El Identity Provider (IdP) que especifique para la autenticación de inicio de sesión único de Security Assertion Markup Language (SAML) debe:
- Admitir SAML 2.0 o superior
- Proporcionar un URL para que el Service Provider (SP) recupere y actualice el XML de metadatos de IdP mediante programación
- Manejar el NameId cifrado en solicitudes enviadas por el SP
- Firmar y cifrar aserciones
- Admitir RSA SHA-256. Para obtener más información, consulte RFC 4051.
- Admitir el uso del mismo certificado SP para firmar mensajes y datos del SP a IdP y para cifrar los datos del IdP al SP
- Requerir que se firmen los metadatos del SP y validar la firma
- Firmar mensajes, incluso si el contenido, como una aserción, está firmado
- Cifrar el NameId en las solicitudes, incluso si las solicitudes se envían a través de un canal seguro (HTTPS)
- Recuperar y actualizar automáticamente los metadatos del SP desde un URL publicado y respetar los valores validityPeriod y cacheDuration
- Obtener un nuevo certificado X.509 de los metadatos del SP para admitir la transferencia del certificado del SP
- Admitir la inclusión de grupos a los que pertenece el usuario autenticado a través de un AttributeStatement. En la configuración de Firebox, el valor predeterminado para el nombre de atributo es MemberOf.
- Admite el enlace HTTP-Redirect para el Servicio de Cierre de Sesión Único. Si el IdP solo admite el enlace HTTP-Post, esta función no debe estar habilitada cuando se agrega el Access Portal al IdP. Okta es un ejemplo de un IdP que solo admite el enlace HTTP-Post.
Ver También
Acerca del Inicio de Sesión Único de SAML