Pour configurer des méthodes d'authentification SAML, et SAML et relais dans Horizon, vous devez télécharger le fichier XML de métadonnées de certificat SAML du fournisseur d'identité vers UAG ( Unified Access Gateway). Le téléchargement permet à UAG de faire confiance au fournisseur d'identité en vérifiant la signature d'une assertion à l'aide de la clé publique du fournisseur d'identité.
Conditions préalables
Vous devez avoir téléchargé le fichier XML de métadonnées SAML à partir du fournisseur d'identité et enregistré ce fichier sur un ordinateur auquel vous pouvez accéder.
Procédure
- Dans la section Configurer manuellement de la console l'administration d'UAG, cliquez sur Sélectionner.
- Dans la section , sélectionnez l'icône d'engrenage Télécharger les métadonnées du fournisseur d'identité.
- Entrez l'ID d'entité du fournisseur d'identité dans la zone de texte ID d'entité.
Si vous n'entrez pas de valeur dans la zone de texte ID d'entité, le nom du fournisseur d'identité dans le fichier de métadonnées est analysé et utilisé comme ID d'entité du fournisseur d'identité.
- Dans la section Métadonnées du fournisseur d'identité, cliquez sur Sélectionner et accédez à l'emplacement d'enregistrement du fichier de métadonnées.
- Sélectionnez PEM comme type de format de certificat dans le menu déroulant Type de certificat de chiffrement.
Note : Vous devez sélectionner PEM si vous souhaitez utiliser une assertion chiffrée pour valider l'authentification SAML. Le chiffrement et le déchiffrement de l'assertion nécessitent une combinaison d'une clé publique et d'une clé privée. Le fournisseur d'identité chiffre l'assertion avec une clé publique qui peut être déchiffrée par UAG uniquement avec une combinaison de clés publique et privée, garantissant ainsi une sécurité renforcée.
- Dans Clé privée, cliquez sur Sélectionner et accédez à l'emplacement dans lequel vous avez enregistré la clé privée pour le certificat au format PEM.
- Dans Chaîne de certificats, cliquez sur Sélectionner et accédez à l'emplacement dans lequel vous avez enregistré la chaîne de certificats au format PEM.
- Pour activer l'option Autoriser les assertions SAML non chiffrées, activez la bascule. Si celle-ci est désactivée, les assertions non chiffrées ne sont pas autorisées lors de l'authentification SAML.
- Pour activer la fonction Toujours forcer l'authentification SAML, activez l'option. Lorsque la bascule est activée, elle force toujours la présentation de la page d'authentification SAML à l'utilisateur lorsque ce fournisseur d'identité est utilisé, à condition que celui-ci soit également configuré pour forcer l'authentification SAML.
Note : Lorsque vous activez la fonction
Toujours forcer l'authentification SAML,
SAML ForceAuthn="true"
est défini comme attribut de la requête AuthnRequest sur le fournisseur d'identité. Celui-ci est averti pour ignorer tout contexte de sécurité précédent lors de l'authentification de l'utilisateur.
- Cliquez sur Enregistrer.
Le message suivant s'affiche :
La configuration est enregistrée.
UAG affiche les détails du certificat de métadonnées chargées du fournisseur d'identité.
Vous pouvez supprimer toutes les métadonnées inutilisées du fournisseur d'identité.
Que faire ensuite
Configurez les paramètres d'Horizon sur UAG pour sélectionner la méthode d'authentification et choisir le fournisseur d'identité requis.