Résumé des fichiers et liens
Fichiers de configuration
Fichiers de base
-
/usr/share/sso/config.py
: fichier de configuration principal de l'application (sur un module Eole, la configuration est gérée via Creole) -
/usr/share/sso/app_filters/*_apps.ini
: définition des applications et spécification du filtre à utiliser -
/usr/share/sso/app_filters/*.ini
: fichiers de description des filtres d'attributs -
/usr/share/sso/user_infos/*.py
: fonctions de calcul d'attributs supplémentaires -
/usr/share/sso/interface/theme
: répertoire pour personnalisation de la CSS des pages d'authentification
Fichiers spécifiques au fonctionnement en mode SAML
-
/usr/share/sso/metadata/*.xml
: fichiers metadata des entités partenaires (doit contenir le certificat utilisé pour la signature des requêtes) -
/usr/share/sso/metadata/attributes.ini
: définition des attributs requis/optionnels en tant que fournisseur de service (obsolète) -
/usr/share/sso/attribute_sets/*.ini
: description de jeux d'attributs pour la fédération via SAML -
/usr/share/sso/attribute_sets/associations*.ini
: fichiers de configuration des associations avec des fournisseurs d'identité
URL principales
Toutes les URL du service EoleSSO décrites ci-dessous commencent par https://addresse_serveur:8443 (port par défaut, peut être différent suivant la configuration du service).
URL Générales
/ (sans paramètres)
: Page d'accueil, le formulaire d'authentification est présenté et une session SSO est créée après validation. Si l'utilisateur est déjà authentifié il est redirigé sur la page/loggedin
ou une liste des fédérations établies et des applications ayant un ticket est affichée/logout
: adresse de déconnexion de la session actuelle (gestion du Single Logout pour les protocoles le supportant)
URL spécifiques à CAS
/?service=X
: Adresse d'obtention d'un ticket CAS pour les applications clientes (à utiliser comme URI de base dans la configuration des clients CAS)service
est l'URL de l'application désirant obtenir un ticket. Une fois la validité de la session SSO vérifiée, le service EoleSSO redirige l'utilisateur sur cette URL en passant le ticket en paramètre (nom du paramètre :ticket
)
/validate?service=X&ticket=Y
(ou/serviceValidate
) : adresse de validation des tickets d'application CAS ;service
est l'URL du service pour lequel le ticket a été délivré
ticket
est le ticket a vérifier (de type ST)
/proxyValidate?service=X&ticket=Y&pgtUrl=Z
: adresse de validation des tickets d'application CAS en mode proxyticket
est le ticket à vérifier (de type ST ou PT) ;
/samlValidate
: adresse de validation des tickets CAS au format SAML 1. Les paramètres doivent être passés par méthode POST (méthode supportée par les client CAS java 3.1.X, phpCAS 1.1.0 et .NET CAS Client). Pour plus de détail sur, se reporter à la page http://en.wikipedia.org/wiki/SAML_1.1TARGET
: URL à laquelle la réponse doit être envoyée
Le corps de la requête doit contenir la requête SAML dans une enveloppe SOAP. Le ticket à valider est fourni comme valeur de l'élément AssertionArtifact
/proxy?pgt=X?targetService=Y
: adresse d'obtention d'un ticket de type proxy
URL spécifiques à SAML 2
/saml/metadata
: adresse de récupération des méta-données SAML du serveur (fournisseur d'identité et fournisseur de services)/saml?sp_ident=X&RelayState=Y&index=Z
: adresse à utiliser pour envoyer une assertion d'authentification SAML à un fournisseur de servicessp_ident
est l'identifiant de ce partenaire (ou le nom de son fichier metadata sans l'extension .xml)RelayState
est une information (URL ou autre) indiquant au partenaire où l'utilisateur doit être redirigé après la validation de l'assertion ;index
permet de forcer l'utilisation d'un binding particulier (voir le fichier de méta données pour les valeurs possibles)
/saml/acs
: adresse de traitement des assertions reçues en tant que fournisseur de services/discovery?idp_ident=X&return_url=Y
: adresse permettant d'envoyer un demande d'authentification à un fournisseur d'identitéidp_ident
est l'identifiant de ce partenaire (ou le nom de son fichier metadata sans l'extension .xml)return_url
est le service de destination sur lequel rediriger après authentification