Prérequis
Assurez-vous que les éléments suivants sont prêts :- Accès à IBM Security Verify Console
- Certificat de signature (.pem ou .cer) d’IBM Verify
- Certificat PFX avec clé privée pour PADS4 (.pfx)
- URL des métadonnées de fédération (optionnel si importation manuelle)
- URL du serveur PADS4 (par exemple,
https://pads4serverurl/crystal/domainone)
Étape 1 : IBM Security Verify – Configuration de l’application
Naviguez vers :
Directory > Applications > Add Application > Custom ApplicationSous le Sign-on tab:
| Champ | Valeur |
|---|---|
| Méthode de connexion | SAML 2.0 |
| Provider ID | https://pads4serverurl/crystal/domainone/Saml2 |
| Assertion Consumer Service URL | https://dpads4serverurl/crystal/domainone/Saml2/ACS |
| Service Provider SSO URL | https://pads4serverurl/crystal/domainone/Saml2/ACS |
| SessionNotOnOrAfter | 7200 (2 heures) |
Ne PAS sélectionner “Use Identity provider-initiated single sign-on
Paramètres de signature
| Champ | Valeur |
|---|---|
| Signer la réponse d’authentification | Activé |
| Algorithme de signature | RSA-SHA256 |
| Certificat de signature | Choisir le certificat personnel par défaut |
| Valider la signature de la requête SAML | Activé |
| Valider la signature de la requête de déconnexion | Activé |
| Valider la signature de la réponse de déconnexion | Activé |
Sujet SAML
| Champ | Valeur |
|---|---|
| Format NameID | Unspecified |
| Name Identifier | preferred_username |
Mappage d’attributs
Enable: ☑ Envoyer tous les attributs utilisateur connus dans l’assertion SAML| Nom d’attribut (URN) | Format | Source |
|---|---|---|
urn:oasis:names:tc:SAML:2.0:attrname-format:email | email | |
urn:oasis:names:tc:SAML:2.0:attrname-format:family_name | text | family_name |
urn:oasis:names:tc:SAML:2.0:attrname-format:given_name | text | given_name |
urn:oasis:names:tc:SAML:2.0:attrname-format:uid | text | uid |
http://schemas.xmlsoap.org/claims/group | text | groupIDs |
Ces attributs seront mappés dans PADS4 pour attribuer des rôles/groupes.
Politique d’accès
- Définir sur : ☑ Use default policy
- Autoriser depuis :
All devices
Étape 2 : PADS4 Workspace – Configuration SSO
Dans le PADS4 Administration Portal, configurez le plugin SSO comme suit :| Champ | Valeur |
|---|---|
| Type | Azure AD (ou Custom / SAML selon le cas) |
| Federation Service Identifier | https://pads4.verify.ibm.com/saml/sps/saml20ip/saml20 |
| SAML SSO URL | https://pads4.verify.ibm.com/saml/sps/saml20ip/saml20/login |
| Federation Metadata URL (optionnel) | https://pads4.verify.ibm.com/v1.0/saml/federations/saml2 |
| Certificate of Federation Server | Téléchargez le IBM Verify signing certificate (.cer) |
| URL of Relying Party | https://pads4serverurl/crystal/domainone |
| Relying Party Signing Certificate (.pfx) | Téléchargez votre .pfx fichier avec clé privée |
| Private Key Password | Entrez le mot de passe pour .pfx |
Étape 3 : Mappage des groupes dans PADS4
Allez à la section Relation Table du plugin SSO et mappez lesgroupIDs entrants d’IBM aux profils PADS4 :
| ID de groupe Active Directory | Profil |
|---|---|
admin | Administration |
admin | Default |
developer | Default |
Vérifications finales
- Testez la connexion via PADS4 en utilisant un utilisateur vérifié par IBM.
- Assurez-vous que les revendications sont correctement reçues et analysées dans PADS4.
- Ajustez le mappage des attributs ou les règles de revendication si les utilisateurs ne sont pas correctement assignés.