Security Assertion Markup Language (SAML) single sign-on (SSO)

Security Assertion Markup Language (SAML) est un format de données de norme ouverte basé sur XML, qui permet d'échanger des données d'authentification et d'autorisation entre deux parties (un fournisseur d'identité et un fournisseur de services, par exemple). Le format SAML est généralement utilisé pour les navigateurs Web single sign-on (SSO).

Fonctionnement de SAML

Le fournisseur d'identité (IdP) est utilisé pour les besoins de l'authentification. Une fois que le fournisseur d'identité a déclaré l'identité de l'utilisateur, le fournisseur de services (SP) peut donner accès à ses services à l'utilisateur. Comme le fournisseur d'identité a activé la fonction SSO, l'utilisateur peut accéder à plusieurs des sites et applications du fournisseur sans devoir s'authentifier pour se connecter à chaque site.

La spécification SAML définit trois rôles :

  • Principal : il s'agit généralement d'un utilisateur.
  • IdP : il s'agit du fournisseur d'identité.
  • SP : il s'agit du fournisseur de services.

L'utilisateur principal envoie une requête de service au fournisseur de services SP, lequel demande et obtient une assertion d'identité auprès du fournisseur d'identité IdP. Selon l'assertion, le SP décide d'exécuter ou non le service demandé par l'utilisateur principal.

SAML dans Qlik NPrinting

Qlik NPrinting prend en charge SAML V2.0 en :

  • implémentant un service du moment qu'il peut s'intégrer à des fournisseurs d'identité externes ;
  • prenant en charge HTTP Redirect Binding et HTTP POST Binding pour les réponses SAML ;
  • prenant en charge les propriétés SAML pour le contrôle d'accès des ressources et des données.

Limitations :

  • Qlik NPrinting ne signe pas la demande d'authentification SAML. Autrement dit, les fournisseurs d'identité exigeant la signature de la demande d'authentification SAML ne sont pas pris en charge.
  • Le chiffrement des réponses SAML n'étant pas pris en charge, les messages ou attributs chiffrés ne sont pas lus par Qlik NPrinting.
  • SAML single logout n'est pas pris en charge.
Remarque:

Vous devez activer l'authentification Windows pour utiliser le module additionnel Qlik NPrinting On-Demand sur le serveur Web QlikView.

Si vous souhaitez uniquement utiliser l'authentification SAML, alors installez le module additionnel Qlik NPrinting On-Demand sur une instance de QlikView Server configurée sur un serveur Web Microsoft IIS.

Installation de Qlik NPrinting On-Demand sur une instance de QlikView AccessPoint hébergée par Microsoft IIS

Configurations de Qlik NPrinting web console et NewsStand

Étant donné que Qlik NPrinting web console et NewsStand ont des adresses Web différentes, vous devez configurer deux connexions SAML distinctes afin que les deux fonctionnent.

Authentification SSO lancée par le fournisseur d'identité

Avec la méthode d'authentification SSO lancée par le fournisseur d'identité, l'utilisateur se connecte directement à ce dernier, qui procède à l'authentification SSO.

Lorsque le flux d'authentification est lancé par le fournisseur d'identité, l'utilisateur est redirigé vers le tableau de bord Qlik NPrinting permettant d'accéder à Qlik NPrinting web console ou vers la page d'accueil de NewsStand.

Authentification SSO lancée par le fournisseur de services

Avec la méthode d'authentification SSO lancée par le fournisseur de services, l'utilisateur démarre au niveau du site de ce dernier. Au lieu que la connexion soit établie au niveau du site du fournisseur de services, l'authentification SSO est lancée auprès du fournisseur d'identité. Au cours du processus d'authentification, Qlik NPrinting joue le rôle d'un fournisseur de services. Selon la configuration SAML définie, la page de connexion à Qlik NPrinting affiche un bouton pour chacun des fournisseurs d'identité disponibles. Lorsque vous cliquez sur un bouton, vous êtes redirigé vers le site du fournisseur d'identité pour authentification. Si vous êtes déjà connecté, le fournisseur d'identité vous dirige vers le tableau de bord Qlik NPrinting.

Métadonnées

Le fournisseur de services (Qlik NPrinting) requiert des informations de configuration de la part d'un fournisseur d'identité. Ces informations sont disponibles sous la forme d'un fichier de métadonnées de fournisseur d'identité, qui peut être téléchargé et remis au fournisseur de services afin de simplifier la configuration. Les métadonnées du fournisseur d'identité sont téléchargées à partir de la page de configuration SAML Qlik NPrinting.Qlik NPrinting SAML

Le téléchargement de fichiers de métadonnées n'est pas pris en charge par tous les fournisseurs d'identité. Si vous vous retrouvez dans cette situation, vous pouvez créer le fichier de métadonnées manuellement.

Qlik NPrinting remet au fournisseur d'identité le fichier de métadonnées du fournisseur de services, lequel est téléchargé à partir de la page de la liste de configurations SAML. Les métadonnées comprennent les informations suivantes :

  • URL ACS (Assertion Consumer Service)
  • ID de l'entité

Qlik NPrinting requiert les informations suivantes dans les métadonnées du fournisseur d'identité :

  • Certificat
  • ID de l'entité
  • Emplacement de redirection HTTP
Remarque: Lorsqu'il vérifie la signature de réponse SAML en lisant le certificat, Qlik NPrinting utilise le premier certificat doté de l'attribut de « signature ». Si les métadonnées IdP fournies contiennent plus d'un certificat doté de cet attribut et que le premier n'est pas utilisé pour signer les réponses, la vérification de signature échoue. Vous devez supprimer le certificat non utilisé du fichier de métadonnées IdP avant de le télécharger dans Qlik NPrinting.