1、 Union internationale des tlcommunicationsUIT-T X.1141SECTEUR DE LA NORMALISATION DES TLCOMMUNICATIONS DE LUIT (06/2006) SRIE X: RSEAUX DE DONNES, COMMUNICATION ENTRE SYSTMES OUVERTS ET SCURIT Scurit des tlcommunications Langage de balisage dassertion de scurit (SAML 2.0) Recommandation UIT-T X.1141
2、 RECOMMANDATIONS UIT-T DE LA SRIE X RSEAUX DE DONNES, COMMUNICATION ENTRE SYSTMES OUVERTS ET SCURIT RSEAUX PUBLICS DE DONNES Services et fonctionnalits X.1X.19 Interfaces X.20X.49 Transmission, signalisation et commutation X.50X.89 Aspects rseau X.90X.149 Maintenance X.150X.179 Dispositions administ
3、ratives X.180X.199 INTERCONNEXION DES SYSTMES OUVERTS Modle et notation X.200X.209 Dfinitions des services X.210X.219 Spcifications des protocoles en mode connexion X.220X.229 Spcifications des protocoles en mode sans connexion X.230X.239 Formulaires PICS X.240X.259 Identification des protocoles X.2
4、60X.269 Protocoles de scurit X.270X.279 Objets grs des couches X.280X.289 Tests de conformit X.290X.299 INTERFONCTIONNEMENT DES RSEAUX Gnralits X.300X.349 Systmes de transmission de donnes par satellite X.350X.369 Rseaux protocole Internet X.370X.379 SYSTMES DE MESSAGERIE X.400X.499 ANNUAIRE X.500X.
5、599 RSEAUTAGE OSI ET ASPECTS SYSTMES Rseautage X.600X.629 Efficacit X.630X.639 Qualit de service X.640X.649 Dnomination, adressage et enregistrement X.650X.679 Notation de syntaxe abstraite numro un (ASN.1) X.680X.699 GESTION OSI Cadre gnral et architecture de la gestion-systmes X.700X.709 Service e
6、t protocole de communication de gestion X.710X.719 Structure de linformation de gestion X.720X.729 Fonctions de gestion et fonctions ODMA X.730X.799 SCURIT X.800X.849 APPLICATIONS OSI Engagement, concomitance et rtablissement X.850X.859 Traitement transactionnel X.860X.879 Oprations distantes X.880X
7、.889 Applications gnriques de lASN.1 X.890X.899 TRAITEMENT RPARTI OUVERT X.900X.999 SCURIT DES TLCOMMUNICATIONS X.1000 Pour plus de dtails, voir la Liste des Recommandations de lUIT-T. Rec. UIT-T X.1141 (06/2006) i Recommandation UIT-T X.1141 Langage de balisage dassertion de scurit (SAML 2.0) Rsum
8、SAML est un cadre de travail fond sur XML pour lchange dinformations de scurit. Ces informations de scurit sont exprimes sous la forme dassertions sur des sujets, o un sujet est une entit (un humain ou un ordinateur) qui a une identit dans un certain domaine de scurit. Une seule assertion peut conte
9、nir plusieurs dclarations internes diffrentes sur lauthentification, lautorisation, et des attributs. La prsente Recommandation dfinit un protocole par lequel les clients peuvent demander des assertions de la part des autorits SAML et obtenir delles une rponse. Ce protocole, qui consiste en formats
10、de messages de demande et de rponse fonds sur XML, peut tre li de nombreux protocoles sous-jacents de communication et de transport diffrents; SAML dfinit actuellement une liaison SOAP sur HTTP. En crant leurs rponses, les autorits SAML peuvent utiliser diverses sources dinformation, comme des mmoir
11、es et des assertions de politique externes reues en entre dans des demandes. La prsente Recommandation dfinit les lments, sujets, conditions, rgles de traitement et dclarations dassertions SAML. De plus, elle dveloppe un profil de mtadonnes SAML complet qui inclut un espace de nom associ, des types
12、de donnes communs, des rgles de traitement et un traitement de la signature. Plusieurs liaisons de protocoles comme SOAP, PAOS (SOAP invers), HTTP redirect, HTTP POST, entre autres, sont aussi dveloppes. La Recommandation fournit une liste complte des profils SAML tels que le profil de navigateur de
13、 la toile SSO et un profil unique de fermeture de session pour permettre une large adoption de SAML 2.0 dans lindustrie. Des lignes directrices pour le contexte dauthentification et la conformit sont galement fournies. La prsente Recommandation est techniquement quivalente et compatible avec la norm
14、e OASIS SAML 2.0. Source La Recommandation UIT-T X.1141 a t approuve le 13 juin 2006 par la Commission dtudes 17 (2005-2008) de lUIT-T selon la procdure dfinie dans la Recommandation UIT-T A.8. ii Rec. UIT-T X.1141 (06/2006) AVANT-PROPOS LUIT (Union internationale des tlcommunications) est une insti
15、tution spcialise des Nations Unies dans le domaine des tlcommunications. LUIT-T (Secteur de la normalisation des tlcommunications) est un organe permanent de lUIT. Il est charg de ltude des questions techniques, dexploitation et de tarification, et met ce sujet des Recommandations en vue de la norma
16、lisation des tlcommunications lchelle mondiale. LAssemble mondiale de normalisation des tlcommunications (AMNT), qui se runit tous les quatre ans, dtermine les thmes dtude traiter par les Commissions dtudes de lUIT-T, lesquelles laborent en retour des Recommandations sur ces thmes. Lapprobation des
17、Recommandations par les Membres de lUIT-T seffectue selon la procdure dfinie dans la Rsolution 1 de lAMNT. Dans certains secteurs des technologies de linformation qui correspondent la sphre de comptence de lUIT-T, les normes ncessaires se prparent en collaboration avec lISO et la CEI. NOTE Dans la p
18、rsente Recommandation, lexpression “Administration“ est utilise pour dsigner de faon abrge aussi bien une administration de tlcommunications quune exploitation reconnue. Le respect de cette Recommandation se fait titre volontaire. Cependant, il se peut que la Recommandation contienne certaines dispo
19、sitions obligatoires (pour assurer, par exemple, linteroprabilit et lapplicabilit) et considre que la Recommandation est respecte lorsque toutes ces dispositions sont observes. Le futur dobligation et les autres moyens dexpression de lobligation comme le verbe “devoir“ ainsi que leurs formes ngative
20、s servent noncer des prescriptions. Lutilisation de ces formes ne signifie pas quil est obligatoire de respecter la Recommandation. DROITS DE PROPRIT INTELLECTUELLE LUIT attire lattention sur la possibilit que lapplication ou la mise en uvre de la prsente Recommandation puisse donner lieu lutilisati
21、on dun droit de proprit intellectuelle. LUIT ne prend pas position en ce qui concerne lexistence, la validit ou lapplicabilit des droits de proprit intellectuelle, quils soient revendiqus par un membre de lUIT ou par une tierce partie trangre la procdure dlaboration des Recommandations. A la date da
22、pprobation de la prsente Recommandation, lUIT navait pas t avise de lexistence dune proprit intellectuelle protge par des brevets acqurir pour mettre en uvre la prsente Recommandation. Toutefois, comme il ne sagit peut-tre pas des renseignements les plus rcents, il est vivement recommand aux dvelopp
23、eurs de consulter la base de donnes des brevets du TSB sous http:/www.itu.int/ITU-T/ipr/. UIT 2007 Tous droits rservs. Aucune partie de cette publication ne peut tre reproduite, par quelque procd que ce soit, sans laccord crit pralable de lUIT. Rec. UIT-T X.1141 (06/2006) iii TABLE DES MATIRES Page
24、1 Domaine dapplication . 1 2 Rfrences normatives. 1 3 Dfinitions 4 3.1 Dfinitions importes. 4 3.2 Dfinitions supplmentaires 5 4 Abrviations 9 5 Conventions 10 6 Aperu gnral. 10 7 Types de donnes communs . 11 7.1 Valeurs de chanes. 11 7.2 Valeurs dURI. 11 7.3 Valeurs horaires 11 7.4 ID et valeurs de
25、rfrence dID. 12 8 Assertions et protocoles SAML . 12 8.1 Assertions SAML 12 8.2 Protocoles SAML 32 8.3 Versions de SAML 58 8.4 SAML et syntaxe et traitement de signature XML . 61 8.5 Syntaxe et traitement du chiffrement SAML et XML . 65 8.6 Extensibilit de SAML. 66 8.7 Identifiants dfinis dans SAML
26、68 9 Mtadonnes SAML . 72 9.1 Mtadonnes 72 9.2 Traitement de signature 91 9.3 Publication et rsolution des mtadonnes 92 10 Liaisons pour SAML. 97 10.1 Lignes directrices pour spcifier des liaisons de protocole supplmentaires 98 10.2 Liaisons de protocole . 98 11 Profils pour SAML . 123 11.1 Concepts
27、de profil . 124 11.2 Spcification de profils supplmentaires 124 11.3 Identifiants de mthode de confirmation 125 11.4 Profils SSO de SAML 126 12 Contexte dauthentification SAML . 160 12.1 Concepts de contexte dauthentication . 160 12.2 Dclaration de contexte dauthentication 161 12.3 Classes de contex
28、te dauthentication 162 13 Exigences de conformit pour SAML. 205 13.1 Profils SAML et implmentations possibles . 205 13.2 Conformit 206 13.3 Signature numrique XML et chiffrement XML 209 13.4 Utilisation de TLS 1.0 210 Annexe A Schmas SAML 210 A.1 Schma SAML Assertion . 210 A.2 Schma SAML Contexte da
29、uthentification 215 A.3 Schma SAML de contexte dauthentification AuthenticatedTelephony . 215 A.4 Schma SAML du contexte dauthentification IP. 216 A.5 Schma SAML du contexte dauthentification IPPWord 217 A.6 Schma SAML du contexte dauthentification Kerberos 218 A.7 Schma SAML du contexte dauthentifi
30、cation MobileOneFactor-reg. 220 iv Rec. UIT-T X.1141 (06/2006) Page A.8 Schma SAML du contexte dauthentification MobileOneFactor-unreg 222 A.9 Schma SAML du contexte dauthentification MobileTwoFactor-reg 225 A.10 Schma SAML du contexte dauthentification MobileTwoFactor-unreg. 228 A.11 Schma SAML du
31、contexte dauthentification NomadTelephony 231 A.12 Schma SAML du contexte dauthentification PersonalizedTelephony. 232 A.13 Schma SAML du contexte dauthentification PGP 233 A.14 Schma SAML du contexte dauthentification PPT 235 A.15 Schma SAML du contexte dauthentification Password . 236 A.16 Schma S
32、AML du contexte dauthentification PreviousSession 237 A.17 Schma SAML du contexte dauthentification Smartcard 238 A.18 Schma SAML du contexte dauthentification SmartcardPKI. 239 A.19 Schma SAML du contexte dauthentification SoftwarePKI. 241 A.20 Schma SAML du contexte dauthentification SPKI. 243 A.2
33、1 Schma SAML du contexte dauthentification SRP 244 A.22 Schma SAML du contexte dauthentification Telephony 246 A.23 Schma SAML du contexte dauthentification TimeSync 247 A.24 Schma SAML du contexte dauthentification types. 248 A.25 Schma de contexte dauthentification SAML X.509 260 A.26 Schma SAML d
34、u contexte dauthentification XMLDSig 261 A.27 Schma SAML dECP 263 A.28 Schma SAML de mtadonnes. 264 A.29 SAML Schema protocol . 269 A.30 SAML Schema X.500 273 A.31 Schma SAML XACML 274 Appendice I Considrations sur la scurit et la confidentialit . 275 I.1 Vie prive 275 I.2 Confidentialit 275 I.3 Pse
35、udonyme et anonymat . 275 I.4 Scurit. 276 I.5 Techniques de scurit . 278 I.6 Gnralits sur la scurit dans SAML 279 I.7 Considrations de scurit sur les liaisons SAML 281 Appendice II Enregistrement du type de support MIME application/samlassertion+xml 287 Appendice III Enregistrement du type de suppor
36、t MIME application/samlmetadata+xml. 288 Appendice IV Utilisation de SSL 290 Appendice V Schma SAML de contexte dauthentification. 290 Appendice VI Schma XML des types de contexte dauthentification 292 Appendice VII Profil dattribut PAC de DCE de SAML 304 VII.1 Profil datribut PAC de DCE 304 VII.2 S
37、chma de DCE SAML 306 VII.3 Exemple 307 Appendice VIII Prcisions dOASIS sur SAML. 308 VIII.1 Erratum potentiel: PE14 . 308 VIII.2 Erratum potentiel: PE26 . 309 BIBLIOGRAPHIE . 311 Rec. UIT-T X.1141 (06/2006) v Rec. UIT-T X.1141 (06/2006) 1 Recommandation UIT-T X.1141 Langage de balisage dassertion de
38、 scurit (SAML 2.0) 1 Domaine dapplication La prsente Recommandation dfinit le langage de balisage dassertion de scurit (SAML, security assertion markup language) (SAML 2.0). SAML dfinit la syntaxe et la smantique du traitement des assertions faites propos dun sujet par une entit systme. Dans le cour
39、s de ces assertions, ou en sappuyant sur de telles assertions, les entits systmes SAML peuvent faire usage dautres protocoles pour communiquer propos de lassertion elle-mme, ou du sujet dune assertion. La prsente Recommandation dfinit la structure des assertions SAML, un ensemble associ de protocole
40、s, et les rgles de traitement impliques par la gestion dun systme SAML. Les assertions et messages de protocole SAML sont cods en XML et utilisent les espaces de nom XML. Elles sont normalement incorpores dans dautres structures pour le transport, comme les demandes HTTP POST ou les messages SOAP co
41、ds en XML. La prsente Recommandation spcifie aussi des liaisons SAML qui fournissent le cadre de travail pour lincorporation et le transport des messages de protocole SAML. De plus, la prsente Recommandation fournit aussi un ensemble de base de profils quutilisent les assertions et protocoles SAML p
42、our traiter des cas dutilisation spcifiques ou raliser linteroprabilit lors de lutilisation de caractristiques SAML. La prsente Recommandation dfinit ce qui suit: 1) exigences de conformit pour SAML; 2) assertions et protocoles pour SAML: schma dassertions SAML; schma de protocoles SAML; 3) liaisons
43、 pour SAML; 4) profils pour SAML: schma de profil ECP de SAML; schma de profil dattribut X.500/LDAP SAML; schma de profil dattribut DCE PAC SAML; schma de profil dattribut XACML SAML; 5) mtadonnes pour SAML; 6) schma de mtadonnes pour SAML; 7) contexte dauthentification pour SAML. 2 Rfrences normati
44、ves Les Recommandations suivantes et autres rfrences contiennent des dispositions qui par leur rfrence dans le prsent texte, constituent des dispositions de la prsente Recommandation. Au moment de la publication, les numros ddition indiqus taient valides. Toute Recommandation et autre rfrence est su
45、jette rvision, et les parties aux accords fonds sur la prsente Recommandation sont invites rechercher sil est possible dappliquer ldition la plus rcente des Recommandations et autres rfrences listes ci-dessous. Le Bureau de normalisation des Tlcommunications de lUIT tient jour la liste des Recommand
46、ations de lUIT-T. LIETF tient jour la liste des RFC, ainsi que de celles qui ont t rendues obsoltes par des RFC plus rcentes. Le W3C, le Consortium Unicode et Liberty Alliance maintiennent jour une liste des recommendations et autres publications les plus rcentes. Recommandation UIT-T X.660 (2004) |
47、 ISO/CEI 9834-1:2005, Technologies de linformation Interconnexion des systmes ouverts Procdures oprationnelles des organismes denregistrement de lOSI: procdures gnrales et arcs sommitaux de larborescence des identificateurs dobjet ASN.1. Recommandation UIT-T X.667 (2004) | ISO/CEI 9834-8:2005, Technologies de linformation Interconnexion des systmes ouverts Procdures oprationnelles des organismes denregistrement de lOSI: gnration et enregistrement des identificateurs uniques universels (UUID) et utilisation de ces identificateurs comme composants dident
