Référence du champ SAML de l'assistant d'intégration d'application
Paramètres généraux
| Logo de l'application | Ajoutez un logo à votre intégration au sein de l'org Okta. Le logo doit être au format PNG, JPG ou GIF et d'une taille inférieure à 1 Mo. Pour de meilleurs résultats, utilisez une image au format PNG, en mode paysage et avec un arrière-plan transparent. Utilisez une résolution minimale de 420 x 120 pixels pour éviter un agrandissement de l'image. |
| Visibilité de l'app | Sélectionnez Masquer l'icône de l'application aux utilisateurs pour masquer l'intégration aux utilisateurs. Sélectionnez Masquer l'icône de l'application dans l'application Okta Mobile pour masquer votre intégration dans le magasin d'applications Okta Mobile Apps Store des appareils de vos utilisateurs finaux. |
Paramètres SAML
| Général | |
|---|---|
| URL d'authentification unique |
Emplacement où envoyer l'assertion SAML à l'aide d'une opération POST. Cette URL est obligatoire et est utilisée comme valeur par défaut de l'URL d'Assertion Consumer Services (ACS) pour le fournisseur de services (SP).
Cette URL est toujours utilisée pour les demandes d'authentification initiées par le Fournisseur d'identité (IdP). L'URL d'authentification unique ne peut pas contenir de traits de soulignement (_). Utilisez cette valeur pour les URL de destinataire et de destination est sélectionné par défaut. Ce paramètre utilise la même URL pour les URL de destinataire et de destination. Si votre intégration nécessite des URL différentes, décochez la case et fournissez des valeurs pour les champs suivants :
|
| URI d'audience (ID d'entité du SP) | URI d'audience de l'assertion SAML. Il s'agit habituellement de l'ID d'entité de votre app. |
| RelayState par défaut | URL de la ressource vers laquelle rediriger les utilisateurs une fois qu'ils se sont connectés au SP via SAML. Voir la documentation du SP pour vérifier si vous devez spécifier un RelayState. Dans la plupart des cas, vous pouvez laisser ce champ vide. |
| Format d'ID de nom | Format du nom d'utilisateur que vous envoyez dans la réponse SAML. Utilisez le format par défaut Non spécifié si la documentation de l'app ne spécifie pas explicitement de format. Lorsque NameIdPolicy est inclus dans la requête SAML, le Format d'ID de nom doit correspondre. |
| Format du nom d'utilisateur de l'application | Détermine la valeur par défaut du nom d'utilisateur de l'app d'un utilisateur. Pour maintenir la sécurité, ne définissez pas le nom d'utilisateur de l'app à l'aide de champs que les utilisateurs finaux peuvent modifier. |
| Mettre à jour le nom d'utilisateur de l'application le | Choisissez quand mettre à jour le nom d'utilisateur de l'app. Créer et mettre à jour est la valeur par défaut utilisée par tous les types Nom d'utilisateur sur l'application. Si Nom d'utilisateur de l'application est Personnalisé, vous pouvez choisir de modifier le nom d'utilisateur de l'app en Créer uniquement. Ce paramètre empêche la modification du nom d'utilisateur, même en cas de modification de la valeur d'un champ qui définit une partie du nom d'utilisateur personnalisé. |
Développez Voir les paramètres avancés pour accéder aux paramètres suivants :
| Paramètres avancés | |
|---|---|
| Réponse | Décidez si le message de réponse d'authentification SAML doit être signé numériquement par le fournisseur d'identité. |
| Signature d'assertion | Décidez si l'assertion SAML doit être signée numériquement. |
| Algorithme de signature | Algorithme de signature utilisé pour signer numériquement la réponse et l'assertion SAML. |
| Algorithme Digest | Algorithme Digest utilisé pour signer numériquement la réponse et l'assertion SAML. |
| Chiffrement de l'assertion | Décidez si l'assertion SAML doit être chiffrée. |
| Algorithme de chiffrement | Algorithme de chiffrement utilisé pour chiffrer l'assertion SAML. Ce champ apparaît lorsque Chiffrement de l'assertion est Chiffré. |
| Algorithme de transport de clé | Algorithme de transport de clé utilisé pour chiffrer l'assertion SAML. Ce champ apparaît lorsque Chiffrement de l'assertion est Chiffré. |
| Certificat de chiffrement | Fichier qui contient le certificat de clé publique (au format PEM) utilisé pour chiffrer l'assertion SAML. Ce champ apparaît lorsque Chiffrement de l'assertion est Chiffré. |
| Certificat de signature | Fichier qui contient le certificat de clé publique (au format PEM) utilisé pour valider la demande de connexion SAML et la demande de déconnexion unique (SLO). |
| Activer la déconnexion unique | Permet aux utilisateurs de se déconnecter à la fois d'une application personnalisée configurée et d'Okta en un seul clic (mais pas des autres apps ouvertes). Voir la section Profil de déconnexion unique dans Profils pour la norme OASIS Security Mark Up Language (SAML) version 2.0. Cette case à cocher apparaît une fois chargé un certificat de signature. Si la déconnexion unique est activée, les instructions de configuration SAML pour votre app devront inclure un champ pour l'URL de déconnexion unique du fournisseur d'identité. |
| URL de déconnexion unique | Indiquez où envoyer la réponse de déconnexion. Ce champ apparaît lorsque l'option Activer la déconnexion unique est sélectionnée. |
| Émetteur du SP | L'ID de l'émetteur du fournisseur de services. Ce champ apparaît lorsque l'option Activer la déconnexion unique est sélectionnée. |
| Requêtes signées | Valide toutes les requêtes SAML à l'aide du Certificat de signature. La charge utile issue de la requête SAML est validée, et Okta lit dynamiquement toutes les URL d'authentification unique (SSO) en provenance de la requête. Cette case à cocher apparaît une fois chargé un certificat de signature. Lorsque Requêtes signées est activée, la requête SAML doit inclure une NameIDPolicy. |
| Autres URL SSO sur demande | À utiliser avec les flux de connexion initiés par SP. Saisissez les ACS URL pour tous les autres nœuds d'authentification unique sur demande utilisés par votre intégration d'app. Cette option autorise les apps à choisir où envoyer la réponse SAML. Spécifiez une URL et un index qui identifie de façon unique chaque point de terminaison des ACS URL. Certains messages AuthnRequest SAML ne spécifient pas d'index ou d'URL. Dans ces cas, la réponse SAML est envoyée à l'ACS indiqué dans le champ URL d'authentification unique . Lorsque vous activez Requêtes signées, Okta supprime toutes les URL SSO statiques précédemment définies et lit à la place les URL SSO en provenance de la requête SAML signée. Vous ne pouvez pas avoir à la fois des URL SSO statiques et dynamiques. |
| Crochet incorporé d'assertion | Un crochet incorporé d'assertion est un appel sortant de la part d'Okta vers un service externe que vous avez créé. Ce type de crochet incorporé est déclenché quand Okta génère une assertion SAML en réponse à une demande d'authentification. Avant d'envoyer l'assertion SAML à l'app qui l'utilise, Okta appelle votre service externe. Le service externe peut répondre avec des commandes pour ajouter des attributs à l'assertion ou modifier ses attributs existants. Pour qu'Okta puisse appeler votre service externe, sélectionnez le point de terminaison du service dans la liste déroulante. Si vous laissez cette option sur Aucun (désactivé), aucun service externe n'est appelé lors du déclenchement d'un crochet incorporé d'assertion. Voir les sections Crochets incorporés, Références sur le crochet incorporé d'assertion SAML et Activer un crochet incorporé d'assertion SAML. |
| Classe de contexte d'authentification | Le type de restriction d'authentification pour l'assertion SAML. Voir la documentation du SP pour obtenir cette information. |
| Honorer l'authentification forcée | Définissez cette option sur Oui pour demander aux utilisateurs leurs identifiants lorsqu'une requête SAML a l'attribut ForceAuthn défini sur true. Les utilisateurs doivent saisir leurs identifiants, même s'ils se sont connectés normalement avec la SSO de bureau. Si cette option est définie sur Non, l'attribut est ignoré. |
| ID de l'émetteur SAML | Utilisez cette option lorsque vous avez besoin de remplacer un ID de l'émetteur. Un remplacement est nécessaire lorsque plus d'une connexion existe pour une même app. Vous pouvez également utiliser cette option lorsqu'une intégration a besoin d'attributs supplémentaires. Saisissez l'ID de l'émetteur pour remplacer la valeur par défaut de http://www.okta.com/$(org.externalKey). Obtenez la clé externe à partir des instructions de configuration de l'instance d'app fonctionnelle actuelle. |
| Durée de vie maximale de la session de l'application |
Configurez la durée de vie maximale de la session lorsque les utilisateurs se connectent à l'app que vous intégrez. Sélectionnez Envoyer une valeur en réponse pour inclure la valeur dans l'assertion SAML. Saisissez un nombre dans le premier champ, puis sélectionnez l'unité de mesure dans la liste déroulante. |
| Instructions d'attribut (facultatif) |
Définissez des instructions d'attribut personnalisées pour l'intégration. Ces instructions sont insérées dans les assertions SAML partagées avec votre application. Voir Définir les instructions d'attribut . Si vous avez activé la fonctionnalité en accès anticipé Assertions SAML de droits et demandes OIDC, cette option apparaît lorsque vous modifiez votre intégration d'app. |
| Instructions d'attribut de groupe (facultatif) | Si votre org Okta utilise des groupes pour catégoriser ses utilisateurs, vous pouvez ajouter des instructions d'attribut de groupe à l'assertion SAML partagée avec votre application.
Voir Définir les instructions d'attribut de groupe.
Si vous avez activé la fonctionnalité en accès anticipé Assertions SAML de droits et demandes OIDC, cette option apparaît lorsque vous modifiez votre intégration d'app. |
Rubriques liées
Créer des intégrations d'app SAML