SAML 2.0 Modèle d'intégration STS-PEP (par défaut)
Le STS-PEP est le modèle par défaut et peut être utilisé pour les besoins réguliers de sécurité. Il est disponible pour les services dans et en dehors de BV-Net, également à partir d'Internet..
Intégration SAML 2.0
L'illustration ci-dessous montre de manière simplifiée le déroulement et les composants impliqués dans l'accès d'un utilisateur non encore authentifié à une application web. L'application n'est pas protégée par le composant web eIAM. Les requêtes HTTP circulent directement entre le navigateur de l'utilisateur et l'application, sans passer par le PEP Web d'eIAM. eIAM est uniquement utilisé pour l'authentification de l'utilisateur et comme fournisseur de rôles d'autorisation et d'attributs d'utilisateur. Les différentes étapes sont décrites ci-dessous.-
- Aperçu des messages Authentification pour une application hébergée en externe
| Numéro | Action | Description |
|---|---|---|
| 1 | Accès de l'utilisateur à l'application web externe | L'utilisateur accède à l'application externe au moyen d'un navigateur web. L'application externe vérifie le droit d'accès et constate qu'une autorisation préalable est nécessaire. |
| 2 | SAML AuthnRequest au navigateur web de l'utilisateur | L'application externe émet une AuthnRequest SAML 2.0 signée à l'intention du PEP web eIAM et l'envoie au navigateur web de l'utilisateur sous forme de formulaire auto-transmis. |
| 3 | SAML AuthnRequest à eIAM-Web PEP | Le navigateur de l'utilisateur envoie automatiquement le formulaire à eIAM-Web PEP par Browser POST au moyen de Java Script. |
| 4 | SAML AuthnRequest au navigateur web de l'utilisateur | L'eIAM-Web PEP vérifie s'il existe déjà une session avec l'utilisateur. S'il existe déjà une session sur le PEP eIAM-Web avec l'utilisateur, on passe directement au point 13. Une réponse SAML est émise par eIAM-Web PEP et envoyée à l'application externe via le navigateur de l'utilisateur. S'il n'y a pas encore de session sur l'eIAM-Web PEP avec l'utilisateur, l'eIAM-Web PEP établit une AuthnRequest SAML 2.0 signée à l'attention de l'eIAM Trustbroker et l'envoie sous forme de formulaire auto-transmis au navigateur web de l'utilisateur ; |
| 5 | SAML AuthnRequest au eIAM Trustbroker | Le navigateur de l'utilisateur envoie automatiquement le formulaire au eIAM Trustbroker via Browser POST au moyen de Java Script. | Home Realm Discovery (HRD) | Le eIAM Trustbroker effectue une "Home Realm Discovery" et recherche les FIs auxquels l'application externe fait confiance. Ces relations de confiance ont été définies lors de la phase d'intégration de l'application sur le Trustbroker eIAM. Si l'application externe fait confiance à plusieurs FI par zone (réseau de l'administration fédérale/Internet), une sélection d'FI est présentée à l'utilisateur qui peut en choisir un. Si l'application externe ne fait confiance qu'à un seul FI par zone (réseau de l'administration fédérale/Internet), il n'y a pas d'interaction avec l'utilisateur. |
| 6 | SAML AuthnRequest à l'FI | Le Trustbroker eIAM émet une AuthnRequest SAML 2.0 signée à l'intention de l'FI et l'envoie au navigateur web de l'utilisateur sous forme de formulaire autotransmis. |
| 7 | SAML AuthnRequest à l'FI | Le navigateur de l'utilisateur envoie automatiquement le formulaire à l'FI par Browser POST au moyen de Java Script. |
| 8 | Authentification sur l'FI | L'utilisateur est authentifié par un moyen d'authentification supporté par l'FI. Selon le moyen d'authentification, l'authentification se fait avec interaction de l'utilisateur (par ex. mot de passe, code SMS) ou sans interaction de l'utilisateur (par ex. Active Directory Kerberos). |
| 9 | SAML Response au eIAM Trustbroker | L'FI émet une réponse SAML 2.0 à l'attention du eIAM Trustbroker. La réponse contient une SAML Assertion signée avec des déclarations (Claims) sur le sujet et les attributs du sujet. La SAML Response est envoyée au navigateur web de l'utilisateur sous forme de formulaire auto-transmis. |
| 10 | SAML Response au Trustbroker eIAM Demande d'attribut dans le PA (eIAM-AM) | Le navigateur de l'utilisateur envoie automatiquement le formulaire au Trustbroker eIAM par Browser POST au moyen de Java Script. Le Trustbroker eIAM vérifie la validité de l'assertion SAML de l'FI. Le Trustbroker eIAM détermine les attributs de l'utilisateur nécessaires à la gestion des accès lors de l'exécution dans l'AM eIAM (composant de gestion des accès d'eIAM). L'utilisateur est d'abord recherché par le Trustbroker eIAM via sa référence d'identité qui pointe vers l'FI dans le supermandant eIAM. Le compte eIAM de l'utilisateur est ainsi déterminé. L'utilisateur est ensuite recherché dans un mandant d'accès spécifique ou dans tous les mandants d'accès via sa référence d'identité qui pointe vers le compte eIAM dans le supermandant (selon que l'application appelée est l'application métier d'un office spécifique ou une plateforme compatible avec le mandant). Le Trustbroker eIAM agrège les attributs de l'FI avec les attributs de la requête dans l'AM eIAM. |
| 11 | Le Trustbroker eIAM émet une réponse SAML 2.0 avec une assertion signée à l'attention du PEP Web eIAM et l'envoie au navigateur Web de l'utilisateur sous forme de formulaire auto-transmissible. | |
| 12 | SAML Response à eIAM-Web PEP | Le navigateur de l'utilisateur envoie automatiquement le formulaire à eIAM-Web PEP par Browser POST au moyen de Java Script. |
| 13 | SAML Response au eIAM-Web PEP | Le eIAM-Web PEP émet une réponse SAML 2.0 avec une assertion signée à l'attention de l'application externe et l'envoie au navigateur web de l'utilisateur sous forme de formulaire auto-transmis. |
| 14 | SAML Response à l'application externe | Le navigateur de l'utilisateur envoie automatiquement le formulaire à l'application externe par Browser POST au moyen de Java Script. |
| 15 | Authentification et autorisation sur l'application externe | L'application externe vérifie la validité de l'assertion SAML 2.0 du PEP eIAM-Web. Vérifie l'autorisation de l'utilisateur sur la ressource et, en cas de succès, crée une session avec l'utilisateur, qui est suivie par cookie. Redirige le navigateur web de l'utilisateur soit vers une URL prédéfinie dans l'application externe, soit vers l'URL initialement demandée par l'utilisateur (dans la requête 1), qui est visible dans l'état de relais. |