Exigences techniques détaillées pour l'interface WS-Federation

Exigences techniques de base

Cette section décrit les exigences techniques fondamentales de l'interface WS-Federation. Il se limite aux points qui diffèrent de l'intégration d'une application compatible avec SAML 2.0 ou qui s'appliquent en plus.

Paramètres requis wsignin Request


Nom          DOIT/PEUTIntentionValeurs possibles
wa DOIT Action souhaitée sur l'interface wsignin1.0
wtrealm DOIT Realm pour identifier le Relying Party appelant (application) URI (URL ou URN)
wctx PEUT Information contextuelle optionnelle, par exemple sur l'URL vers laquelle le client doit être redirigé après l'authentification. Cette valeur est renvoyée par l'eIAM-Web PEP à la Relying Party avec la réponse, sans être modifiée.
Pour des raisons de sécurité (p. ex. XSS), il ne doit pas s'agir d'une URL, mais d'une valeur opaque que seul le Relying Party connaît.

Structure de la session dans l'eIAM avec WS-Federation


Les applications web qui fédèrent au moyen du protocole WS-Federation font la demande d'un Security Token auprès de l'eIAM-Web PEP au moyen d'une wsignin Request. L'eIAM-Web PEP peut émettre des token de sécurité dans les formats SAML 1.1 et SAML 2.0 sur ses interfaces WS-Federation.

L'authentification d'un utilisateur accédant se déroule selon l'illustration suivante.

Structure de la session eIAM et application avec fédération
Structure de la session eIAM et application avec fédération


Demande d'un token de sécurité SAML 1.1
L'eIAM-Web PEP accepte les requêtes wsignin sous
/auth/wsfed/ipsts11?wa=wsignin1.0 et émet des assertions SAML 1.1.

https://<FQDN du PEP>/auth/wsfed/ipsts11

Exemple
https://www.gate.amt.admin.ch/auth/wsfed/ipsts11

Requête pour un token de sécurité SAML 2.0
L'eIAM-Web PEP accepte les requêtes wsignin sous
/auth/wsfed/ipsts?wa=wsignin1.0 et émet des assertions SAML 2.0.

https://<FQDN du PEP>/auth/wsfed/ipsts

Exemple
https://www.gate.amt.admin.ch/auth/wsfed/ipsts

Terminaison de session dans l'eIAM avec WS-Federation

L'interface WS-Federation de eIAM ne supporte que l'authentification unique avec le protocole WS-Federation. L'authentification unique au moyen du protocole WS-Federation n'est pas non supportée.

La terminaison d'une session en cours dans l'application web intégrée avec eIAM se fait par l'appel de l'URL de déconnexion propre à l'application par le PEP web eIAM.

  • Si l'utilisateur appelle la fonction de logout dans n'importe quelle application du réseau SSO.
  • La durée de vie maximale de la session est atteinte sur le eIAM-Web PEP.
  • La durée maximale d'inactivité de la session sur le PEP eIAM-Web est atteinte.