SAML Attributs
La SAML AttributeStatement
Dans l'architecture fédérative de l'eIAM, les attributs d'une même assertion peuvent provenir de différentes sources. D'une part, les attributs peuvent provenir directement du fournisseur d'identité qui a authentifié l'utilisateur, d'autre part, les attributs peuvent provenir de l'AM eIAM. Le Trustbroker eIAM enrichit l'assertion SAML de l'FI avec des attributs provenant de l'AM eIAM.Aperçu des principaux attributs
Le tableau suivant donne un aperçu des attributs les plus importants pour l'application.
| Paramètre/Attribut | Définition | Attributs Nom="http://schemas.xmlsoap.org /ws/2005/05/identity/claims/name" | Cet identifiant identifie le compte eIAM de l'utilisateur dans le supermandant eIAM pour les plates-formes multi-tenant (p. ex. CMS OFIT, SharePoint Neo), car il faut utiliser ici un ID supérieur aux mandants officiels. Cette ID est toujours identique pour le même utilisateur. Indépendamment de l'FI par lequel il a été authentifié (à condition que l'ID soit liée). L'attribut n'est présent dans l'assertion SAML qu'APRÈS qu'un utilisateur a effectué pour la première fois une demande d'accès à une application eIAM. En effet, l'attribut peut être absent d'une assertion SAML jusqu'à ce que l'utilisateur ait fait une demande d'accès à une application. | Attributs Name="http://schemas.eiam.admin.ch/ ws/2013/12/identity/claims/role | Autorisations sous forme de rôles que l'utilisateur possède. Sous la forme Application.Rôle l'application doit utiliser ces attributs pour consommer les autorisations que l'utilisateur détient dans l'eIAM-AM et les utiliser pour la gestion des accès. Pour les applications d'un seul office, l'attribut contient tous les rôles pour toutes les applications que l'utilisateur possède dans le mandant d'accès de l'office dans l'eIAM-AM. Dans le cas de plates-formes multi-mandants pour plusieurs offices, l'attribut contient tous les rôles de tous les mandants d'accès dans l'eIAM-AM pour la plate-forme correspondante. | Attributs Nom=http://schemas.eiam.admin.ch/ws/ 2013/12/identity/claims/displayName a:OriginalIssuer="URL de l'FI" | Nom d'affichage de l'utilisateur tel qu'il est géré dans l'FI (n'est pas fourni par tous les FI). |
Attributs et l'Issuer original
Un seul et même attribut peut apparaître plusieurs fois dans l'assertion SAML. Cela semble déroutant à première vue. L'exemple de l'attribut „http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname“ permet de l'expliquer facilement. Cet attribut fournit le prénom de l'utilisateur. Cet attribut peut toutefois provenir de différentes sources. D'une part, l'FI utilisé pour l'authentification fournit cet attribut. D'autre part, eIAM-AM fournit cet attribut. Les valeurs fournies dans cet attribut peuvent être identiques ou différentes. Par exemple, le prénom dans l'FI peut être "Max" dans eIAM-AM, mais l'administrateur peut définir le prénom de l'utilisateur sur "Maximilian". eIAM fournit les deux valeurs dans l'assertion SAML. La source de l'attribut peut être distinguée à l'aide de l'OriginalIssuer (point de sortie original).
Si l'attribut est fourni avec le même schéma par l'FI et l'AM eIAM, c'est au Relying Party de décider quelle valeur il souhaite utiliser pour l'attribut. Le même attribut dans l'FI est généralement mieux mis à jour que son homologue dans l'eIAM-AM.
Attribut de l'FI
<saml2:Attribute xmlns:a="http://schemas.xmlsoap.org/ws/2009/09/identity/claims" Name=„http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname“ a:OriginalIssuer="urn:eiam.admin.ch:idp:e-id:FED-LOGIN">
<saml2:AttributeValue xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">Max</saml2:AttributeValue>
</saml2:Attribute>
Attribut d'eIAM-AM
<saml2:Attribute xmlns:a="http://schemas.xmlsoap.org/ws/2009/09/identity/claims" Name=„http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname“ a:OriginalIssuer="uri:eiam.admin.ch:feds">
<saml2:AttributeValue xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">Maximilian</saml2:AttributeValue>
</saml2:Attribute>
| OriginalIssuer | Définition | uri:eiam.admin.ch:feds | Ces attributs proviennent de eIAM-AM | Autres URI's | Ces attributs proviennent du fournisseur d'identité (FI) la valeur pour OriginalIssuer dépend de l'FI utilisé. |
Tous les paramètres/attributs dans l'assertion SAML.
Le tableau suivant donne un aperçu global de tous les attributs dans l'assertion SAML 2.0 qui sont fournis par le PEP web eIAM au fournisseur de services (Relying Party).
| OriginalIssuer | Définition | AttributeStatement | Contient les claims (revendications) sur le sujet sous la forme d'attributs. | Attribute Name="http://schemas. xmlsoap.org/ws/2005/05/identity/ claims/nameidentifier" | Attribut eIAM interne qui fournit un identifiant unique de l'utilisateur. Format : email L'application NE PAS DOIT utiliser cet identifiant. | Attribute Name="http://schemas. eiam.admin.ch/ws/2013/12/identity /claims/e-id/profile/sessionProfileExtId" | La profileExtId du profil dans eIAM-AM que l'utilisateur utilise dans la session en cours. L'application DOIT utiliser cet attribut pour consommer le profileExtId du profil de l'utilisateur qui est actuellement utilisé par l'utilisateur. Cet attribut n'est fourni que pour les applications d'un office. Cet attribut n'est pas fourni pour les platesformes multi-client. | Attribute Name="http://schemas. xmlsoap.org/ws/2005/05/identity /claims/name" | Cet identifiant identifie le compte eIAM de l'utilisateur dans le supermandant eIAM pour les platesformes multi-client (p. ex. CMS OFIT, SharePoint Neo), car il faut utiliser ici une ID supérieure aux mandants officiels. Cette ID est toujours identique pour le même utilisateur. Indépendamment de l'FI par lequel il a été authentifié (ID linking supposé). L'attribut n'est présent dans l'assertion SAML qu'APRÈS qu'un utilisateur a effectué pour la première fois une demande d'accès à une application eIAM. En effet, l'attribut peut être absent d'une assertion SAML jusqu'à ce que l'utilisateur ait fait une demande d'accès à une application. | Attribute Name="http://schemas. xmlsoap.org/ws/2005/05/identity /claims/givenname" a:OriginalIssuer="URL de l'FI" | prénom de l'utilisateur tel qu'il est géré dans l'FI. | Attribute Name=http://schemas. xmlsoap.org/ws/2005/05/identity /claims/givenname a:OriginalIssuer="uri:eiam.admin .ch:feds" | prénom de l'utilisateur tel qu'il est géré dans l'AM eIAM. Pour les applications d'un office, la valeur utilisée est celle du mandant Access de l'office. Pour les platesformes multimandants, la valeur provenant du compte eIAM de l'utilisateur est utilisée dans le supermandant. | Attribute Name="http://schemas. xmlsoap.org/ws/2005/05/identity /claims/surname" a:OriginalIssuer="FI URL" | Nom de famille de l'utilisateur tel qu'il figure dans l'FI. | Attributs Name="http://schemas. xmlsoap.org/ws/2005/05/identity /claims/surname" a:OriginalIssuer="uri:eiam.admin .ch:feds" | Nom de l'utilisateur tel qu'il est géré dans l'FI eIAM. Pour les applications d'un office, la valeur utilisée est celle du mandant Access de l'office. Pour les plates-formes compatibles avec les mandants, la valeur provenant du compte eIAM de l'utilisateur est utilisée dans le supermandant. | Attribute Name="http://schemas. xmlsoap.org/ws/2005/05/identity/ claims/dateofbirth" a:OriginalIssuer="uri:eiam.admin .ch:feds" | Nouveau (07.07.2024) : Date de naissance de l'utilisateur telle qu'elle figure dans l'eIAM-AM. Cet attribut peut être fourni dans le token d'eIAM au moment de l'exécution. La date de naissance du sujet n'est fournie que si elle est vérifiée. La vérification se fait d'une part par les processus RH pour les collaborateurs internes de l'administration fédérale, d'autre part lors de la vérification de l'identité dans AGOV ou CH-LOGIN. Une date de naissance indiquée par le sujet lui-même et non vérifiée n'est jamais traitée. | Attribute Name="http://schemas. xmlsoap.org/ws/2005/05/identity /claims/emailaddress" a:OriginalIssuer="FI URL" | adresse e-mail de l'utilisateur telle qu'elle est gérée dans l'FI. | Attribute Name="http://schemas. xmlsoap.org/ws/2005/05/identity /claims/emailaddress" a:OriginalIssuer="uri:eiam.admin .ch:feds" | adresse e-mail de l'utilisateur telle qu'elle est gérée dans eIAM-AM. Pour les applications d'un office, la valeur utilisée est celle du mandant Access de l'office. Pour les plates-formes compatibles avec les mandants, la valeur provenant du compte eIAM de l'utilisateur est utilisée dans le supermandant. | Attribute Name="http://schemas. eiam.admin.ch/ws/2013/12/identity /claims/displayName" a:OriginalIssuer="FI URL" | Nom d'affichage tel qu'il est géré dans l'FI (si fourni par l'FI). [Si l'FI ne fournit pas cet attribut en tant que tel, le Trustbroker eIAM le compose à l'aide des valeurs des attributs http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname et http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname afin de toujours pouvoir fournir un attribut correspondant. | Attribute Name="http://schemas. eiam.admin.ch/ws/2013/12/identity /claims/displayName" a:OriginalIssuer="uri:eiam.admin .ch:feds" | nom d'affichage de l'utilisateur tel qu'il est géré dans l'AM eIAM. Pour les applications d'un office, la valeur utilisée est celle du mandant Access de l'office. Pour les plates-formes compatibles avec les mandants, la valeur provenant du compte eIAM de l'utilisateur est utilisée dans le supermandant. | Attribute Name="http://schemas. eiam.admin.ch/ws/2013/12/identity /claims/language" a:OriginalIssuer="FI URL" | Langue préférée de l'utilisateur telle qu'elle est gérée dans l'FI (si fournie par l'FI) | Attribute Name="http://schemas. eiam.admin.ch/ws/2013/12/identity /claims/language" a:OriginalIssuer="uri:eiam.admin .ch:feds" | Langue préférée de l'utilisateur telle qu'elle est gérée dans l'AM eIAM. Pour les applications d'un office, la valeur utilisée est celle du mandant Access de l'office. Pour les plates-formes compatibles avec les mandants, la valeur provenant du compte eIAM de l'utilisateur est utilisée dans le supermandant. | Attribute Name="http://schemas. eiam.admin.ch/ws/2013/12/identity /claims/fp/homeName" | Nom de l'organisation "home" de l'identité électronique avec laquelle l'authentification de l'utilisateur a été effectuée du point de vue du eIAM. Identifie en principe le fournisseur d'identité avec l'identité électronique duquel le sujet accédant s'est authentifié. Les valeurs possibles sont: - e-ID CH-LOGIN => Mot de passe CH-LOGIN (SMS) - Active Directory Bund => Utilisateur Windows dans le réseau de l'administration fédérale (Kerberos) - Admin PKI => Utilisateur indépendant du lieu avec Admin PKI (carte à puce / certificat) | Attribute Name="http://schemas. eiam.admin.ch/ws/2013/12/identity /claims/fp/homeRealm" | URI du Home Realm auquel la SAML 2.0 AuthnRequest pour l'authentification de l'utilisateur a été envoyée par le Trustbroker eIAM et où l'authentification de l'utilisateur a été effectuée. Les valeurs possibles sont: - urn:eiam.admin.ch:idp:e-id:CH-LOGIN => Mot de passe CH-LOGIN (SMS) - https://idp-kerb-eiam-a.adr.admin.ch/auth/saml2/sso => Utilisateur Windows dans le réseau de l'administration fédérale (Kerberos) - https://idp-cert.gate-a.eiam.admin.ch/auth/saml2/sso => Utilisateur indépendant du lieu avec Admin PKI (carte à puce / certificat) | Attribute Name="http://schemas. eiam.admin.ch/ws/2013/12/identity /claims/admin-dir/adminEmployeeNumber" | L'attribut "adminEmployeeNumber" de l'"Admin Directory Bund". Il s'agit du numéro personnel de l'employé de l'administration fédérale. Cet attribut ne peut être fourni que par l'FI pour l'authentification Kerberos et par l'FI pour l'authentification Swiss Government PKI. La condition pour que cet attribut puisse être fourni est un mapping réussi sur l'Admin Directory Record à l'aide de l'identifiant de l'identité électronique. | Attribute Name="http://schemas. eiam.admin.ch/ws/2013/12/identity /claims/admindir/adminDept" | L'attribut "adminDept" de l'"Admin Directory Bund". L'office ou le secrétariat général pour lequel le collaborateur de l'administration fédérale travaille. Cet attribut ne peut être fourni que par l'FI pour l'authentification Kerberos et par l'FI pour l'authentification Swiss Government PKI. Pour que cet attribut puisse être fourni, il faut que le mapping sur l'Admin Directory Record soit réussi à l'aide de l'identifiant de l'identité électronique et que l'attribut soit géré dans l'Admin Directory pour l'utilisateur. | Attribute Name="http://schemas. eiam.admin.ch/ws/2013/12/identity /claims/admindir/ou" | L'attribut "ou" de l'"Admin Directory Bund" (AdminDir). L'unité organisationnelle pour laquelle le collaborateur de l'administration fédérale travaille. Cet attribut ne peut être fourni que par l'FI pour l'authentification Kerberos et par l'FI pour l'authentification Swiss Government PKI. Pour que cet attribut puisse être fourni, il faut que le mapping sur l'Admin Directory Record soit réussi à l'aide de l'identifiant de l'identité électronique et que l'attribut soit géré dans l'Admin Directory pour l'utilisateur. | Attribute Name="http://schemas. eiam.admin.ch/ws/2013/12/identity /claims/admindir/uid" | L'attribut "uid" dans le répertoire "Admin Directory Bund". UniqueId du collaborateur travaillant pour l'administration fédérale (numéro X ou numéro U). Cet attribut ne peut être fourni que par l'FI pour l'authentification Kerberos et par l'FI pour l'authentification Swiss Government PKI. Pour que cet attribut puisse être fourni, il faut que le mapping sur l'Admin Directory Record soit réussi à l'aide de l'identifiant de l'identité électronique et que l'attribut soit géré dans l'Admin Directory pour l'utilisateur. | Attribute Name="http://schemas. eiam.admin.ch/ws/2013/12/identity /claims/fp/federated" | Boolean (true/false) Informe si l'affirmation du Trustbroker eIAM a été faite via une fédération avec un FI ou non. Dans l'eIAM, la valeur est toujours "true". | Attribute Name="http://schemas. eiam.admin.ch/ws/2013/12/identity /claims/role" | Autorisations sous forme de rôles que l'utilisateur possède. Sous la forme ApplicationA.Rôle1 ApplicationA.Rôle2 ApplicationB.Rôle1 Autorisations sous forme de rôles que l'utilisateur possède. Sous la forme ApplicationA.Rôle1 ApplicationA.Rôle2 L'application DOIT utiliser cet attribut pour consommer les autorisations que l'utilisateur détient dans l'AM eIAM et les utiliser pour la gestion des accès. Cet attribut contient donc les "rôles d'autorisation nets" de l'utilisateur de toutes les applications dans le mandant d'accès spécifique (en général un office ou un secrétariat général) d'eIAM-AM. Pour les applications d'un seul office, l'attribut contient les rôles d'autorisation de toutes les applications dont l'utilisateur dispose dans le mandant d'accès dans eIAM-AM. Pour les plates-formes multi-mandants, l'attribut contient tous les rôles de tous les mandants d'accès dans eIAM-AM pour la plate-forme correspondante. | Attribute Name="http://schemas. eiam.admin.ch/ws/2013/12/identity /claims/e-id/profile/role" | autorisations sous forme de rôles que l'utilisateur possède et de quel profil dans quel mandant d'accès ils proviennent. Pour les applications d'un office sous la forme : profileExtId\Application.Rôle. Pour les platesformes multi-clients sous la forme : clientExtId\profileExtId\Application.Rôle La plateforme mandataire DOIT utiliser cet attribut si elle doit distinguer à partir de quel mandant eIAM-AM Access l'utilisateur a reçu quels rôles d'autorisation. Pour les applications d'un seul office, l'attribut contient tous les rôles que l'utilisateur a dans le mandant d'accès de l'office dans eIAM-AM. Dans ce cas, le "clientExtId" n'est pas fourni, car il est unique. Pour les platesformes multimandants, l'attribut contient tous les rôles de tous les mandants d'accès dans l'eIAM-AM pour la plateforme correspondante. Mais pas d'autres rôles pour d'autres applications. Par exemple, les rôles de tous les sites Sharepoint de l'utilisateur sont fournis. Mais pas les rôles pour d'autres applications. | Attributs Name=" http://schemas. eiam.admin.ch/ws/2013/12/identity /claims/e-id/profile/unitExtId" | Combinaison de profileExtId du profil que l'utilisateur utilise dans la session en cours et de unitExtId de l'unité à laquelle le profil est attribué. Sous la forme : profileExtId\unitExtId Cet attribut n'est pas fourni avec les platesformes multi-client | Attribute Name="http://schemas. eiam.admin.ch/ws/2013/12/identity /claims/e-id/profile/profileName" | Le nom de profil du ou des profils de l'utilisateur à partir desquels les rôles ont été extraits pour l'assertion. Pour les applications d'un mandant sous la forme : profileExtId\\NprofileName. Pour les platesformes multi-clients sous la forme : clientExtId\profileExtId\profileName Pour les applications d'un seul office, l'attribut contient le nom du profil dans le mandant Access de l'office auquel la RP est attribuée. Dans ce cas, le "clientExtId" n'est pas indiqué, car il est unique. Pour les plates-formes multi-mandants, l'attribut contient les noms des profils de tous les mandants d'accès dans l'eIAM-AM pour la plate-forme correspondante. Le "clientExtId" est alors fourni comme identifiant supplémentaire. | Attribute Name="http://schemas. eiam.admin.ch/ws/2013/12/identity /claims/e-id/userExtId | userExtId de l'utilisateur dans le mandant Access Pour les applications d'un office, l'attribut contient le userExtId du compte de l'utilisateur dans le mandant Access dans l'eIAM-AM. Pour les platesformes multimandants, l'attribut contient le userExtId du compte eIAM de l'utilisateur dans le supermandant eIAM. | Attributs Name="http://schemas. eiam.admin.ch/ws/2014/11/identity /claims/e-id/client/userExtId" | Une ou plusieurs combinaisons de clientExtId et userExtId de l'utilisateur ou des utilisateurs à partir des profils desquels des rôles ont été extraits pour l'as-sertion. Sous la forme : clientExtId\userExtId L'attribut n'est fourni que pour les plates-formes multi-tenant. La valeur de l'attribut contient toutes les combinaisons de clientEx-tId et userExtId de l'utilisateur de tous les comptes dans les manants d'accès dans lesquels l'utilisateur possède des rôles pour la plate-forme. | Attribute Name="http://schemas. eiam.admin.ch/ws/2014/11/identity /claims/e-id/client/clientName" | Le nom du ou des mandants à partir desquels des rôles ont été récupérés pour l'assertion émise. Sous la forme : clientExtId\clientName L'attribut n'est fourni que pour les plates-formes multi-tenant. Pour les plates-formes multi-tenant, l'attribut contient les noms des mandants à partir desquels des rôles ont été extraits pour la plate-forme correspondante. | Attribute Name="http://schemas. eiam.admin.ch/ws/2013/12/identity /claims/e-id/clientExtId" | Le clientExtId du mandant d'où provient le compte utilisé dans la session actuelle de l'utilisateur. Pour les applications d'un office, l'attribut contient le clientEx-tId de l'office auquel l'application est attribuée. Pour les platesformes multimandants, l'attribut contient le clientEx-tID du supermandant eIAM (clientExtId=100). | Attribute Name="http://schemas. eiam.admin.ch/ws/2013/12/identity /claims/e-id/loginId" | Le loginId de l'utilisateur. [Pour les applications d'un seul office, l'attribut contient le loginId de l'utilisateur dans le mandant de l'office dans l'eIAM-AM auquel l'application est attribuée. Pour les plates-formes multi-mandants, l'attribut contient le loginId de l'utilisateur dans le supermandant eIAM. | Attribute Name="http://schemas. eiam.admin.ch/ws/2013/12/identity /claims/e-id/profile/unitName | le nom de l'unité à laquelle est attribué le profil que l'utilisateur utilise dans la session en cours. [Pour les applications d'un seul office, cet attribut contient le nom de l'unité à laquelle est affecté le profil utilisé par l'utilisateur. Pour les plates-formes multi-tenant, cet attribut n'est pas fourni. | Attribute Name="http://schemas. eiam.admin.ch/ws/2013/12/identity /claims/e-id/unitExtId" | L'unitExtId de l'unité dans l'AM eIAM à laquelle est attribué le profil que l'utilisateur utilise actuellement. Pour les applications d'un seul office, l'attribut contient le nom de l'unité à laquelle est affecté le profil utilisé par l'utilisateur. Pour les platesformes multi-client, cet attribut n'est pas fourni. | Attribute Name="http://schemas. eiam.admin.ch/ws/2013/12/identity /claims/e-id/unitName" | Le nom d'unité de l'unité du mandant d'accès eIAM-AM à laquelle est attribué le profil que l'utilisateur utilise dans la session en cours. [Pour les applications d'un seul office, l'attribut contient le nom de l'unité à laquelle est affecté le profil utilisé par l'utilisateur. Pour les platesformes multi-client, cet attribut n'est pas fourni. | Attribute Name="http://schemas. eiam.admin.ch/ws/2013/12/identity /claims/e-id/profile/defaultProfileExtId" | Le profileExtId du profil par défaut de l'utilisateur dans l'Access Mandanten dans l'eIAM-AM. [Pour les applications d'un seul office, l'attribut contient le profileExtId du profil par défaut de l'utilisateur dans le mandant d'accès auquel l'application est attribuée. Pour les plates-formes multi-mandants, cet attribut n'est pas fourni. | Attribute Name="http://schemas. eiam.admin.ch/ws/2014/11/identity /claims/e-id/mode" | Le mode de recherche qui a été utilisé pour collecter les informations de rôle de l'utilisateur pour l'assertion SAML dans l'AM eIAM. Cet attribut est absent pour les applications d'un seul office. Pour les plates-formes multi-clients, cet attribut prend la valeur "MultiClient". | Attribute Name="http://schemas. eiam.admin.ch/ws/2015/03/identity /claims/e-id/pep/sourceNetwork" | Le réseau à partir duquel le client a accédé au PEP lors de la demande de l'assertion SAML. Les valeurs possibles sont: - BV => Accès depuis la zone réseau bleue (réseaux de l'administration fédérale). - INTERNET => accès depuis la zone de réseau rouge (Internet, KTV, autres) - KTV => accès depuis le réseau cantonal. Sachant que la distinction entre Internet et le réseau cantonal n'est faite que si un load balancer propre au réseau cantonal a été explicitement commandé par le projet. | Attribute Name="http://schemas. eiam.admin.ch/ws/2021/06/ identity/claims/cis/adminGlobalID" | Dans le contexte de l'entreprise, cet attribut contient l'adminGlobalId émis par le CIS (Central Identity Store). Cet identifiant permet à l'application de trouver les données d'identité des utilisateurs directement sur le DRP (Data retrieval point). | AuthnContext | Contient des informations sur la manière dont l'authentification de l'utilisateur a été effectuée sur le fournisseur d'identité (FI). | Attribute Name="http://schemas. eiam.admin.ch/ws/2024/05/ identity/claims/cis/adminOrganizationUID" | Nouveau (13.11.2024) : Unité d'organisation de l'utilisateur dans le contexte Enterprise telle qu'elle est gérée dans CIS. Le « Central Identity Store » (CIS) met à disposition l'attribut « adminOrganizationUID ». Il s'agit d'un identifiant stable qui reste stable même lorsqu'une unité organisationnelle est renommée. Pour certaines applications, il est important de savoir dans quelle unité organisationnelle le sujet accédant à l'application cible est géré afin de prendre des décisions à ce sujet au sein de l'application. | AuthnContextClassRef | contient des informations sur la méthode d'authentification utilisée pour authentifier l'utilisateur sur l'FI. Sur la base de cette valeur DOIT, l'application décide si la force d'authentification de l'utilisateur est suffisante pour accéder à la ressource. ContextClassRefs utilisés par eIAM: urn.oasis.names.tc.SAML.2.0.ac.classes.Kerberos |