SAML: identifiant et attributs standard
Pour les identificateurs et attributs standard SAML, nous distinguons deux types d'applications.- Les applications métiers qui se distinguent par le fait qu'elles sont créées sur mesure en tant que logiciel individuel, conformément aux exigences d'un seul client.
- Les applications de plateforme sont des produits préfabriqués (logiciels standard) qui sont développés pour un grand nombre de clients potentiels.
Pour les applications métiers
La fourniture d'attributs aux applications métier suit le principe "aussi peu que possible, autant que nécessaire". Ainsi, pour les intégrations eIAM standard en tant qu'applications métier, vous obtiendrez l'identifiant et les attributs décrits ci-dessous.Si votre application métier nécessite un identifiant différent, ou des attributs supplémentaires non répertoriés ici, veuillez en tenir compte et indiquer vos besoins dans le dossier d'eIAM.
Identifiant
Pour une intégration eIAM standard, l'assertion SAML (token) envoyée à l'application métier contient le sujet suivant (attribut NameID dans le Subject-Tag) :| Contenu du NameID extrait de l'attribut | Format de l'attribut | Description | http://schemas.eiam.admin.ch/ws/2013/12/ identity/claims/e-id/userExtId | urn:oasis:names:tc:SAML:2.0: nameid-format:persistent | Le userExtId du client d'accès. Cette valeur est unique, invariable et est utilisée dans le cadre des intégrations standard avec Access Management. | http://schemas.xmlsoap.org/ws/2005/05/ identity/claims/name | urn:oasis:names:tc:SAML:2.0: nameid-format:persistent | le loginId du client racine. Cette valeur est unique, immuable et est utilisée dans le cadre d'intégrations standard sans gestion des accès (authentification seule). |
|---|
AuthnClassContextRef
La balise AuthnClassContextRef (ACCR) de l'assertion SAML décrit comment l'utilisateur a été authentifié auprès du fournisseur d'identité. Pour simplifier les choses pour l'application métier, au lieu d'envoyer la méthode d'authentification utilisée (par exemple Kerberos, mot de passe, etc.), l'assertion SAML contient la qualité de l'authentification (QoA). Pour plus de détails sur le concept et les niveaux possibles, voir:Ceci est fourni dans l'AuthnStatement comme ceci (Exemple pour urn:qoa.eiam.admin.ch:names:tc:ac:classes:40) :
Jeu d'attributs standard
Pour le jeu d'attributs standard, les règles suivantes s'appliquent:- Tous les attributs proviendront du root client, sauf indication contraire. Cela permet de s'assurer que les données fournies sont conformes au niveau de qualité d'usage déclaré de l'authentification.
- Tous les attributs fournis proviennent de l'eIAM et auront originalIssuer="uri:eiam.admin.ch:feds", aucun attribut de l'FI ne sera fourni dans l'ensemble d'attributs standard.
| Contenu | Exemple | Nom de l'attribut | Commentaire | Valeur du sujet NameID | 123456789 | http://schemas.xmlsoap.org/ws/2005/05/ identity/claims/nameidentifier | Même valeur que le Subject NameID, Ceci est pour les applications métier qui ne peuvent pas lire le contenu du Subject NameID | Display Name | Modèle Jean OFIT | http://schemas.eiam.admin.ch/ws/2013/12/ identity/claims/displayName | Ne doit être utilisé que pour afficher l'utilisateur et ne doit pas être interprété. Dans un contexte d'entreprise, cet attribut a le format "nom & prénom & OE". Dans le contexte eGov, cet attribut a le format "last name & first name". | Prénom | Jean | http://schemas.xmlsoap.org/ws/2005/05/ identity/claims/givenname | Les données proviennent du root client eIAM. | Nom de famille | Modèle | http://schemas.xmlsoap.org/ws/2005/05/ identity/claims/surname | Les données proviennent du root client eIAM. | Adresse électronique: | jean.modele@ bit.admin.ch | http://schemas.xmlsoap.org/ws/2005/05/ identity/claims/emailaddress | Les données proviennent du root client eIAM. | Langue | DE | http://schemas.eiam.admin.ch/ws/2013/12/ identity/claims/language | Les données sont extraites du root client eIAM. | Rôles dans le profil actuel de l'application métier actuelle | OFSP-emweb.ALLOW OFSP-embeb.Admin | http://schemas.eiam.admin.ch/ws/2013/12/ identity/claims/e-id/profile/role | Tous les rôles que l'utilisateur a dans le profil actuellement sélectionné (multi-valeurs). Si l'utilisateur a plusieurs profils, il doit choisir un profil avec lequel il veut travailler avant. |
|---|
Pour une référence complète des attributs, veuillez consulter :
Pour les applications de plateforme
La fourniture d'attributs aux applications de plateforme suit le principe "aussi peu que possible, autant que nécessaire". Ainsi, pour les intégrations eIAM standard en tant qu'applications de plateforme, vous obtiendrez l'identifiant et les attributs décrits ci-dessous.Si votre application de platforme nécessite un identifiant différent, ou des attributs supplémentaires non répertoriés ici, veuillez en tenir compte et lister vos besoins dans le dossier d'eIAM.
Identifiant
Pour une intégration eIAM standard, l'assertion SAML (token) envoyée à l'application de plateforme contient le sujet suivant (attribut NameID dans le Subject-Tag) :| Contenu du NameID extrait de l'attribut | Format de l'attribut | Description | http://schemas.xmlsoap.org/ws/2005/05/ identity/claims/name | urn:oasis:names:tc:SAML:2.0: nameid-format:persistent | Le loginId du root client. Cette valeur est unique et immuable. |
|---|
AuthnClassContextRef
La balise AuthnClassContextRef (ACCR) de l'assertion SAML décrit comment l'utilisateur a été authentifié auprès du fournisseur d'identité. Pour simplifier les choses pour l'application de plateforme, au lieu d'envoyer la méthode d'authentification utilisée (par exemple Kerberos, mot de passe, etc.), l'assertion SAML contient la qualité de l'authentification (QoA). Pour plus de détails sur le concept et les niveaux possibles, voir:Ceci est fourni dans l'AuthnStatement comme ceci (Exemple pour urn:qoa.eiam.admin.ch:names:tc:ac:classes:40) :
Jeu d'attributs standard
Pour le jeu d'attributs standard, les règles suivantes s'appliquent :- Tous les attributs proviendront du root client, sauf indication contraire. Cela permet de s'assurer que les données fournies sont conformes au niveau de qualité d'usage déclaré de l'authentification.
- Tous les attributs fournis proviennent de l'eIAM et auront originalIssuer="uri:eiam.admin.ch:feds", aucun attribut provenant de l'FI ne sera fourni.
| Contenu | Exemple | Nom de l'attribut | Commentaire | Valeur du sujet NameID | CH12345678 | http://schemas.xmlsoap.org/ws/2005/05/ identity/claims/nameidentifier | Même valeur que le Subject NameID, Ceci est pour les applications de plateforme qui ne peuvent pas lire le contenu du Subject NameID | Display Name | Modèle Jean OFIT | http://schemas.eiam.admin.ch/ws/2013/12/ identity/claims/displayName | Ne doit être utilisé que pour afficher l'utilisateur et ne doit pas être interprété. Dans un contexte d'entreprise, cet attribut a le format "nom & prénom & OE". Dans le contexte eGov, cet attribut a le format "last name & first name". | Prénom | Jean | http://schemas.xmlsoap.org/ws/2005/05/ identity/claims/givenname | Les données proviennent du root client eIAM. | Nom de famille | Modèle | http://schemas.xmlsoap.org/ws/2005/05/ identity/claims/surname | Les données proviennent du root client eIAM. | Adresse électronique: | jean.modele@ bit.admin.ch | http://schemas.xmlsoap.org/ws/2005/05/ identity/claims/emailaddress | Les données proviennent du root client eIAM. | Langue | DE | http://schemas.eiam.admin.ch/ws/2013/ 12/identity/claims/language | Les données sont extraites du root client eIAM. | Rôles dans tous les profils de l'application de plateforme actuelle * | 100\3913491\ SharePoint-BUND .SharePointUser 2300\33339631\ SharePoint-BK.SharePointUser | http://schemas.eiam.admin.ch/ws/2013/ 12/identity/claims/e-id/profile/role | Cet attribut est multivalué et contient les rôles que l'utilisateur possède actuellement, préfixés par les clientExtId et profileExtId du access client où ce rôle attribué a été trouvé. Le format est <clientExtId>\<profileExtId>\<application>.<role>. |
|---|
Pour une référence complète des attributs, veuillez consulter :