Informations nécessaires pour la configuration SAML 2.0 (métadonnées)

Afin de simplifier la configuration du service eIAM-Web et de l'application, des données de configuration doivent être échangées. Pour cela, il existe des structures XML normalisées, appelées métadonnées, qui doivent être échangées entre eIAM-Web et l'application. Celles-ci sont obligatoires, car un échange manuel des informations est sujet à des erreurs et prend donc beaucoup de temps.

                                                            Acquérir un certificat de signature SAML
Pour cela, vous devez générer une clé privée dédiée pour chaque environnement. Créez un CSR et signez-le comme décrit ci-dessous. Le certificat doit ensuite être intégré dans le fichier metadata.xml de SAML.
Certificate Signing Request (CSR) du serveur sur lequel tourne l'application au LRAO de classe C de l'office (demandez à votre manager d'intégration).


Le LRAO peut créer le certificat Class C System Sign (RegularCA01) à l'aide du Certificate Request Wizard (CRW) de l'OFIT PKI. Instructions pour la commande de certificats Lien (Lien plateforme client ).


Important : Le LRAO doit avoir l'autorisation de commander un C System Sign. Si ce n'est pas le cas, il doit l'activer avec la confirmation de l'DSIO de l'office au moyen du formulaire de demande. Pour cela, le manager d'intégration de l'office devrait être au courant.

Avec le certificat, le développeur peut créer les métadonnées de l'application et les envoyer à l'eIAM OFIT.

Ce qui devrait également être fait du côté de l'application:
- Certificat pour le cryptage SSL. Cela peut également être fait via l'assistant de l'OFIT PKI (n'est pas obligatoire).
- Enregistrement URL DNS pour l'application par Remedy MAC
- Pare-feu etc. en dehors de l'exploitation de l'OFIT

Support technique => responsabilité du collaborateur eIAM
Support certificat => pki-info@bit.admin.ch

Métadonnées SAML.xml de l'eIAM

Les informations nécessaires pour configurer l'application compatible SAML 2.0 de manière à ce qu'elle puisse utiliser eIAM-Web comme FI sont mises à disposition du projet par le service eIAM sous la forme d'un fichier de métadonnées au format XML (IDPSSODescriptor). Dans la plupart des cas, l'application peut être configurée directement en important ce fichier de métadonnées. Si cela n'est pas possible, le projet peut extraire manuellement les informations nécessaires à la configuration manuelle à partir du fichier de métadonnées fourni.

Le tableau ci-dessous contient les attributs fournis dans le fichier de métadonnées d'eIAM-Web. D'autres attributs peuvent être fournis avec le fichier de métadonnées, mais ne doivent pas être utilisés dans la configuration SAML de l'application. Les métadonnées SAML 2.0 NE DOIVENT PAS être signées.


EntityDescriptor - entityID Identifiant unique de l'entité. La valeur de cet attribut DOIT être un URN dans l'espace de noms "urn:eiam.admin.ch:pep:".
IDPSSODescriptor - KeyDescriptor - Key-Info - X509Data - X509Certificate Cet attribut DOIT contenir le certificat (clé publique) de la paire de clés avec la clé privée de laquelle le PEP signe l'assertion SAML 2.0. L'application identifie ainsi le certificat dans son trust-store qui doit être utilisé pour vérifier la signature de l'assertion.
IDPSSODescriptor - SingleSignOnService - Location Cet attribut DOIT contenir la valeur de l'URL du service SSO du PEP web eIAM du point de vue du navigateur de l'utilisateur. C'est à cette destination que l'application adresse la requête SAML 2.0 AuthnRequest qui doit être envoyée au PEP eIAM-Web.
SPSSODescriptor - SingleLogoutService - Location (modéle STS-PEP) Cet attribut DOIT contenir la valeur de l'URL du Single Logout (SLO) Location du PEP eIAM-Web du point de vue du navigateur de l'utilisateur. Il s'agit de l'URL de la manière dont le navigateur doit adresser le point final SLO SAML du PEP eIAM-Web. Il DOIT s'agir d'une valeur constante, qui est définie de manière fixe pour chaque eIAM-Web PEP.

Informations contenues dans le fichier de métadonnées pour la configuration de l'application .
Exemple de fichier de métadonnées XML pour la configuration de l'eIAM-Web PEP (FI) dans l'application (SP):

Configuration SAML (metadata.xml) requise par l'application

L'eIAM doit également disposer d'informations sur l'interface SAML de l'application. C'est pourquoi le projet doit exporter la configuration SAML de l'application sous la forme d'un fichier de métadonnées au format XML et la mettre à disposition du service (descripteur SPSSO).
Les applications courantes compatibles SAML supportent aujourd'hui l'exportation d'un tel fichier de métadonnées après la configuration du fournisseur de services SAML 2.0.

Le tableau ci-dessous contient les attributs à fournir obligatoirement dans le fichier de métadonnées. D'autres attributs peuvent être fournis avec le fichier de métadonnées, mais ne sont pas utilisés dans la configuration eIAM-Web.

EntityDescriptor - entityID Identifiant unique de l'entité. La valeur de cet attribut DOIT être un URI (un URN ou un URL). Exemple :urn:eiam.admin.ch:sp:appl1 https://sp.example.com/saml2/auth/
SPSSODescriptor - KeyDescriptor - KeyInfo - X509Data - X509Certificate Cet attribut DOIT contenir le certificat (clé publique) de la paire de clés avec la clé privée de laquelle l'application signe les Auth-nRequests SAML 2.0. L'FI utilise ce certificat pour identifier le certificat dans le Truststore avec lequel le PEP doit vérifier l'AuthnRequest SAML de l'application.
SPSSODescriptor - AssertionConsumerService - Location (modèle RP-PEP) Cet attribut DOIT contenir la valeur de l'URL de l'Assertion Consumer Service (ACS/SAML SSO endpoint) de l'application du point de vue du navigateur de l'utilisateur. Il s'agit de l'URL de la manière dont le navigateur peut accéder à l'ACS de l'application via le PEP eIAM-Web. Ceci DOIT être une valeur constante, qui est définie de manière fixe pour chaque application.
SPSSODescriptor - AssertionConsumerService - Location (modèle STS-PEP) Cet attribut DOIT contenir la valeur de l'URL de l'Assertion Consumer Service (ACS) de l'application du point de vue du navigateur de l'utilisateur. Il s'agit de l'URL par laquelle le navigateur peut accéder à l'ACS de l'application. Si cette valeur est fournie, elle DOIT être une valeur constante qui est définie de manière fixe pour le fournisseur de services SAML. Si cette valeur n'est pas fournie, le SP DOIT envoyer la valeur "AssertionConsumerServiceURL" à chaque SAML AuthnRequest.
SPSSODescriptor - SingleLogoutService - Location (modèle STS-PEP) Cet attribut DOIT contenir la valeur de l'URL du Single Logout (SLO) Location de l'application du point de vue du navigateur de l'utilisateur. Il s'agit de l'URL de la manière dont le navigateur doit adresser le point final SLO SAML de l'application. Ceci DOIT être une valeur constante, qui est définie de manière fixe pour chaque application.
SPSSODescriptor - SingleLogoutService - ResponseLocation (modèle STS-PEP) Cet attribut DOIT contenir la valeur de l'URL du Single Logout (SLO) Response Location du SP du point de vue du navigateur de l'utilisateur. Il s'agit de l'URL de la manière dont le navigateur doit adresser le point final SAML SLO Response de l'application en tant que fournisseur de services. Ceci DOIT être une valeur constante, qui est définie de manière fixe pour chaque fournisseur de services.

Informations à inclure obligatoirement dans le fichier de métadonnées de l'application.
Exemple de fichier de métadonnées XML pour la configuration de l'application (SP) dans eIAM: