Configuration des paramètres du fournisseur de services SAML

Security Assertion Markup Language (SAML) est l’une des options que vous pouvez sélectionner lors de la configuration des autorisations relatives aux domaines d’entreprise ou domaines hybrides. Le langage SAML est principalement utilisé pour la prise en charge de l’authentification unique sur plusieurs domaines. Lorsque ce langage est configuré comme fournisseur d’authentification, les utilisateurs se connectent et s’authentifient à LiveCycle via un fournisseur d’identité tiers (IDP) spécifié.

Pour de plus amples informations sur le langage SAML, voir Présentation technique du langage SAML (Security Assertion Markup Language) (en anglais)..

  1. Dans Administration Console, cliquez sur Paramètres > User Management > Configuration > Paramètres du fournisseur de services SAML.

  2. Dans la zone ID d’entité du fournisseur de services, saisissez un ID unique qui servira d’identifiant pour l’implémentation du fournisseur de services LiveCycle. Vous pouvez également définir cet ID unique lors de la configuration du fournisseur d’identité (par exemple, um.lc.com). Vous pouvez également utiliser l’URL d’accès à LiveCycle (par exemple, http://LiveCycleserver).

  3. Dans le champ URL de base du fournisseur de services, saisissez l’URL de base du serveur LiveCycle (par exemple, http://LiveCycleserver:8080).

  4. (Facultatif) Pour autoriser LiveCycle à envoyer des demandes d’authentification signées au fournisseur d’identité, effectuez la procédure suivante :

    • Utilisez Trust Manager pour importer des informations d’identification au format PKCS #12 avec Type de Trust Store défini sur Informations d’identification de signature de document (voir Gestion des informations d’identification locales).

    • Dans la liste Alias principal des informations d’identification du fournisseur de services, sélectionnez l’alias affecté aux informations d’identification du Trust Store.

    • Cliquez sur Exporter pour enregistrer le contenu de l’URL dans un fichier et importer ce dernier dans le fournisseur d’identité.

  5. (Facultatif) Dans la liste Stratégie d’ID de nom du fournisseur de services, sélectionnez le format de nom utilisé par le fournisseur d’identité pour identifier l’utilisateur dans une assertion SAML. Les différentes options sont Unspecified (non spécifié), Email, X509 Subject Name (nom d’objet X509), Kerberos Principal (principal Kerberos), Entity (entité), Persistent (persistant), Transient (temporaire) et Windows Domain Qualified Name (nom qualifié de domaine Windows).

    Remarque : les formats de nom ne sont pas sensibles à la casse.
  6. (Facultatif) Sélectionnez Activer l’invite d’authentification pour les utilisateurs locaux. Lorsque cette option est sélectionnée, deux liens s’affichent :

    • un lien vers la page de connexion du fournisseur d’identité SAML tiers, dans laquelle les utilisateurs appartenant à un domaine d’entreprise peuvent s’authentifier ;

    • un lien vers la page de connexion LiveCycle, dans laquelle les utilisateurs appartenant à un domaine local peuvent s’authentifier.

    Lorsque cette option n’est pas sélectionnée, les utilisateurs sont directement dirigés vers la page de connexion du fournisseur d’identité SAML tiers, dans laquelle les utilisateurs appartenant à un domaine d’entreprise peuvent s’authentifier.

  7. (Facultatif) Sélectionnez Activer la liaison d’artefact pour activer la prise en charge de la liaison d’artefact. Par défaut, la liaison POST est utilisée avec le langage SAML. Mais si vous avez configuré la liaison d’artefact, sélectionnez cette option. Lorsque cette option est sélectionnée, l’assertion de l’utilisateur ne passe pas par la requête navigateur. C’est un pointeur vers cette assertion qui est passé et cette dernière est récupérée via un appel au service Web du serveur principal.

  8. (Facultatif) Sélectionnez Activer Rediriger la liaison, pour la prise en charge des liaisons SAML utilisant les redirections.

  9. (Facultatif) Dans Propriétés personnalisées, définissez des propriétés supplémentaires. Ces propriétés sont des paires nom=valeur séparées par des nouvelles lignes.

    • Vous pouvez configurer LiveCycle afin d’émettre une assertion SAML pour une période de validité correspondant à la période de validité d’une assertion tierce. Pour respecter le délai d’expiration de l’assertion SAML tierce, ajoutez la ligne suivante dans Propriétés personnalisées :

      saml.sp.honour.idp.assertion.expiry=true
    • Ajoutez la propriété personnalisée suivante pour utiliser RelayState afin de déterminer l’URL vers laquelle l’utilisateur sera redirigé après son authentification.

      saml.sp.use.relaystate=true
    • Ajoutez la propriété personnalisée suivante afin de configurer l’URL pour le JSP (Java Server Pages) personnalisé, celle-ci sera utilisée pour effectuer le rendu de la liste enregistrée des fournisseurs d’identité. Si vous n’avez pas déployé d’application Web personnalisée, la page User Management par défaut sera utilisée pour effectuer le rendu de la liste.
      saml.sp.discovery.url=/custom/custom.jsp
  10. Cliquez sur Enregistrer.