Configurer les paramètres de fournisseur d'identité
Le fournisseur d'identité (IDP) assure l'authentification des utilisateurs. Dans ce cas, le fournisseur de services (SP),
BlackBerry AtHoc
ou Self-Service, demande l'authentification au fournisseur d'identité.Lorsque l'authentification SSO est activée pour l'accès au système de gestion
BlackBerry AtHoc
ou à Self-Service, lorsqu'un utilisateur se connecte, il est redirigé vers l'IDP de son organisation pour authentification. Si l'utilisateur est déjà connecté au fournisseur d'identité, la demande d'authentification est traitée et envoyée au fournisseur de services, et l'accès est accordé à l'utilisateur sans qu'il soit nécessaire de se reconnecter.- Connectez-vous au système de gestionBlackBerry AtHocen tant qu'administrateur de l'organisation ou administrateur d'entreprise.
- Cliquez sur .
- Dans la sectionUtilisateurs, cliquez surAuthentification de l'utilisateur.
- Sur la pageAuthentification de l'utilisateur, dans la sectionAttribuer des méthodes d'authentification aux applicationsde la sectionSelf-ServiceouSystème de gestion, cliquez surConfiguration.Si le boutonConfigurationn'est pas disponible, l'authentification unique n'est pas activée. Pour plus d'informations, reportez-vous à Activer l'authentification unique en tant que méthode d'authentification.
- Effectuez l'une des opérations suivantes :
- Dans la fenêtreConfiguration SSO du système de gestionouConfiguration SSO de Self-Service, dans la sectionFournisseur d'identité, configurez lesParamètres générauxsuivants.
- Nom du fournisseur d'identité: Chaque configuration SAML est identifiée par un nom de fournisseur d'identité unique. Ce nom est interne à la configuration et n'est pas exposé aux fournisseurs partenaires. Ce champ est obligatoire uniquement lorsqu'il existe plusieurs configurations SAML. Saisissez un nom composé de trois caractères minimum et de 512 caractères maximum. Les caractères spéciaux suivants ne sont pas autorisés : `!?"<>!$%&^()={},;\:?"<>
- URL du service d'ouverture de session: Saisissez l'URL de l'emplacement du service SSO du fournisseur d'identité où les demandes d'authentification SAML sont envoyées dans le cadre d'une authentification unique initiée par le fournisseur de services.
- Liaison au service d'ouverture de session: En option, sélectionnezRedirigerouPOSTcomme mécanisme de transport (liaison SAML) à utiliser lors de l'envoi de demandes d'authentification SAML au fournisseur d'identité partenaire. Le paramètre par défaut estRediriger.
- URL du service de déconnexion: URL du service de déconnexion unique du fournisseur de services local où les messages de déconnexion SAML sont reçus. Si une déconnexion unique n'est pas nécessaire, laissez ce champ vide. Pour plus d'informations, reportez-vous à Service de déconnexion SSO.
- Liaison au service de déconnexion: En option, sélectionnezRedirigerouPOSTcomme mécanisme de transport (liaison SAML) à utiliser lors de l'envoi de demandes d'authentification SAML au fournisseur d'identité partenaire. Le paramètre par défaut estRediriger.
- URL du service de résolution d'artéfacts: Vous pouvez également saisir une URL de service de résolution d'artéfacts. Le fournisseur de services utilise le protocole de résolution d'artéfacts pour échanger un artéfact contre le message SAML réel référencé par l'artéfact.
- Liaison au service de résolution d'artéfacts: Vous pouvez également sélectionnerSOAP,POST,REDIRIGERouARTÉFACTcomme mécanisme de transport (liaison SAML) à utiliser lors de l'envoi de demandes d'authentification SAML au fournisseur d'identité partenaire. La valeur par défaut estSOAP.
- Format de l'ID du nom: Si vous le souhaitez, sélectionnezAdresse e-mail,PersistantouTransitoirecomme format à utiliser par le SP et l'IDP pour identifier un identifiant de nom d'objet.
- Attribut de mappage utilisateur: Vous pouvez également sélectionner l'attribut qui identifie l'utilisateur. Cet attribut est récupéré à partir des métadonnées d'assertion SAML. La valeur par défaut estNom du sujet.
- Nom de l'attribut: Saisissez le nom de l'attribut utilisé pour identifier l'utilisateur.
- Configurez lesParamètres de sécuritésuivants :
- Signature de réponse SAML: SélectionnezSignéouNon signé. Lorsque vous sélectionnezSigné, les réponses SAML envoyées au fournisseur de services partenaire doivent être signées. L'envoi de demandes d'authentification signées est fortement recommandé, mais facultatif.
- Signature d'assertion: SélectionnezSignéouNon signé. Lorsque vous sélectionnezSigné, les assertions SAML envoyées au fournisseur de services partenaire doivent être signées.
- Vous devez sélectionnerSignédansSignature de réponse SAML,Signature d'assertionou les deux.
- Un certificat valide doit être installé pour votre organisation.
- Algorithme de signature: Sélectionnez un algorithme. La valeur par défaut estRSA-SHA256.
- Chiffrement d'assertion: SélectionnezChiffréouNon chiffré. Lorsque vous sélectionnezChiffré, les assertions SAML envoyées au fournisseur de services partenaire doivent être chiffrées.
- SiChiffrement d'assertionest défini surChiffré, sélectionnez unAlgorithme d'assertion. Le paramètre par défaut estAES128.
- Dans le champCertificat*, cliquez surParcourirpour rechercher et sélectionner un fichier de certificat. Seuls les fichiers .cer et .crt sont pris en charge.
- Vous pouvez également ajouter lesinformations supplémentairessuivantes :
- Nom de l'entreprise: Saisissez un nom composé de trois caractères minimum et de 512 caractères maximum. Les caractères spéciaux suivants ne sont pas autorisés : `!?"<>!$%&^()={},;\:?"<>
- Nom d'affichage de l'entreprise: Saisissez un nom composé de trois caractères minimum et de 512 caractères maximum. Les caractères spéciaux suivants ne sont pas autorisés : `!?"<>!$%&^()={},;\:?"<>
- URL de l'entreprise
- Nom de la personne à contacter
- Rôle ou service
- Adresse e-mail
- Numéro de téléphone
- Effectuez l'une des opérations suivantes :
- Si vous modifiez une configuration SSO existante, cliquez surAppliquer, puis surEnregistrersur la pageAuthentification de l'utilisateur.
- Pour une nouvelle configuration SSO, configurez les paramètres du fournisseur de services.