Paramètres d'administration – Authentification SAML

La page SAML de la section Authentification du menu Admin vous permet de configurer Looker pour authentifier les utilisateurs à l'aide du langage SAML (Security Assertion Markup Language). Cette page décrit ce processus et inclut des instructions pour associer des groupes SAML aux rôles et autorisations Looker.

SAML et fournisseurs d'identité

Les entreprises utilisent différents fournisseurs d'identité (IdP) pour se coordonner avec SAML (par exemple, Okta ou OneLogin). Les termes utilisés dans les instructions de configuration suivantes et dans l'interface utilisateur peuvent ne pas correspondre directement à ceux utilisés par votre IdP. Pour obtenir des précisions lors de la configuration, contactez votre équipe interne SAML ou d'authentification, ou l'assistance Looker.

Looker part du principe que les requêtes et les assertions SAML sont compressées. Assurez-vous que votre IdP est configuré comme tel. Les requêtes de Looker adressées à l'IdP ne sont pas signées.

Looker est compatible avec la connexion initiée par le fournisseur d'identité (IdP).

Certaines étapes du processus de configuration doivent être effectuées sur le site Web du fournisseur d'identité.

Okta propose une application Looker, qui est la méthode recommandée pour configurer Looker et Okta ensemble.

Configurer Looker sur votre fournisseur d'identité

Votre fournisseur d'identité SAML a besoin de l'URL de l'instance Looker à laquelle il doit envoyer via POST les assertions SAML. Dans votre IdP, ce champ peut être nommé, entre autres,"URL de publication", "Destinataire" ou "Destination".

Les informations à fournir sont l'URL d'accès habituelle à votre instance Looker dans votre navigateur, suivie de /samlcallback. Exemple : none https://instance_name.looker.com/samlcallback.

ou

https://looker.mycompany.com/samlcallback

Certains fournisseurs d'identité exigent également que vous ajoutiez :9999 après l'URL de votre instance. Exemple :

https://instance_name.looker.com:9999/samlcallback

Bon à savoir

Tenez compte des informations suivantes:

  • Looker requiert SAML 2.0.
  • Ne désactivez pas l'authentification SAML lorsque vous êtes connecté à Looker via SAML, sauf si vous avez configuré un autre compte de connexion. Sinon, vous pourriez bloquer l'accès à l'application.
  • Looker peut migrer des comptes existants vers SAML en utilisant des adresses e-mail provenant des configurations de messagerie et de mots de passe actuelles, ou de Google Auth, LDAP ou OIDC. Vous pourrez configurer la migration des comptes existants lors du processus de configuration.

Premiers pas

Accédez à la page Authentification SAML dans la section Admin de Looker pour afficher les options de configuration suivantes. Notez que les modifications apportées aux options de configuration ne prennent effet que lorsque vous testez et enregistrez vos paramètres en bas de la page.

Paramètres d'authentification SAML

Looker a besoin de l'URL IdP, de l'émetteur IdP et du certificat IdP pour authentifier votre IdP.

Votre IdP peut fournir un document XML de métadonnées IdP lors du processus de configuration de Looker côté IdP. Ce fichier contient toutes les informations demandées dans la section Paramètres d'authentification SAML. Si vous disposez de ce fichier, vous pouvez l'importer dans le champ IdP Metadata (Métadonnées IdP), ce qui remplira les champs obligatoires de cette section. Vous pouvez également remplir les champs obligatoires à partir du résultat obtenu lors de la configuration côté fournisseur d'identité. Vous n'avez pas besoin de renseigner les champs si vous importez le fichier XML.

  • Métadonnées IdP (facultatif) : collez soit l'URL publique du document XML contenant les informations sur le fournisseur d'identité, soit le texte du document dans son intégralité ici. Looker analysera ce fichier pour remplir les champs obligatoires.

Si vous n'avez pas importé ni collé de document XML de métadonnées IdP, saisissez vos informations d'authentification IdP dans les champs IdP URL (URL du fournisseur d'identité), IdP Issuer (Émetteur IdP) et IdP Certificate (Certificat IdP).

  • URL du fournisseur d'identité: l'URL vers laquelle Looker accédera pour authentifier les utilisateurs. C'est ce qu'on appelle l'URL de redirection dans Okta.

  • IdP Issuer (Émetteur IdP) : identifiant unique du fournisseur d'identité C'est ce qu'on appelle "clé externe" dans Okta.

  • Certificat IdP: clé publique permettant à Looker de valider la signature des réponses IdP.

Ensemble, ces trois champs permettent à Looker de confirmer qu'un ensemble d'assertions SAML signées provient bien d'un fournisseur d'identité de confiance.

  • SP Entity/IdP Audience (Audience de l'entité du fournisseur de services/du fournisseur d'identité) : ce champ n'est pas obligatoire dans Looker, mais de nombreux fournisseurs d'identité l'exigent. Si vous saisissez une valeur dans ce champ, elle sera envoyée à votre IdP en tant que Entity ID Looker dans les requêtes d'autorisation. Dans ce cas, Looker n'acceptera que les réponses d'autorisation dont la valeur est Audience. Si votre IdP nécessite une valeur Audience, saisissez cette chaîne ici.
  • Dérive d'horloge autorisée: nombre de secondes de dérive d'horloge (différence d'horodatage entre l'IdP et Looker) autorisées. Cette valeur est généralement 0 par défaut, mais certains fournisseurs d'identité peuvent nécessiter une plus grande marge de manœuvre pour que les connexions réussissent.

Paramètres des attributs utilisateur

Dans les champs suivants, indiquez le nom de l'attribut dans la configuration SAML de votre fournisseur d'identité (IdP) contenant les informations correspondantes pour chaque champ. La saisie des noms d'attributs SAML indique à Looker comment mapper ces champs et extraire leurs informations au moment de la connexion. Looker n'a pas d'importance particulière concernant la manière dont ces informations sont construites. Il est important que la façon dont vous les saisissez dans Looker corresponde à la façon dont les attributs sont définis dans votre IdP. Looker propose des suggestions par défaut sur la façon de créer ces entrées.

Attributs standards

Vous devez spécifier les attributs standards suivants:

  • Email Attr: nom d'attribut utilisé par votre IdP pour les adresses e-mail des utilisateurs.

  • FName Attr: nom d'attribut utilisé par votre IdP pour les prénoms des utilisateurs.

  • LName Attr: nom d'attribut utilisé par votre IdP pour les noms de famille des utilisateurs.

Association des attributs SAML avec les attributs utilisateur Looker

Vous pouvez éventuellement utiliser les données de vos attributs SAML pour renseigner automatiquement les valeurs dans les attributs utilisateur Looker lorsqu'un utilisateur se connecte. Par exemple, si vous avez configuré SAML pour établir des connexions spécifiques à votre base de données, vous pouvez associer vos attributs SAML aux attributs utilisateur Looker afin de rendre vos connexions de base de données spécifiques à l'utilisateur dans Looker.

Pour associer des attributs SAML aux attributs utilisateur Looker correspondants:

  1. Saisissez le nom de l'attribut SAML dans le champ Attribut SAML et le nom de l'attribut utilisateur Looker avec lequel vous souhaitez l'associer dans le champ Attributs utilisateur Looker.
  2. Cochez Required (Obligatoire) si vous souhaitez exiger une valeur d'attribut SAML pour permettre à un utilisateur de se connecter.
  3. Cliquez sur +, puis répétez ces étapes pour ajouter d'autres paires d'attributs.

Groupes et rôles

Vous avez la possibilité de créer des groupes qui reflètent vos groupes SAML gérés en externe, puis d'attribuer des rôles Looker aux utilisateurs en fonction de leurs groupes SAML en miroir. Lorsque vous modifiez l'appartenance à un groupe SAML, ces modifications sont automatiquement appliquées à la configuration du groupe Looker.

La duplication des groupes SAML vous permet d'utiliser votre annuaire SAML défini en externe pour gérer les groupes et les utilisateurs Looker. Vous pouvez ainsi gérer votre appartenance à un groupe pour plusieurs outils Software as a Service (SaaS), comme Looker, en un seul et même endroit.

Si vous activez l'option Mirror SAML Groups (Mettre en miroir les groupes SAML), Looker crée un groupe Looker pour chaque groupe SAML introduit dans le système. Ces groupes Looker s'affichent sur la page Groupes de la section Administration de Looker. Les groupes permettent d'attribuer des rôles aux membres d'un groupe, de définir des contrôles d'accès au contenu et d'attribuer des attributs utilisateur.

Groupes et rôles par défaut

Par défaut, l'option Mirror SAML Groups (Mettre en miroir les groupes SAML) est désactivée. Dans ce cas, vous pouvez définir un groupe par défaut pour les nouveaux utilisateurs SAML. Dans les champs Nouveaux groupes d'utilisateurs et Nouveaux rôles utilisateur, saisissez le nom des groupes ou rôles Looker auxquels vous souhaitez attribuer de nouveaux utilisateurs Looker lorsqu'ils se connectent pour la première fois à Looker:

Ces groupes et rôles sont appliqués aux nouveaux utilisateurs lors de leur première connexion. Les groupes et les rôles ne s'appliquent pas aux utilisateurs préexistants et ne sont pas réappliqués s'ils sont supprimés des utilisateurs après leur première connexion.

Si vous activez ultérieurement les groupes SAML en miroir, ces valeurs par défaut seront supprimées pour les utilisateurs lors de leur prochaine connexion et remplacées par les rôles attribués dans la section Mirror SAML Groups (Mettre en miroir les groupes SAML). Ces options par défaut ne seront plus disponibles ni attribuées, et seront entièrement remplacées par la configuration des groupes mis en miroir.

Activer la mise en miroir des groupes SAML

Si vous choisissez de dupliquer vos groupes SAML dans Looker, activez l'option Mirror SAML Groups (Mettre en miroir les groupes SAML). Looker affiche les paramètres suivants:

Group Finder Strategy (Stratégie de l'outil de recherche de groupes) : sélectionnez le système utilisé par l'IdP pour attribuer les groupes, en fonction de votre IdP.

  • Presque tous les fournisseurs d'identité utilisent une seule valeur d'attribut pour attribuer des groupes, comme illustré dans cet exemple d'assertion SAML : none <saml2:Attribute Name='Groups'> <saml2:AttributeValue >Everyone</saml2:AttributeValue> <saml2:AttributeValue >Admins</saml2:AttributeValue> </saml2:Attribute> Dans ce cas, sélectionnez Groupes en tant que valeurs d'attributs uniques.

  • Certains fournisseurs d'identité utilisent un attribut distinct pour chaque groupe, puis exigent un deuxième attribut pour déterminer si un utilisateur est membre d'un groupe. Vous trouverez ci-dessous un exemple d'assertion SAML illustrant ce système : none <saml2:Attribute Name='group_everyone'> <saml2:AttributeValue >yes</saml2:AttributeValue> </saml2:Attribute> <saml2:Attribute Name='group_admins'> <saml2:AttributeValue >no</saml2:AttributeValue> </saml2:Attribute> Dans ce cas, sélectionnez Groupes en tant qu'attributs individuels avec valeur d'appartenance.

Attribut de groupes: Looker affiche ce champ lorsque la stratégie de l'outil de recherche de groupes est définie sur Groupes en tant que valeurs d'un seul attribut. Saisissez le nom de l'attribut Groupes utilisé par le fournisseur d'identité.

Valeur de membre du groupe: Looker affiche ce champ lorsque la stratégie de l'outil de recherche de groupes est définie sur Groupes en tant qu'attributs individuels avec valeur d'appartenance. Saisissez la valeur indiquant qu'un utilisateur est membre d'un groupe.

Nom de groupe préféré/Rôles/ID de groupe SAML: cet ensemble de champs vous permet d'attribuer un nom de groupe personnalisé, ainsi qu'un ou plusieurs rôles attribués au groupe SAML correspondant dans Looker:

  1. Saisissez l'ID du groupe SAML dans le champ ID de groupe SAML. Pour les utilisateurs Okta, saisissez le nom du groupe Okta comme ID du groupe SAML. Les utilisateurs SAML inclus dans le groupe SAML seront ajoutés au groupe dupliqué dans Looker.

  2. Saisissez un nom personnalisé pour le groupe dupliqué dans le champ Nom personnalisé. Il s'agit du nom qui sera affiché sur la page Groupes de la section Admin de Looker.

  3. Dans le champ situé à droite du champ Nom personnalisé, sélectionnez un ou plusieurs rôles Looker qui seront attribués à chaque utilisateur du groupe.

  4. Cliquez sur + pour ajouter d'autres ensembles de champs afin de configurer d'autres groupes en miroir. Si vous avez configuré plusieurs groupes et que vous souhaitez supprimer la configuration d'un groupe, cliquez sur X à côté des champs de ce groupe.

Si vous modifiez un groupe dupliqué précédemment configuré sur cet écran, la configuration du groupe est modifiée, mais le groupe lui-même reste intact. Par exemple, vous pouvez modifier le nom personnalisé d'un groupe, ce qui modifiera la façon dont le groupe apparaît sur la page Groupes de Looker, mais ne modifiera pas les rôles attribués ni ses membres. La modification de l'ID de groupe SAML permet de conserver le nom et les rôles du groupe, mais les membres du groupe sont réaffectés en fonction des utilisateurs membres du groupe SAML externe disposant de la nouvelle UD de groupe SAML.

Toute modification apportée à un groupe dupliqué sera appliquée aux utilisateurs de ce groupe lors de leur prochaine connexion à Looker.

Gestion avancée des rôles

Si vous avez activé l'option Mirror SAML Groups (Mettre en miroir les groupes SAML), Looker affiche ces paramètres. Les options de cette section déterminent la flexibilité dont disposent les administrateurs Looker lorsqu'ils configurent des groupes et des utilisateurs Looker qui ont été mis en miroir depuis SAML.

Par exemple, si vous souhaitez que votre groupe Looker et votre configuration utilisateur correspondent exactement à votre configuration SAML, activez ces options. Lorsque les trois premières options sont activées, les administrateurs Looker ne peuvent pas modifier les adhésions aux groupes en miroir et ne peuvent attribuer des rôles aux utilisateurs que via des groupes en miroir SAML.

Si vous souhaitez avoir plus de flexibilité pour personnaliser vos groupes dans Looker, désactivez ces options. Vos groupes Looker refléteront toujours votre configuration SAML, mais vous pourrez effectuer d'autres opérations de gestion des groupes et des utilisateurs dans Looker, comme ajouter des utilisateurs SAML à des groupes spécifiques à Looker ou attribuer des rôles Looker directement aux utilisateurs SAML.

Pour les nouvelles instances Looker ou pour les instances qui n'ont pas de groupes mis en miroir précédemment configurés, ces options sont désactivées par défaut.

Pour les instances Looker existantes qui ont configuré des groupes mis en miroir, ces options sont activées par défaut.

La section Gestion avancée des rôles contient les options suivantes:

Empêcher les utilisateurs SAML individuels de recevoir des rôles directs: l'activation de cette option empêche les administrateurs Looker d'attribuer des rôles Looker directement aux utilisateurs SAML. Les utilisateurs SAML ne reçoivent des rôles qu'en fonction de leur appartenance à des groupes. Si les utilisateurs SAML sont autorisés à appartenir à des groupes Looker intégrés (non dupliqués), ils peuvent toujours hériter de leurs rôles des groupes SAML en miroir et des groupes Looker intégrés. Les rôles des utilisateurs SAML précédemment attribués directement seront supprimés lors de leur prochaine connexion.

Si cette option est désactivée, les administrateurs Looker peuvent attribuer des rôles Looker directement aux utilisateurs SAML, comme s'ils avaient été configurés directement dans Looker.

Empêcher l'adhésion directe dans les groupes non SAML: l'activation de cette option empêche les administrateurs Looker d'ajouter directement des utilisateurs SAML aux groupes Looker intégrés. Si les groupes SAML mis en miroir sont autorisés à être membres des groupes Looker intégrés, les utilisateurs SAML peuvent conserver leur adhésion à n'importe quel groupe Looker parent. Tous les utilisateurs SAML précédemment affectés à des groupes Looker intégrés seront supprimés de ces groupes lors de leur prochaine connexion.

Si cette option est désactivée, les administrateurs Looker peuvent ajouter des utilisateurs SAML directement aux groupes Looker intégrés.

Empêcher l'héritage de rôle des groupes non SAML: l'activation de cette option empêche les membres de groupes SAML en miroir d'hériter des rôles des groupes Looker intégrés. Tous les utilisateurs SAML qui ont hérité des rôles d'un groupe Looker parent le perdront lors de leur prochaine connexion.

Si cette option est désactivée, les groupes SAML en miroir ou les utilisateurs SAML qui sont ajoutés en tant que membres d'un groupe Looker intégré héritent des rôles attribués au groupe Looker parent.

L'authentification nécessite un rôle: si cette option est activée, un rôle doit être attribué aux utilisateurs SAML. Les utilisateurs SAML auxquels aucun rôle n'est attribué ne pourront pas se connecter à Looker.

Si cette option est désactivée, les utilisateurs SAML peuvent s'authentifier auprès de Looker même si aucun rôle ne leur est attribué. Un utilisateur auquel aucun rôle ne sera attribué ne pourra pas consulter les données ni effectuer d'actions dans Looker, mais il pourra s'y connecter.

Désactiver la mise en miroir des groupes SAML

Si vous souhaitez arrêter la duplication de vos groupes SAML dans Looker, désactivez l'option Mirror SAML Groups (Mettre en miroir les groupes SAML). Tous les groupes SAML en miroir vides seront supprimés.

Les groupes SAML miroirs non vides resteront disponibles pour la gestion de contenu et la création de rôles. Toutefois, il n'est pas possible d'ajouter des utilisateurs à des groupes SAML miroirs ni d'en supprimer.

Options de migration

Autre moyen de connexion pour les administrateurs et les utilisateurs spécifiés

Les connexions par e-mail et mot de passe à Looker sont toujours désactivées pour les utilisateurs standards lorsque l'authentification SAML est activée. Cette option permet aux administrateurs et aux utilisateurs spécifiés disposant de l'autorisation login_special_email d'utiliser /login/email pour se connecter via une adresse e-mail secondaire.

L'activation de cette option est utile en cas de problème de configuration SAML lors de la configuration de l'authentification SAML, ou si vous devez prendre en charge des utilisateurs qui ne possèdent pas de compte dans votre répertoire SAML.

Spécifier la méthode utilisée pour fusionner les utilisateurs SAML avec un compte Looker

Dans le champ Merge Users Using (Fusionner les utilisateurs avec un compte utilisateur), spécifiez la méthode à utiliser pour fusionner une connexion SAML initiale avec un compte utilisateur existant. Vous pouvez fusionner des utilisateurs à partir des systèmes suivants:

  • Adresse e-mail/mot de passe Looker (non disponible pour Looker (Google Cloud Core))
  • Google
  • LDAP (non disponible pour Looker (Google Cloud Core))
  • OIDC

Si vous disposez de plusieurs systèmes en place, vous pouvez en spécifier plusieurs dans ce champ pour la fusion. Looker recherche les utilisateurs dans les systèmes répertoriés dans l'ordre dans lequel ils ont été spécifiés. Par exemple, supposons que vous ayez créé des utilisateurs à l'aide de l'adresse e-mail et du mot de passe Looker, que vous avez activé LDAP et que vous souhaitez maintenant utiliser SAML. Looker fusionne d'abord l'adresse e-mail et le mot de passe, puis le LDAP.

Lorsqu'un utilisateur se connecte pour la première fois via SAML, cette option le connecte à son compte existant en recherchant le compte associé à une adresse e-mail correspondante. S'il n'en existe aucun, un nouveau compte utilisateur est créé.

Fusion d'utilisateurs lors de l'utilisation de Looker (Google Cloud Core)

Lorsque vous utilisez Looker (Google Cloud Core) et SAML, la fusion fonctionne comme décrit dans la section précédente. Toutefois, cela n'est possible que si l'une des deux conditions suivantes est remplie:

  1. Condition 1: les utilisateurs s'authentifient auprès de Looker (Google Cloud Core) à l'aide de leurs identités Google via le protocole SAML.

  2. Condition 2 Avant de sélectionner l'option de fusion, vous avez effectué les deux étapes suivantes:

Si votre instance ne remplit pas l'une de ces deux conditions, l'option Fusionner les utilisateurs avec n'est pas disponible.

Lors de la fusion, Looker (Google Cloud Core) recherche les enregistrements utilisateur qui partagent exactement la même adresse e-mail.

Tester l'authentification des utilisateurs

Cliquez sur le bouton Tester pour tester vos paramètres. Les tests sont redirigés vers le serveur et ouvrent un onglet de navigateur. L'onglet affiche les informations suivantes:

  • Indique si Looker a pu communiquer avec le serveur et procéder à la validation.
  • Noms que Looker reçoit du serveur. Vous devez vérifier que le serveur renvoie les résultats appropriés.
  • Trace indiquant comment les informations ont été trouvées. Utilisez la trace pour résoudre les problèmes si les informations sont incorrectes. Si vous avez besoin d'informations supplémentaires, vous pouvez lire le fichier de serveur XML brut.

Conseils :

  • Vous pouvez exécuter ce test à tout moment, même si SAML est partiellement configuré. Il peut être utile d'exécuter un test lors de la configuration pour identifier les paramètres qui doivent être configurés.
  • Le test utilise les paramètres saisis sur la page Authentification SAML, même si ces paramètres n'ont pas été enregistrés. Le test n'affecte ni ne modifie aucun des paramètres de cette page.
  • Pendant le test, Looker transmet des informations à l'IdP à l'aide du paramètre SAML RelayState. L'IdP doit renvoyer cette valeur RelayState à Looker sans la modifier.

Enregistrer et appliquer les paramètres

Une fois que vous avez saisi vos informations et que les tests ont tous réussi, cochez la case J'ai confirmé la configuration ci-dessus et je souhaite l'activer de manière globale, puis cliquez sur Mettre à jour les paramètres pour enregistrer.

Comportement de connexion des utilisateurs

Lorsqu'un utilisateur tente de se connecter à une instance Looker en utilisant SAML, Looker s'ouvre sur la page Se connecter. L'utilisateur doit cliquer sur le bouton Authenticate (S'authentifier) pour lancer l'authentification via SAML.

Il s'agit du comportement par défaut si l'utilisateur n'a pas encore de session Looker active.

Si vous souhaitez que vos utilisateurs se connectent directement à votre instance Looker une fois que votre IdP les a authentifiés, sans passer par la page Se connecter, activez Ignorer la page de connexion sous Comportement de connexion.

Si vous utilisez Looker (version d'origine), Looker doit activer la fonctionnalité Ignorer la page de connexion. Pour mettre à jour votre licence pour cette fonctionnalité, contactez un spécialiste des ventes Google Cloud ou ouvrez une demande d'assistance. Si vous utilisez Looker (Google Cloud Core), l'option Ignorer la page de connexion est disponible automatiquement si SAML est utilisé comme méthode d'authentification principale. Elle est désactivée par défaut.

Lorsque l'option Ignorer la page de connexion est activée, la séquence de connexion utilisateur est la suivante:

  1. L'utilisateur tente de se connecter à une URL Looker (par exemple, instance_name.looker.com).

  2. Looker détermine si une session active est déjà activée pour l'utilisateur. Pour ce faire, Looker utilise le cookie AUTH-MECHANISM-COOKIE afin d'identifier la méthode d'autorisation utilisée par l'utilisateur lors de sa dernière session. La valeur est toujours l'une des suivantes: saml, ldap, oidc, google ou email.

  3. Si une session active est activée pour l'utilisateur, il est redirigé vers l'URL demandée.

  4. Si aucune session active n'est activée, l'utilisateur est redirigé vers le fournisseur d'identité. L'IdP authentifie l'utilisateur lorsqu'il se connecte correctement. Looker authentifie ensuite l'utilisateur lorsque l'IdP le renvoie vers Looker avec des informations indiquant qu'il est authentifié auprès du fournisseur d'identité.

  5. Si l'authentification auprès du fournisseur d'identité aboutit, Looker valide les assertions SAML, accepte l'authentification, met à jour les informations utilisateur et redirige l'utilisateur vers l'URL demandée, contournant ainsi la page Se connecter.

  6. Si l'utilisateur ne parvient pas à se connecter au fournisseur d'identité ou s'il n'est pas autorisé par l'IdP à utiliser Looker, il restera sur le site du fournisseur ou sera redirigé vers la page de connexion de Looker.

Réponse SAML dépassant la limite

Si les utilisateurs qui tentent de s'authentifier reçoivent des erreurs indiquant que la réponse SAML a dépassé la taille maximale, vous pouvez augmenter la taille de réponse SAML maximale autorisée.

Pour les instances hébergées par Looker, ouvrez une demande d'assistance afin de modifier la taille maximale de la réponse SAML.

Pour les instances Looker hébergées par le client, vous pouvez définir la taille maximale de réponse SAML en nombre d'octets à l'aide de la variable d'environnement MAX_SAML_RESPONSE_BYTESIZE. Exemple :

export MAX_SAML_RESPONSE_BYTESIZE=500000

La taille maximale par défaut de la réponse SAML est de 250 000 octets.