SAML 2

Introduction

La configuration des applications SAML 2.0 varie d’une application à l’autre. Cette page fournit des indications sur les paramètres les plus fréquemment utilisés, tant du côté applicatif que du côté Trustelem. Dans la terminologie SAML, l’application cliente est appelée Service Provider (SP) et le fournisseur d’identité, ici Trustelem, est appelé Identity Provider (IdP).

Si vous êtes le développeur de l’application

Remarque : notre recommandation est d’utiliser OpenID Connect plutôt que SAML 2.0. OpenID Connect est plus moderne et plus simple que SAML 2.0. Si malgré tout vous souhaitez utiliser SAML, vous avez 3 possibilités :

  • Déployer un module SAML dans le framework sur lequel est développé l’application (Wordpress, Drupal, Symphony). Cette option ne nécessite aucun développement dans l’application.

  • Déployer un module SAML dans le serveur web de l’application (Apache, Nginx).

  • Utiliser une bibliothèque SAML 2.0 qui authentifiera l’utilisateur.

Eléments de configuration de l’application côté SP

  • Définition des pages où l’authentification SSO est activée (LoginPath)

  • Définition de l’URL SAML de l’application côté SP: Assertion Consumer Service (ACS)

  • Définition de l’attribut d’identification (NameID) et de son format

  • Définition des URLs de connexion de l’IdP Trustelem

  • Définition du ou des certificats permettant le chiffrement et/ou la signature des échanges.
    Remarque : ces différentes informations peuvent être demandées sous format metadata.xml.

Eléments de configuration de l’application côté IdP

  • EntityID : identifiant de l’application → doit être identique à ce qui a été indiqué côté SP

  • Assertion Consumer Service (ACS) : URL du SP destinée à recevoir l’assertion SAML générée par l’IdP → doit être identique à ce qui a été indiqué côté SP

  • NameID Attribute : nom de l’attribut contenant l’identité de l’utilistateur dans la réponse SAML fournie par l’IdP Trustelem à l’application SP → doit être identique à ce qui a été indiqué côté SP

  • NameID Format : format de l’attribut NameID. Sauf cas particulier, utiliser la valeur par défaut. → doit être identique à ce qui a été indiqué côté SP

  • Liste d’attributs : attributs supplémentaires qui peuvent être transmis par l’IdP Trustelem et utilisés par l’application côté SP

  • RelayState : URL de la page vers laquelle l’utilisateur doit être redirigé après l’authentification

  • URL de login spécifique : URL utilisée pour initialiser le login via SAML 2.0 dans le tableau de bord utilisateur de Trustelem

  • Paramétrage avancé : script permettant d’ajouter/modifier des attributs dans les réponses SAML (exemple : attribut issu de l’annuaire Active Directory)