eIAM Web GUI CH-LOGIN auto-enregistrement
L'IdP CH-LOGIN offre aux utilisateurs d'applications qui utilisent le service eIAM un fournisseur d'identité pour l'authentification au moyen d'un nom d'utilisateur et d'un mot de passe. En option, un code SMS peut également être utilisé comme deuxième facteur pour une authentification plus forte. Les utilisateurs du CH-LOGIN peuvent s'enregistrer eux-mêmes afin d'utiliser ce IdP pour la reconnaissance de leur identité revendiquée. Ce fournisseurs d'identité est principalement utilisé pour les utilisateurs eGov, car ils ne disposent généralement pas d'un moyen d'authentification plus fort que celui supporté par le service eIAM.CH-LOGIN Auto-enregistrement Description
Si l'application veut proposer un auto-enregistrement étendu pour les utilisateurs, pour lequel l'utilisateur doit fournir des informations supplémentaires, elle DOIT utiliser l'auto-enregistrement du IdP CH-LOGIN dans le service eIAM pour créer l'identité de l'utilisateur. Après l'auto-enregistrement de l'utilisateur dans le CH-LOGIN, l'application peut implémenter un auto-enregistrement plus poussé afin de demander d'autres attributs sur l'utilisateur et d'enregistrer et de gérer ces attributs sur l'utilisateur en dehors du service eIAM.CH-LOGIN Auto-enregistrement URL
L'auto-enregistrement du CH-LOGIN NE PEUT PAS être appelé directement depuis des applications. Pour utiliser l'auto-enregistrement de l'IdP CH-LOGIN, IL FAUT déclencher une authentification sur la requête de l'utilisateur à l'eIAM-Web PEP (l'utilisateur doit être dirigé vers une URL dans la zone protégée pour démarrer une authentification). Lors de la sélection de l'IdP (si plusieurs sont proposés pour l'application web), l'utilisateur doit choisir l'IdP "CH-LOGIN".-
- Home Realm Discovery interactif sur eIAM Trustbroker
L'IdP CH-LOGIN offre à l'utilisateur, en plus de l'authentification proprement dite et de la réinitialisation du mot de passe, la possibilité de s'enregistrer lui-même.
-
- CH-LOGIN IdP Déclencher l'auto-enregistrement
L'utilisateur est ensuite guidé à travers le processus d'auto-enregistrement.
-
- CH-LOGIN FI Auto-inscription
Remarque:
Vous trouverez de plus amples informations sur le CH-LOGIN sous
CH-LOGIN Contrôle de la force d'authentification des applications externes
Pour les applications hébergées en dehors des réseaux de l'administration fédérale, l'eIAM-Web PEP ne sait pas de lui-même quelle est la force d'authentification requise sur l'IdP CH-LOGIN par l'application qui lui adresse une requête SAML 2.0 AuthnRequest. Avec ce modèle de solution eIAM, l'eIAM-Web PEP s'attend donc à ce que l'application envoie déjà les valeurs ContextClassRef acceptées dans la requête SAML 2.0 AuthnRequest.L'application hébergée en dehors des réseaux de l'administration fédérale DOIVENT envoyer avec l'AuthnRequest les valeurs exactes des ContextClassRefs qui sont acceptées de son point de vue. L'application peut contrôler comme suit si le code SMS doit être forcé sur l'IdP de base:
| AuthnContextClassRef dans SAML 2.0 AuthnRequest | Niveau | Possibilité de continuer sans code SMS |
| none (paramètre hérité pour la rétrocompatibilité) | faible | OUI |
| AuthnContextClassRef dans SAML 2.0 AuthnRequest | Niveau | Continuer sans code SMS possible |
| urn.oasis.names.tc.SAML.2.0.ac.classes.PasswordProtectedTransport | faible | OUI |
| urn.oasis.names.tc.SAML.2.0.ac.classes.NomadTelephony | normal | OUI |
| urn.oasis.names.tc.SAML.2.0.ac.classes.TimeSyncToken | normal | OUI |
| urn.oasis.names.tc.SAML.2.0.ac.classes.Kerberos | normal | OUI |
| urn.oasis.names.tc.SAML.2.0.ac.classes.SoftwarePKI | normal | OUI |
| urn.oasis.names.tc.SAML.2.0.ac.classes.SmartcardPKI | forte | OUI |
| AuthnContextClassRef dans SAML 2.0 AuthnRequest | Niveau | Possibilité de continuer sans code SMS |
| urn.oasis.names.tc.SAML.2.0.ac.classes.NomadTelephony | normal | NON |
| urn.oasis.names.tc.SAML.2.0.ac.classes.TimeSyncToken | normal | NON |
| urn.oasis.names.tc.SAML.2.0.ac.classes.Kerberos | normal | NON |
| urn.oasis.names.tc.SAML.2.0.ac.classes.SoftwarePKI | normal | NON |
| urn.oasis.names.tc.SAML.2.0.ac.classes.SmartcardPKI | forte | NON |
Exemple d'enregistrement et de connexion Téléphone mobile optionnel:
Exemple d'enregistrement et de connexion au téléphone mobile forcés:
Remarque
Si d'autres AuthnContextClassRef que celles listées dans le tableau sont utilisées dans la SAML AuthnRequest, cela peut conduire à des erreurs dans l'authentification de l'utilisateur. En particulier, il en résulte une erreur si l'IdP de base (CH-LOGIN) doit être utilisé pour l'authentification, qu'une AuthnContextClassRef est définie dans AuthnRequest, mais que ni "urn.oasis.names.tc.SAML.2.0.ac.classes.NomadTelephony" ni "urn.oasis.names.tc.SAML.2.0.ac.classes.PasswordProtectedTransport" ne sont inclus dans la définition.
Limitation des valeurs de comparaison autorisées.
En raison de la prise en charge limitée des valeurs de comparaison dans le Trustbroker eIAM, la valeur "exact" DOIT être utilisée comme comparaison.
<samlp:RequestedAuthnContext Comparison="exact">
Remarque
L'utilisation de valeurs de comparaison autres que "exact", comme par exemple "minimum", "better", etc. entraîne des erreurs lors du traitement de l'assertion SAML sur le Trustbroker eIAM.