Trois cas d'utilisation du SAML sont possibles avec Sectigo :
La première étape préalable consiste à configurer l'IdP de votre établissement spécifiquement pour le SP de Sectigo :
Le fournisseur d'Identité (IdP) doit fournir les attributs suivants au SP de Sectigo :
L'exemple ci-dessous expose comment configurer la résolution des attributs eduPersonEntitlement et schacHomeOrganization pour TCS avec Sectigo.
Les administrateurs des IdP peuvent être amenés à adapter cet exemple et ils doivent notamment s'assurer que :
Cliquez pour afficher les recommandations Schac
Cliquez pour afficher les recommandations Schac
Specifies a person´s home organization using the domain name of the organization. Issuers of schacHomeOrganization attribute values via SAML are strongly encouraged to publish matching shibmd:Scope elements as part of their IDP's SAML metadata. Relaying Parties receiving schacHomeOrganization values via SAML are strongly encouraged to check attribute values against the Issuer's published shibmd:Scope elements in SAML metadata, and may discard any non-matching values.
<AttributeDefinition id="eduPersonEntitlement" xsi:type="ScriptedAttribute" > <InputAttributeDefinition ref="eduPersonAffiliation" /> <DisplayName xml:lang="fr">Entitlement</DisplayName> <DisplayDescription xml:lang="fr"> (eduPersonEntitlement) -> Privilèges spécifiques pour accéder au service. </DisplayDescription> <AttributeEncoder xsi:type="SAML1String" name="urn:mace:dir:attribute-def:eduPersonEntitlement" /> <AttributeEncoder xsi:type="SAML2String" name="urn:oid:1.3.6.1.4.1.5923.1.1.1.7" friendlyName="eduPersonEntitlement" /> <Script><![CDATA[ if ( resolutionContext.getAttributeRecipientID() === "https://cert-manager.com/shibboleth" ) { if (eduPersonAffiliation.getValues().get(0) === "member") { eduPersonEntitlement.addValue("urn:mace:terena.org:tcs:personal-user"); } } ]]></Script> </AttributeDefinition> <!-- Static attributes --> <DataConnector id="staticAttributes" xsi:type="Static"> <Attribute id="schacHomeOrganization"> <Value>domaineEtab.fr</Value> </Attribute> </DataConnector> <AttributeDefinition id="schacHomeOrganization" xsi:type="Simple"> <InputDataConnector ref="staticAttributes" attributeNames="schacHomeOrganization" /> <DisplayName xml:lang="fr">Organisation (international)</DisplayName> <DisplayName xml:lang="en">Home organization (international)</DisplayName> <DisplayDescription xml:lang="fr"> (schacHomeOrganization) -> Nom de domaine de l'organisation d'origine d'une personne. </DisplayDescription> <DisplayDescription xml:lang="en"> (schacHomeOrganization) -> Domain name of a Home Organization. </DisplayDescription> <AttributeEncoder xsi:type="SAML1String" name="urn:mace:terena.org:schac:schacHomeOrganization" encodeType="false" /> <AttributeEncoder xsi:type="SAML2String" name="urn:oid:1.3.6.1.4.1.25178.1.2.9" friendlyName="schacHomeOrganization" encodeType="false" /> </AttributeDefinition>
L'exemple suivant de filtre d'attributs permet d'envoyer la liste complète de tous les attributs nécessaires au bon fonctionnement des différentes intégration SAML avec Sectigo.
Cette configuration force l'IdP à envoyer au SP dont l'entityid est https://cert-manager.com/shibboleth une liste d'attributs fixes, qu'ils soient obligatoires, optionnels ou non demandés explicitement dans les métadonnées :
<!-- Edugain Sectigo SP with mandatory 'optional' attributes --> <AttributeFilterPolicy id="releaseTCS"> <PolicyRequirementRule xsi:type="OR"> <Rule xsi:type="Requester" value="https://cert-manager.com/shibboleth" /> </PolicyRequirementRule> <!-- REQUIRED for SCM admin login with SAML --> <AttributeRule attributeID="eduPersonPrincipalName"> <PermitValueRule xsi:type="ANY"/> </AttributeRule> <!-- REQUIRED for SCM admin login with SAML --> <AttributeRule attributeID="mail"> <PermitValueRule xsi:type="ANY"/> </AttributeRule> <AttributeRule attributeID="displayName"> <PermitValueRule xsi:type="ANY"/> </AttributeRule> <AttributeRule attributeID="commonName"> <PermitValueRule xsi:type="ANY"/> </AttributeRule> <AttributeRule attributeID="givenName"> <PermitValueRule xsi:type="ANY"/> </AttributeRule> <AttributeRule attributeID="surName"> <PermitValueRule xsi:type="ANY"/> </AttributeRule> <!-- REQUIRED for Client Certificates Self-Service with SAML --> <!-- with urn:mace:terena.org:tcs:personal-user walue --> <AttributeRule attributeID="eduPersonEntitlement"> <PermitValueRule xsi:type="ANY"/> </AttributeRule> <!-- REQUIRED for Client Certificates Self-Service with SAML --> <AttributeRule attributeID="schacHomeOrganization"> <PermitValueRule xsi:type="ANY"/> </AttributeRule> </AttributeFilterPolicy>
Il est nécessaire de déclarer une configuration spécifique des filtres d'attribut pour le SP de Sectigo car tous les attributs ne sont pas déclarés dans ses métadonnées SAML et certains sont notés optionnels alors qu'ils sont nécessaires pour certains cas d'usage (l'attribut mail notamment).
De plus, l'attribut mail doit contenir une seule valeur.
La configuration de l'IdP et des attributs fournis au SP de Sectigo peuvent être testés partiellement sur https://cert-manager.com/customer/renater/ssocheck.
Une fois la connexion réalisée avec votre IdP, vous pouvez voir la totalité des attributs reçus par le SP de Sectigo sur la page https://cert-manager.com/Shibboleth.sso/Session.
{ "expiration": 475, "client_address": "W.X.Y.Z", "protocol": "urn:oasis:names:tc:SAML:2.0:protocol", "identity_provider": "https://EntityID_IDP", "authn_instant": "2023-05-31T09:05:11.445Z", "authncontext_class": "urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport", "attributes": [ { "name": "displayName", "values": [ "Prénom NOM" ] }, { "name": "entitlement", "values": [ "urn:mace:terena.org:tcs:personal-user" ] }, { "name": "eppn", "values": [ "XXXX@mondomaine.fr" ] }, { "name": "givenName", "values": [ "Prénom" ] }, { "name": "mail", "values": [ "email@mondomaine.fr" ] }, { "name": "schacHomeOrganization", "values": [ "mondomaine.fr" ] }, { "name": "sn", "values": [ "NOM" ] } ] }
Plusieurs prérequis sont nécessaires pour que les administrateurs RAO/DRAO puissent se connecter au portail SCM de Sectigo directement avec l'IdP de son établissement :
Un exemple de configuration de l'authentification dans le compte d'un administrateur est reporté ci-dessous (via le menu Settings » Admins et après avoir cliqué sur l'onglet Authentification de l'administrateur sélectionné):
Plusieurs prérequis sont nécessaires pour que les utilisateurs (non RAO/DRAO) puissent demander des certificats de personne :
L'adresse du portail Self-enrollment avec SAML de demande d'un certificat de personne est commun à toutes de les organisations dépendant de Renater : https://cert-manager.com/customer/renater/idp/clientgeant.
Plusieurs prérequis sont nécessaires pour que les utilisateurs (non RAO/DRAO) puissent demander des certificats de serveur SSL:
Un exemple de configuration est reporté ci-dessous :
Si vous souhaitez créer vous-même un nouveau portail Self-enrollment de demande d'un certificat de serveur SSL, il aura une adresse spécifique à votre organisation de la forme https://cert-manager.com/customer/renater/ssl/TOKENSECURISE