binding utilisé pour l'envoi de demandes d'authentification au fournisseur d'identité. Définit la façon dont laquelle la redirection de l'authentification est effectuée. Les options sont Dévier ou POST.

Exemple

POST

com.aris.umc.saml.identity.provider.id

ID du fournisseur d'identité

Spécifie l'ID du fournisseur d'identité.

Entrée valide

Chaîne de caractères

com.aris.umc.saml.service.provider.id

ID du fournisseur de service

Spécifie l'ID du fournisseur de service.

Entrée valide

Chaîne de caractères

com.aris.umc.saml.identity.provider.sso.url

URL de l'authentification unique

Spécifie le point de terminaison du fournisseur d'identité utilisé pour l'authentification unique.

com.aris.umc.saml.identity.provider.logout.url

URL de la déconnexion unique

Spécifie le point de terminaison du fournisseur d'identité utilisé pour la déconnexion unique.

Signature

Clé

Description

com.aris.umc.saml.signature.assertion.active

Forcer la signature des assertions

Met en place le fait que les assertions SAML doivent être signées. Si cette option est activée, toutes les assertions reçues par l'application doivent être signées. Les assertions envoyées par l'application sont signées.

Entrée valide

true, false

Exemple

False

com.aris.umc.saml.signature.request.active

Forcer la signature des requêtes

Met en place le fait que les requêtes d'authentification SAML doivent être signées. Si cette option est activée, toutes les requêtes reçues par l'application doivent être signées. Les requêtes envoyées par l'application sont signées.

Entrée valide

true, false

Exemple

False

com.aris.umc.saml.signature.response.active

Forcer la signature des réponses

Met en place le fait que les réponses SAML doivent être signées. Si cette option est activée, toutes les réponses reçues par l'application doivent être signées. Les réponses envoyées par l'application sont signées.

Entrée valide

true, false

Exemple

False

com.aris.umc.saml.signature.metadata.active

Forcer la signature des métadonnées

Met en place le fait que les métadonnées SAML doivent être signées. Si cette option est activée, le fichier de métadonnées du fournisseur de service fourni par l'application est signé.

Entrée valide

true, false

Exemple

False

com.aris.umc.saml.signature.algorithm

Algorithme de signature

Définit l'algorithme de signature. Cet algorithme peut être sélectionné dans la liste.

Entrée valide

Chaîne de caractères

Keystore

Clé

Description

com.aris.umc.saml.keystore.location

Keystore

Spécifie l'emplacement d'enregistrement du fichier keystore utilisé pour valider les assertions SAML. Le fichier Keystore doit être chargé au préalable.

com.aris.umc.saml.keystore.alias

Alias

Spécifie le nom d'alias utilisé pour accéder à un fichier keystore.

Entrée valide

Chaîne de caractères

com.aris.umc.saml.keystore.password

Mot de passe

Spécifie le mot de passe utilisé pour accéder à un fichier keystore.

Entrée valide

Chaîne de caractères

com.aris.umc.saml.keystore.type

Type

Spécifie le type de fichier keystore à utiliser. Ce type peut être sélectionné dans une liste.

Entrée valide

Chaîne de caractères

Exemple

JKB

Truststore

Clé

Description

com.aris.umc.saml.truststore.location

Truststore

Spécifie l'emplacement d'enregistrement du fichier truststore utilisé pour valider les assertions SAML. Le truststore doit avoir été chargé au préalable.

com.aris.umc.saml.truststore.alias

Alias

Définit l'alias qui doit être utilisé pour accéder au magasin d'approbations.

Entrée valide

Chaîne de caractères

com.aris.umc.saml.truststore.password

Mot de passe

Définit le mot de passe qui doit être utilisé pour accéder au magasin d'approbations.

Entrée valide

Chaîne de caractères

com.aris.umc.saml.truststore.type

Type

Affiche le type du fichier truststore.

Entrée valide

Chaîne de caractères

Exemple

JKB

Attributs des utilisateurs

Clé

Description

com.aris.umc.saml.attribute.fname

Prénom

Définit le nom d'attribut à utiliser pour lire les prénoms depuis une assertion SAML.

Entrée valide

Chaîne de caractères

Exemple

Martin

com.aris.umc.saml.attribute.lname

Nom de famille

Définit le nom d'attribut à utiliser pour lire les noms de famille depuis une assertion SAML.

Entrée valide

Chaîne de caractères

Exemple

Doe

com.aris.umc.saml.attribute.email

Adresse e-mail

Définit le nom d'attribut à utiliser pour lire les adresses e-mail depuis une assertion SAML.

Entrée valide

Chaîne de caractères

Exemple

jd@company.com

com.aris.umc.saml.attribute.phone

Numéro de téléphone

Définit le nom d'attribut à utiliser pour lire les numéros de téléphone depuis une assertion SAML.

Entrée valide

Entier

Exemple

01234567

com.aris.umc.saml.attribute.memberof

Membre de

Attribut indiquant les groupes d'un utilisateur.

Entrée valide

Chaîne de caractères

Exemple

Groupe principal

com.aris.umc.saml.attribute.userdefined

Personnalisé

Liste séparée par des virgules des attributs devant être importés en tant qu'attributs personnalisés de l'utilisateur.

Paramètres étendus

Clé

Description

com.aris.umc.saml.login.mode.dn.active

Connexion avec DN

Définit si on doit essayer la connexion avec des noms complètement qualifiés au lieu de noms d'utilisateur.

Entrée valide

true, false

com.aris.umc.saml.login.mode.keyword.active

Décomposer DN

Définit si le nom complètement qualifié doit être décomposé ou non.

Entrée valide

true, false

com.aris.umc.saml.login.mode.keyword.name

Mot clé

Définit la partie du nom complètement qualifié à utiliser pour la connexion.

Entrée valide

true, false

com.aris.umc.saml.auth.context.class.refs

Classes du contexte d'authentification

Précise les classes du contexte d'authentification à demander, c'est-à-dire quel degré d'authentification est défini. Par exemple, vous précisez quels utilisateurs doivent utiliser Kerberos si vous définissez Microsoft® Windows comme Classe du contexte d'authentification et la Comparaison du contexte d'authentification, comme exacte.

com.aris.umc.saml.auth.context.comparison

Comparaison du contexte d'authentification

Précise la comparaison du contexte d'authentification à demander, c'est-à-dire que vous précisez si d'autres procédures d'authentification sont autorisées ou non. Par exemple, vous précisez quels utilisateurs doivent utiliser Kerberos si vous définissez Microsoft® Windows comme Classe du contexte d'authentification et la Comparaison du contexte d'authentification, comme exacte.

Entrée valide

Chaîne de caractères

com.aris.umc.saml.auth.nameid.format

Format de l'ID de nom

Précise dans quel format l'ID utilisateur est transféré à l'Administration ARIS.

Entrée valide

Chaîne de caractères

com.aris.umc.saml.login.users.create

Créer automatiquement l'utilisateur

Définit si l'utilisateur spécifié dans l'assertion SAML doit être créé automatiquement ou non si l'utilisateur n'existe pas déjà. La valeur par défaut est false. Les restrictions suivantes s'appliquent aux utilisateurs créés automatiquement :

  • L'attribut Login est défini comme le nom spécifié dans l'assertion.
  • L'attribut distinguished name est défini comme le nom spécifié dans l'assertion (uniquement si le nom est dans un format adéquat).
  • Une connexion manuelle n'est pas possible si les attributs mot de passe et e-mail ne sont pas maintenus.

Entrée valide

true, false

Exemple

False

com.aris.umc.saml.assertion.timeoffset

Décalage temporel (en secondes)

Spécifie le décalage de temps entre le fournisseur d'identité et le prestataire de service en secondes. Les assertions sont acceptées si elles ont été reçues dans la période autorisée.

Exemple

60

com.aris.umc.saml.service.provider.urls

URL des fournisseurs de services autorisés

Liste séparée par des virgules des URL des fournisseurs de services qui sont autorisés à demander que l'administration des utilisateurs déclenche l'utilisation de SSO.

com.aris.umc.saml.assertion.ttl

Durée de vie de l'assertion (en secondes)

Spécifie la durée de vie maximale d'une assertion SAML en secondes.

Exemple

10

com.aris.umc.saml.service.provider.assertion.consumer.url.overwrite

URL du service consommateur d'assertion

Précise que l'URL du service consommateur d'assertion utilisé dans les requêtes d'authentification SAML peut être écrasée. L'URL doit être indiquée sous la forme http(s)://hostname/umc/rest/saml/initsso. En l'absence de spécification, l'URL est dérivée de la demande HTTP.

com.aris.umc.saml.tenant

Locataire par défaut

Spécifie le locataire par défaut à utiliser pour la connexion basée sur SAML.

Une propriété générale à tous les locataires ne peut être modifiée qu'en utilisant ARIS Cloud Controller. Pour de plus amples informations, consultez le manuel ARIS Cloud Controller (ACC) Command-line Tool.

Entrée valide

Chaîne de caractères

Exemple

par défaut