Security Assertion Markup Language (SAML) Authentification unique (SSO)
Security Assertion Markup Language (SAML) est un format de données de norme ouverte basé sur XML, qui permet d'échanger des données d'authentification et d'autorisation entre deux parties (un fournisseur d'identité et un fournisseur de services, par exemple). Le format SAML est généralement utilisé pour les navigateurs Web Authentification unique (SSO).
Fonctionnement de SAML
Le fournisseur d'identité (IdP) est utilisé pour les besoins de l'authentification. Une fois que le fournisseur d'identité a déclaré l'identité de l'utilisateur, le fournisseur de services (SP) peut donner accès à ses services à l'utilisateur. Comme le fournisseur d'identité a activé la fonction SSO, l'utilisateur peut accéder à plusieurs des sites et applications du fournisseur sans devoir s'authentifier pour se connecter à chaque site.
La spécification SAML définit trois rôles :
- Principal : il s'agit généralement d'un utilisateur.
- IdP : il s'agit du fournisseur d'identité.
- SP : il s'agit du fournisseur de services.
L'utilisateur principal envoie une requête de service au fournisseur de services SP, lequel demande et obtient une assertion d'identité auprès du fournisseur d'identité IdP. Selon l'assertion, le SP décide d'exécuter ou non le service demandé par l'utilisateur principal.
SAML dans Qlik NPrinting
Qlik NPrinting prend en charge SAML 2.0 en :
- implémentant un service du moment qu'il peut s'intégrer à des fournisseurs d'identité externes ;
- prenant en charge HTTP Redirect Binding et HTTP POST Binding pour les réponses SAML ;
- prenant en charge les propriétés SAML pour le contrôle d'accès des ressources et des données.
Limitations
- Qlik NPrinting ne signe pas la demande d'authentification SAML. Autrement dit, les fournisseurs d'identité exigeant la signature de la demande d'authentification SAML ne sont pas pris en charge.
- Le chiffrement des réponses SAML n'étant pas pris en charge, les messages ou attributs chiffrés ne sont pas lus par Qlik NPrinting.
- Déconnexion unique SAML n'est pas pris en charge.
Pour utiliser le complément Qlik NPrinting On-Demand sur le serveur QlikView et Qlik Sense, vous devez activer l'authentification Windows.
Si vous souhaitez uniquement utiliser l'authentification JWT, installez le module additionnel Qlik NPrinting On-Demand sur une instance de QlikView Server configurée sur un serveur Web Microsoft IIS.
Installation du module additionnel On-Demand sur une instance de QlikView AccessPoint hébergée par Microsoft IIS (uniquement en anglais)
Configurations de Console Web Qlik NPrinting et NewsStand
Étant donné que Console Web Qlik NPrinting et NewsStand ont des adresses Web différentes, vous devez configurer deux connexions SAML distinctes afin que les deux fonctionnent.
Authentification SSO lancée par le fournisseur d'identité
Avec la méthode d'authentification SSO lancée par le fournisseur d'identité, l'utilisateur se connecte directement à ce dernier, qui procède à l'authentification SSO.
Lorsque le flux d'authentification est lancé par le fournisseur d'identité, l'utilisateur est redirigé vers le tableau de bord Qlik NPrinting permettant d'accéder à Console Web Qlik NPrinting ou vers la page d'accueil de NewsStand.
Authentification SSO lancée par le fournisseur de services
Avec la méthode d'authentification SSO lancée par le fournisseur de services, l'utilisateur démarre au niveau du site de ce dernier. Au lieu que la connexion soit établie au niveau du site du fournisseur de services, l'authentification SSO est lancée auprès du fournisseur d'identité. Au cours du processus d'authentification, Qlik NPrinting joue le rôle d'un fournisseur de services. Selon la configuration SAML définie, la page de connexion à Qlik NPrinting affiche un bouton pour chacun des fournisseurs d'identité disponibles. Lorsque vous cliquez sur un bouton, vous êtes redirigé vers le site du fournisseur d'identité pour authentification. Si vous êtes déjà connecté, le fournisseur d'identité vous dirige vers le tableau de bord Qlik NPrinting.
Métadonnées
Le fournisseur de services (Qlik NPrinting) requiert des informations de configuration de la part d'un fournisseur d'identité. Ces informations sont disponibles sous la forme d'un fichier de métadonnées de fournisseur d'identité, qui peut être téléchargé et remis au fournisseur de services afin de simplifier la configuration. Les métadonnées du fournisseur d'identité sont téléchargées à partir de la page de configuration SAML Qlik NPrinting.Qlik NPrinting SAML
Le téléchargement de fichiers de métadonnées n'est pas pris en charge par tous les fournisseurs d'identité. Si vous vous retrouvez dans cette situation, vous pouvez créer le fichier de métadonnées manuellement.
Qlik NPrinting remet au fournisseur d'identité le fichier de métadonnées du fournisseur de services, lequel est téléchargé à partir de la page de la liste de configurations SAML. Les métadonnées comprennent les informations suivantes :
- URL ACS (Assertion Consumer Service)
- ID de l'entité
Qlik NPrinting requiert les informations suivantes dans les métadonnées du fournisseur d'identité :
- Certificat
- ID de l'entité
- Emplacement de redirection HTTP