Considérations relatives à l'ajout d'authentificateurs SAML

Remarque : Lorsque vous configurez un fournisseur d'identité externe, vous devez ajouter l'URL de demande de connexion de Cylance Endpoint Security. L'URL doit être au format https://login.eid.blackberry.com/_/resume/saml20/<hash>. Les configurations SAML externes prenant en charge une liste d'URL d'authentification unique ou de réponse de service d'abonné d'assertions, dans les configurations existantes, vous pouvez ajouter la nouvelle URL ou celle que vous venez de générer à la liste en tant qu'option secondaire ou remplacer l'URL d'origine. Si vous avez créé votre authentificateur avant décembre 2023 et que vous souhaitez que les utilisateurs accèdent à la console Cylance à l'aide de l'authentification unique, vous devez générer une URL de demande de connexion mise à jour. Pour plus d'informations sur la mise à jour de votre authentificateur, reportez-vous à Configurer l'authentification pour la connexion.
Lorsque vous ajoutez un authentificateur SAML, les valeurs d'URL de demande de connexion et de certificat de signature IDP sont requises. Pour ces champs facultatifs, veuillez tenir compte des informations suivantes :
  • Format NameID : utilisez ce champ pour spécifier un format d'identifiant de nom facultatif à demander au fournisseur d'identité.
  • Revendication d'ID fédéré : utilisez ce champ pour spécifier une valeur de revendication facultative faisant office d'ID fédéré pour lier des comptes entre les systèmes. La valeur par défaut est NameID.

    Si votre IDP est configuré pour renvoyer l'adresse e-mail dans une revendication autre que NameID, vous devez spécifier la revendication dans ce champ. Vous devez utiliser une valeur unique persistante et immuable dans cette revendication (objectGUID ou UUID, par exemple). Il n'est pas recommandé d'utiliser une valeur qui n'est pas unique ou qui est susceptible de changer (une adresse e-mail, par exemple). Lorsque les utilisateurs se connectent, Aurora Endpoint Security utilise la valeur de revendication d'ID fédéré pour créer un ID unique permettant à l'utilisateur de mapper ses identités dans les deux systèmes.

    La valeur que vous avez spécifiée comme revendication d'ID fédéré ne peut pas être modifiée, car elle est utilisée pour lier un utilisateur dans le fournisseur d'identité externe et Aurora Endpoint Security après sa première connexion.

  • Revendication Active Directory : utilisez ce champ pour spécifier une valeur de revendication facultative utilisée pour mettre en correspondance les objectGUID Active Directory entre les systèmes pour valider les utilisateurs.
  • Revendication d'e-mail : utilisez ce champ pour spécifier une valeur de revendication facultative utilisée pour mettre en correspondance les adresses e-mail entre les systèmes. La valeur par défaut est email.

    Aurora Endpoint Security exige que toutes les réponses SAML contiennent l'adresse e-mail complète des utilisateurs et qu'elle corresponde à l'adresse e-mail enregistrée auprès d'Aurora Endpoint Security. Si votre IDP est configuré pour renvoyer l'adresse e-mail dans une revendication autre que email, vous devez spécifier la revendication dans ce champ. Par exemple, si la revendication configurée dans votre IDP s'appelle emailAddress, vous devez définir emailAddress dans le champ Revendication d'e-mail. Si elles ne correspondent pas, les utilisateurs ne peuvent pas se connecter.

  • ID d'entité SP : utilisez ce champ pour spécifier un ID d'entité de fournisseur de services facultatif à envoyer au fournisseur d'identité (également appelé chaine d'émetteur).

    Pour les authentificateurs SAML Entra, ce champ est obligatoire et la valeur que vous saisissez doit correspondre à l'identifiant (ID d'entité) de la configuration SAML dans Entra.

  • ID d'entité IDP : utilisez ce champ pour spécifier un ID d'entité de fournisseur d'identité facultatif (également appelé émetteur IDP). S'il est fourni, l'émetteur IDP est validé sur toutes les réponses.
  • Dérive d'horloge acceptée : utilisez ce champ pour spécifier, en millisecondes, la dérive d'horloge acceptable entre le client et le serveur.
  • Algorithme de signature : utilisez ce champ pour spécifier l'algorithme de signature pour les demandes de signature.
  • Clé privée de signature : utilisez ce champ pour spécifier, au format PEM, une clé privée facultative utilisée pour signer toutes les demandes sortantes.