Résumé des fichiers et liens

Fichiers de configuration

Fichiers de base

  • /usr/share/sso/config.py : fichier de configuration principal de l'application (sur un module Eole, la configuration est gérée via Creole)
  • /usr/share/sso/app_filters/*_apps.ini : définition des applications et spécification du filtre à utiliser
  • /usr/share/sso/app_filters/*.ini : fichiers de description des filtres d'attributs
  • /usr/share/sso/user_infos/*.py : fonctions de calcul d'attributs supplémentaires
  • /usr/share/sso/interface/theme : répertoire pour personnalisation de la CSS des pages d'authentification

Fichiers spécifiques au fonctionnement en mode SAML

  • /usr/share/sso/metadata/*.xml : fichiers metadata des entités partenaires (doit contenir le certificat utilisé pour la signature des requêtes)
  • /usr/share/sso/metadata/attributes.ini : définition des attributs requis/optionnels en tant que fournisseur de service (obsolète)
  • /usr/share/sso/attribute_sets/*.ini : description de jeux d'attributs pour la fédération via SAML
  • /usr/share/sso/attribute_sets/associations*.ini : fichiers de configuration des associations avec des fournisseurs d'identité

URL principales

Toutes les URL du service EoleSSO décrites ci-dessous commencent par https://addresse_serveur:8443 (port par défaut, peut être différent suivant la configuration du service).

URL Générales

  • / (sans paramètres) : Page d'accueil, le formulaire d'authentification est présenté et une session SSO est créée après validation. Si l'utilisateur est déjà authentifié il est redirigé sur la page /loggedin ou une liste des fédérations établies et des applications ayant un ticket est affichée

  • /logout : adresse de déconnexion de la session actuelle (gestion du Single Logout pour les protocoles le supportant)

URL spécifiques à CAS

  • /?service=X : Adresse d'obtention d'un ticket CAS pour les applications clientes (à utiliser comme URI de base dans la configuration des clients CAS)

    • service est l'URL de l'application désirant obtenir un ticket. Une fois la validité de la session SSO vérifiée, le service EoleSSO redirige l'utilisateur sur cette URL en passant le ticket en paramètre (nom du paramètre : ticket)

  • /validate?service=X&ticket=Y (ou /serviceValidate) : adresse de validation des tickets d'application CAS ;

    • service est l'URL du service pour lequel le ticket a été délivré

    • ticket est le ticket a vérifier (de type ST)

  • /proxyValidate?service=X&ticket=Y&pgtUrl=Z: adresse de validation des tickets d'application CAS en mode proxy

    • ticket est le ticket à vérifier (de type ST ou PT) ;

  • /samlValidate : adresse de validation des tickets CAS au format SAML 1. Les paramètres doivent être passés par méthode POST (méthode supportée par les client CAS java 3.1.X, phpCAS 1.1.0 et .NET CAS Client). Pour plus de détail sur, se reporter à la page http://en.wikipedia.org/wiki/SAML_1.1

    • TARGET : URL à laquelle la réponse doit être envoyée

    • Le corps de la requête doit contenir la requête SAML dans une enveloppe SOAP. Le ticket à valider est fourni comme valeur de l'élément AssertionArtifact

  • /proxy?pgt=X?targetService=Y : adresse d'obtention d'un ticket de type proxy

URL spécifiques à SAML 2 

  • /saml/metadata  : adresse de récupération des méta-données SAML du serveur (fournisseur d'identité et fournisseur de services)

  • /saml?sp_ident=X&RelayState=Y&index=Z : adresse à utiliser pour envoyer une assertion d'authentification SAML à un fournisseur de services

    • sp_ident est l'identifiant de ce partenaire (ou le nom de son fichier metadata sans l'extension .xml)

    • RelayState est une information (URL ou autre) indiquant au partenaire où l'utilisateur doit être redirigé après la validation de l'assertion ;

    • index permet de forcer l'utilisation d'un binding particulier (voir le fichier de méta données pour les valeurs possibles)

  • /saml/acs : adresse de traitement des assertions reçues en tant que fournisseur de services

  • /discovery?idp_ident=X&return_url=Y : adresse permettant d'envoyer un demande d'authentification à un fournisseur d'identité

    • idp_ident est l'identifiant de ce partenaire (ou le nom de son fichier metadata sans l'extension .xml)

    • return_url est le service de destination sur lequel rediriger après authentification