Configuration de PingFederate pour TaaS

Pour utiliser PingFederate en tant que fournisseur d’identité pour TaaS, vous devez d’abord le configurer.

Créer une application SAML

  1. Connectez-vous à PingFederate et accédez à la console administrateur.
  2. Dans le menu principal, cliquez sur Identity Provider (Fournisseur d’identité), puis cliquez sur Create New (Créer nouveau) dans la section SP CONNECTIONS (CONNEXIONS SP).
  3. Dans l’onglet Connection Type (Type de connexion), sélectionnez BROWSER SSO PROFILES (PROFILS SSO DU NAVIGATEUR), puis cliquez sur Next (Suivant).
  4. Dans l’onglet Connection Options (Options de connexion), sélectionnez BROWSER SSO (SSO DU NAVIGATEUR), puis cliquez sur Next (Suivant).
  5. Dans l’onglet Import Metadata (Importer les métadonnées), sélectionnez NONE (AUCUNE), puis cliquez sur Next (Suivant).
  6. Dans l’onglet Metadata Summary (Résumé des métadonnées), cliquez sur Next (Suivant).
  7. Dans l’onglet General Info (Informations générales), cliquez sur Next (Suivant).
  8. Dans l’onglet Browser SSO (SSO du navigateur), cliquez sur Configure Browser SSO (Configurer l’authentification unique (SSO) du navigateur).

Configurer l’authentification unique (SSO) du navigateur

  1. Dans l’onglet SAML Profiles (Profils SAML), sélectionnez IDP-INITIATED SSO (SSO INITIÉE PAR PDi) et SP-INITIATED SSO (SSO INITIÉE PAR SP) pour Single Sign-On (SSO) Profiles (Profils d’authentification unique (SSO)) et Single Logout (SLO) Profiles (Profils de déconnexion unique (SLO), puis cliquez sur Next (Suivant).
  2. Dans l’onglet Assertion Lifetime (Durée de vie de l’assertion), cliquez sur Next (Suivant).
  3. Dans l’onglet Assertion Creation (Création de l’assertion), cliquez sur Configure Assertion Creation (Configurer la création de l’assertion).
    1. Dans l’onglet Identity Mapping (Mappage d’identité), sélectionnez STANDARD (STANDARD), puis cliquez sur Next (Suivant).
    2. Dans l’onglet Attribute Contract (Contrat d’attributs), configurez les valeurs suivantes, puis cliquez sur Next (Suivant).

      SAML_SUBJECT : Sélectionnez urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress dans la liste déroulante Subject Name Format (Format du nom de sujet).
      Extend the Contract (Prolonger le contrat) : Entrez http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress dans le champ de texte, sélectionnez urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified, puis cliquez sur Add (Ajouter).

    3. Dans l’onglet Authentication Source Mapping (Mappage de source d’authentification), cliquez sur Map New Adapter Instance (Mapper une nouvelle instance d’adaptateur).
      1. Dans l’onglet Adapter Instance (Instance d’adaptateur), sélectionnez un adaptateur existant qui inclut l’adresse e-mail de l’utilisateur, puis cliquez sur Next (Suivant).
      2. Dans l’onglet Mapping Method (Méthode de mappage), sélectionnez USE ONLY THE ADAPTER CONTRACT VALUES IN THE SAML ASSERTION (UTILISER UNIQUEMENT LES VALEURS DU CONTRAT D’ADAPTATEUR DANS L’ASSERTATION SAML), puis cliquez sur Next (Suivant).
      3. Dans l’onglet Attribute Contract Fulfillment (Exécution du contrat d’attributs), sélectionnez email (e-mail) dans la liste déroulante Value (Valeur) pour SAML_SUBJECT et http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress que vous avez précédemment ajoutés, puis cliquez sur Next (Suivant).
      4. Dans l’onglet Issuance Criteria (Critères d’émission), configurez tous les critères, puis cliquez sur Next (Suivant).
      5. Dans l’onglet Summary (Résumé), cliquez sur Done (Terminé).
    4. Dans l’onglet Authentication Source Mapping (Mappage de la source d’authentification), cliquez sur Next (Suivant).
    5. Dans l’onglet Summary (Résumé), cliquez sur Done (Terminé).
    6. Dans l’onglet Assertion Creation (Création de l’assertion), cliquez sur Next (Suivant).
  4. Dans l’onglet Protocol Settings (Paramètres du protocole), cliquez sur Configure Protocol Settings (Configurer les paramètres du protocole).
    1. Dans l’onglet Assertion Consumer Service (Service consommateur de l’assertion), vérifiez que Endpoint URL (URL du endpoint) se terminant par /saml2/idpresponse est présente, puis cliquez sur Next (Suivant).
    2. Dans l’onglet SLO Service URLs (URL de service SLO), vérifiez que Endpoint URL (URL du endpoint) se terminant par /saml2/logout est présente, puis cliquez sur Next (Suivant).
    3. Dans l’onglet Allowable SAML Bindings (Liaisons SAML admissibles), vérifiez que seules les options POST (PUBLIER) et REDIRECT (REDIRIGER) sont sélectionnées, puis cliquez sur Next (Suivant).
    4. Dans l’onglet Signature Policy (Stratégie de signature), vérifiez que seule l’option ALWAYS SIGN ASSERTION (TOUJOURS SIGNER L’ASSERTION) est sélectionnée, puis cliquez sur Next (Suivant).
    5. Dans l’onglet Encryption Policy (Stratégie de chiffrement), vérifiez que l’option NONE (AUCUNE) est sélectionnée, puis cliquez sur Next (Suivant).
    6. Dans l’onglet Summary (Résumé), cliquez sur Done (Terminé).
    7. Dans l’onglet Protocol Settings (Paramètres du protocole), cliquez sur Next (Suivant).
  5. Dans l’onglet Summary (Résumé), cliquez sur Done (Terminé).
  6. Dans l’onglet Browser SSO (SSO du navigateur), cliquez sur Next (Suivant).
  7. Dans l’onglet Credentials (Informations d’identification), cliquez sur Configure Credentials (Configurer les informations d’identification).

Configurer les informations d’identification

  1. Dans l’onglet Digital Signature Settings (Paramètres de signature numérique), sélectionnez le certificat de signature approprié, confirmez que RSA SHA256 est sélectionné comme algorithme de signature, puis cliquez sur Next (Suivant).
  2. Dans l’onglet Signature Verification Settings (Paramètres de vérification de signature), cliquez sur Manage Signature Verification Settings (Gérer les paramètres de vérification de signature).
    1. Dans l’onglet Trust Model (Modèle de confiance), vérifiez que l’option UNANCHORED (NON ANCRÉ) est sélectionnée, puis cliquez sur Next (Suivant).
    2. Dans l’onglet Signature Verification Certificate (Certificat de vérification de signature), sélectionnez le certificat approprié, puis cliquez sur Next (Suivant).

      Si aucun certificat n’est présent dans la liste déroulante, extrayez-le des métadonnées, ajoutez l’en-tête et le pied de page PEM, puis importez-le manuellement.

    3. Dans l’onglet Summary (Résumé), cliquez sur Done (Terminé).
    4. Dans l’onglet Signature Verification Settings (Paramètres de vérification de signature), cliquez sur Next (Suivant).
  3. Dans l’onglet Summary (Résumé), cliquez sur Done (Terminé).
  4. Dans l’onglet Credentials (Informations d’identification), cliquez sur Next (Suivant).
  5. Dans l’onglet Activation & Summary (Activation et résumé), cliquez sur Save (Enregistrer).