Paramètres d'administration – Authentification SAML

La page SAML de la section Authentification du menu Administration vous permet de configurer Looker pour authentifier les utilisateurs à l'aide du protocole SAML (Security Assertion Markup Language). Cette page décrit ce processus et inclut des instructions pour associer des groupes SAML aux rôles et autorisations Looker.

SAML et fournisseurs d'identité

Les entreprises utilisent différents fournisseurs d'identité (IdP) pour se coordonner avec SAML (par exemple, Okta ou OneLogin). Les termes utilisés dans les instructions de configuration suivantes et dans l'UI peuvent ne pas correspondre directement à ceux utilisés par votre IdP. Pour obtenir des précisions lors de la configuration, contactez votre équipe interne d'authentification ou SAML, ou l'assistance Looker.

Looker part du principe que les requêtes et les assertions SAML seront compressées. assurez-vous que votre IdP est configuré comme tel. Les requêtes de Looker à l'IDP ne sont pas signées.

Looker est compatible avec la connexion initiée par le fournisseur d'identité.

Une partie du processus de configuration doit être effectuée sur le site Web de l'IDP.

Okta propose une application Looker, qui est la méthode recommandée pour configurer Looker et Okta ensemble.

Configurer Looker sur votre fournisseur d'identité

Votre fournisseur d'identité SAML a besoin de l'URL de l'instance Looker à laquelle il doit envoyer via POST les assertions SAML. Dans votre IdP, il peut être appelé "URL de postback", "Destinataire" ou "Destination", entre autres.

Les informations à fournir sont l'URL depuis laquelle vous accédez généralement à votre instance Looker dans votre navigateur, suivie de /samlcallback. Exemple : none https://instance_name.looker.com/samlcallback.

ou

https://looker.mycompany.com/samlcallback

Certains fournisseurs d'identité exigent également que vous ajoutiez :9999 après l'URL de votre instance. Exemple :

https://instance_name.looker.com:9999/samlcallback

Bon à savoir

Tenez compte des informations suivantes:

  • Looker nécessite SAML 2.0.
  • Ne désactivez pas l'authentification SAML lorsque vous êtes connecté à Looker via SAML, sauf si vous avez configuré un autre compte de connexion. Sinon, vous risqueriez de vous retrouver bloqué dans l'application.
  • Looker peut migrer les comptes existants vers SAML à l'aide d'adresses e-mail provenant des configurations actuelles d'adresse e-mail et de mot de passe, ou de Google Auth, LDAP ou OIDC. Vous pourrez configurer la migration des comptes existants lors du processus de configuration.

Premiers pas

Accédez à la page Authentification SAML dans la section Administration de Looker pour afficher les options de configuration suivantes. Notez que les modifications apportées aux options de configuration ne prennent effet qu'une fois que vous avez testé et enregistré vos paramètres en bas de la page.

Paramètres d'authentification SAML

Looker a besoin de l'URL IdP, de l'émetteur IdP et du certificat IdP pour authentifier votre IdP.

Votre IdP peut proposer un document XML de métadonnées IdP lors du processus de configuration de Looker du côté de l'IdP. Ce fichier contient toutes les informations demandées dans la section SAML Auth Settings (Paramètres d'authentification SAML). Si vous disposez de ce fichier, vous pouvez l'importer dans le champ Métadonnées de l'IDP. Les champs obligatoires de cette section seront alors renseignés. Vous pouvez également remplir les champs obligatoires à partir du résultat obtenu lors de la configuration côté fournisseur d'identité. Vous n'avez pas besoin de remplir les champs si vous importez le fichier XML.

  • Métadonnées de l'IDP (facultatif) : collez ici l'URL publique du document XML contenant les informations sur l'IDP ou le texte complet du document. Looker analysera ce fichier pour renseigner les champs obligatoires.

Si vous n'avez pas importé ni collé de document XML de métadonnées IdP, saisissez vos informations d'authentification IdP dans les champs IdP URL (URL du fournisseur d'identité), IdP Issuer (Émetteur IdP) et IdP Certificate (Certificat IdP).

  • URL du fournisseur d'identité: l'URL vers laquelle Looker accédera pour authentifier les utilisateurs. Dans Okta, il s'agit de l'URL de redirection.

  • IdP Issuer (Émetteur IdP) : identifiant unique du fournisseur d'identité Dans Okta, cette clé est appelée "clé externe".

  • Certificat de l'IDP : clé publique permettant à Looker de vérifier la signature des réponses de l'IDP.

Ensemble, ces trois champs permettent à Looker de confirmer qu'un ensemble d'assertions SAML signées provient bien d'un fournisseur d'identité approuvé.

  • SP Entity/IdP Audience (Entité du fournisseur de services/Audience de l'IDP) : ce champ n'est pas obligatoire pour Looker, mais de nombreux IdP l'exigent. Si vous saisissez une valeur dans ce champ, elle sera envoyée à votre IdP en tant que Entity ID Looker dans les requêtes d'autorisation. Dans ce cas, Looker n'acceptera que les réponses d'autorisation dont la valeur correspond à Audience. Si votre IdP nécessite une valeur Audience, saisissez cette chaîne ici.
  • Dérive de l'horloge autorisée : nombre de secondes de dérive de l'horloge (différence entre les codes temporels de l'IDP et de Looker) autorisé. Cette valeur est généralement définie par défaut sur 0, mais certaines IdP peuvent nécessiter une marge de manœuvre supplémentaire pour les connexions réussies.

Paramètres des attributs utilisateur

Dans les champs suivants, spécifiez le nom de l'attribut dans la configuration SAML de votre IdP qui contient les informations correspondantes pour chaque champ. Saisissez les noms des attributs SAML pour indiquer à Looker comment mapper ces champs et extraire leurs informations au moment de la connexion. Looker n'a pas d'importance particulière quant à la manière dont ces informations sont construites. Il est important que la façon dont vous les saisissez dans Looker corresponde à la façon dont les attributs sont définis dans votre IdP. Looker propose des suggestions par défaut sur la façon de créer ces entrées.

Attributs standards

Vous devez spécifier les attributs standards suivants :

  • Email Attr: nom d'attribut utilisé par votre IdP pour les adresses e-mail des utilisateurs.

  • FName Attr: nom d'attribut que votre IdP utilise pour les prénoms des utilisateurs.

  • LName Attr: nom d'attribut utilisé par votre IdP pour les noms de famille des utilisateurs.

Association des attributs SAML avec les attributs utilisateur Looker

Vous pouvez éventuellement utiliser les données de vos attributs SAML pour renseigner automatiquement les valeurs dans les attributs utilisateur Looker lorsqu'un utilisateur se connecte. Par exemple, si vous avez configuré SAML pour établir des connexions spécifiques à l'utilisateur à votre base de données, vous pouvez associer vos attributs SAML aux attributs utilisateur Looker pour rendre vos connexions de base de données spécifiques à l'utilisateur dans Looker.

Pour associer des attributs SAML aux attributs utilisateur Looker correspondants :

  1. Saisissez le nom de l'attribut SAML dans le champ SAML Attribute (Attribut SAML) et le nom de l'attribut utilisateur Looker avec lequel vous souhaitez l'associer dans le champ Looker User Attributes (Attributs utilisateur Looker).
  2. Cochez Required (Obligatoire) si vous souhaitez exiger une valeur d'attribut SAML pour permettre à un utilisateur de se connecter.
  3. Cliquez sur + et répétez ces étapes pour ajouter d'autres paires d'attributs.

Groupes et rôles

Vous pouvez demander à Looker de créer des groupes qui reflètent vos groupes SAML gérés en externe, puis d'attribuer des rôles Looker aux utilisateurs en fonction de leurs groupes SAML miroirs. Lorsque vous modifiez l'appartenance à un groupe SAML, ces modifications sont automatiquement appliquées à la configuration du groupe Looker.

La mise en miroir des groupes SAML vous permet d'utiliser votre annuaire SAML défini en externe pour gérer les groupes et les utilisateurs Looker. Vous pouvez ainsi gérer votre appartenance à des groupes pour plusieurs outils SaaS (Software as a Service), tels que Looker, au même endroit.

Si vous activez l'option Mirror SAML Groups (Mettre en miroir les groupes SAML), Looker crée un groupe Looker pour chaque groupe SAML introduit dans le système. Vous pouvez consulter ces groupes Looker sur la page Groupes de la section Administration de Looker. Les groupes peuvent être utilisés pour attribuer des rôles aux membres du groupe, définir des contrôles d'accès aux contenus et attribuer des attributs utilisateur.

Groupes et rôles par défaut

Par défaut, l'option Mirror SAML Groups (Mettre en miroir les groupes SAML) est désactivée. Dans ce cas, vous pouvez définir un groupe par défaut pour les nouveaux utilisateurs SAML. Dans les champs Nouveaux groupes d'utilisateurs et Nouveaux rôles utilisateur, saisissez le nom des groupes ou rôles Looker auxquels vous souhaitez attribuer de nouveaux utilisateurs Looker lorsqu'ils se connectent pour la première fois à Looker:

Ces groupes et rôles sont appliqués aux nouveaux utilisateurs lors de leur première connexion. Les groupes et les rôles ne sont pas appliqués aux utilisateurs préexistants et ne sont pas réappliqués s'ils sont retirés des utilisateurs après leur connexion initiale.

Si vous activez ultérieurement les groupes SAML miroir, ces valeurs par défaut seront supprimées pour les utilisateurs lors de leur prochaine connexion et remplacées par les rôles attribués dans la section Miroir des groupes SAML. Ces options par défaut ne seront plus disponibles ni attribuées, et seront entièrement remplacées par la configuration des groupes mis en miroir.

Activer la mise en miroir des groupes SAML

Si vous choisissez de dupliquer vos groupes SAML dans Looker, activez l'option Mirror SAML Groups (Mettre en miroir les groupes SAML). Looker affiche les paramètres suivants:

Stratégie de recherche de groupe : sélectionnez le système utilisé par l'IdP pour attribuer des groupes, en fonction de votre IdP.

  • Presque tous les fournisseurs d'identité utilisent une seule valeur d'attribut pour attribuer des groupes, comme illustré dans cet exemple d'assertion SAML: none <saml2:Attribute Name='Groups'> <saml2:AttributeValue >Everyone</saml2:AttributeValue> <saml2:AttributeValue >Admins</saml2:AttributeValue> </saml2:Attribute> Dans ce cas, sélectionnez Groupes en tant que valeurs d'attributs uniques.

  • Certains fournisseurs d'identité utilisent un attribut distinct pour chaque groupe, puis exigent un deuxième attribut pour déterminer si un utilisateur est membre d'un groupe. Voici un exemple d'assertion SAML illustrant ce système: none <saml2:Attribute Name='group_everyone'> <saml2:AttributeValue >yes</saml2:AttributeValue> </saml2:Attribute> <saml2:Attribute Name='group_admins'> <saml2:AttributeValue >no</saml2:AttributeValue> </saml2:Attribute> Dans ce cas, sélectionnez Groupes en tant qu'attributs individuels avec une valeur d'appartenance.

Attribut des groupes : Looker affiche ce champ lorsque la stratégie de recherche de groupes est définie sur Groupes en tant que valeurs d'un seul attribut. Saisissez le nom de l'attribut Groupes utilisé par le fournisseur d'identité.

Valeur de membre du groupe: Looker affiche ce champ lorsque la stratégie de l'outil de recherche de groupes est définie sur Groupes en tant qu'attributs individuels avec valeur d'appartenance. Saisissez la valeur indiquant qu'un utilisateur est membre d'un groupe.

Nom de groupe préféré/Rôles/ID de groupe SAML: cet ensemble de champs vous permet d'attribuer un nom de groupe personnalisé, ainsi qu'un ou plusieurs rôles attribués au groupe SAML correspondant dans Looker:

  1. Saisissez l'ID de groupe SAML dans le champ SAML Group ID (ID de groupe SAML). Pour les utilisateurs Okta, saisissez le nom du groupe Okta comme ID du groupe SAML. Les utilisateurs SAML inclus dans le groupe SAML seront ajoutés au groupe dupliqué dans Looker.

  2. Saisissez un nom personnalisé pour le groupe dupliqué dans le champ Nom personnalisé. Il s'agit du nom qui sera affiché sur la page Groupes de la section Admin de Looker.

  3. Dans le champ situé à droite du champ Nom personnalisé, sélectionnez un ou plusieurs rôles Looker qui seront attribués à chaque utilisateur du groupe.

  4. Cliquez sur + pour ajouter d'autres ensembles de champs afin de configurer d'autres groupes en miroir. Si vous avez configuré plusieurs groupes et que vous souhaitez supprimer la configuration d'un groupe, cliquez sur X à côté de l'ensemble de champs de ce groupe.

Si vous modifiez un groupe dupliqué précédemment configuré sur cet écran, la configuration du groupe est modifiée, mais le groupe lui-même reste intact. Par exemple, vous pouvez modifier le nom personnalisé d'un groupe, ce qui modifierait la façon dont le groupe apparaît sur la page Groupes de Looker, mais ne modifiera pas les rôles attribués ni ses membres. Si vous modifiez l'ID de groupe SAML, le nom et les rôles du groupe resteront inchangés, mais les membres du groupe seront réaffectés en fonction des utilisateurs qui sont membres du groupe SAML externe associé au nouvel UD de groupe SAML.

Toute modification apportée à un groupe dupliqué sera appliquée aux utilisateurs de ce groupe lors de leur prochaine connexion à Looker.

Gestion avancée des rôles

Si vous avez activé le bouton Refléter les groupes SAML, Looker affiche ces paramètres. Les options de cette section déterminent le niveau de flexibilité des administrateurs Looker lors de la configuration des groupes Looker et des utilisateurs qui ont été mis en miroir à partir de SAML.

Par exemple, si vous souhaitez que votre groupe Looker et votre configuration utilisateur correspondent exactement à votre configuration SAML, activez ces options. Lorsque les trois premières options sont activées, les administrateurs Looker ne peuvent pas modifier les adhésions aux groupes en miroir et ne peuvent attribuer des rôles aux utilisateurs que via des groupes en miroir SAML.

Si vous souhaitez avoir plus de flexibilité pour personnaliser vos groupes dans Looker, désactivez ces options. Vos groupes Looker continueront de refléter votre configuration SAML, mais vous pourrez gérer davantage de groupes et d'utilisateurs dans Looker, par exemple en ajoutant des utilisateurs SAML à des groupes spécifiques à Looker ou en attribuant des rôles Looker directement aux utilisateurs SAML.

Pour les nouvelles instances Looker ou les instances pour lesquelles aucun groupe miroir n'a été configuré précédemment, ces options sont désactivées par défaut.

Pour les instances Looker existantes qui ont configuré des groupes miroirs, ces options sont activées par défaut.

La section Gestion avancée des rôles contient les options suivantes :

Empêcher les utilisateurs SAML individuels de recevoir des rôles directs : si vous activez cette option, les administrateurs Looker ne pourront plus attribuer des rôles Looker directement aux utilisateurs SAML. Les utilisateurs SAML ne recevront des rôles que via les groupes dont ils sont membres. Si les utilisateurs SAML sont autorisés à faire partie de groupes Looker intégrés (non mis en miroir), ils peuvent toujours hériter de leurs rôles à la fois des groupes SAML mis en miroir et des groupes Looker intégrés. Les rôles attribués directement aux utilisateurs SAML seront supprimés lors de leur prochaine connexion.

Si cette option est désactivée, les administrateurs Looker peuvent attribuer des rôles Looker directement aux utilisateurs SAML, comme s'ils avaient été configurés directement dans Looker.

Empêcher l'appartenance directe à des groupes autres que SAML : si vous activez cette option, les administrateurs Looker ne pourront plus ajouter d'utilisateurs SAML directement à des groupes Looker intégrés. Si les groupes SAML en miroir sont autorisés à être membres de groupes Looker intégrés, les utilisateurs SAML peuvent conserver leur appartenance à tous les groupes Looker parents. Tous les utilisateurs SAML précédemment affectés à des groupes Looker intégrés seront supprimés de ces groupes lors de leur prochaine connexion.

Si cette option est désactivée, les administrateurs Looker peuvent ajouter des utilisateurs SAML directement à des groupes Looker intégrés.

Empêcher l'héritage de rôles à partir de groupes autres que SAML : si vous activez cette option, les membres des groupes SAML clonés ne peuvent pas hériter de rôles à partir de groupes Looker intégrés. Tous les utilisateurs SAML qui héritaient auparavant de rôles d'un groupe Looker parent perdront ces rôles lors de leur prochaine connexion.

Si cette option est désactivée, les groupes SAML ou les utilisateurs SAML miroirs ajoutés en tant que membres d'un groupe Looker intégré hériteront des rôles attribués au groupe Looker parent.

Auth Requires Role (L'authentification nécessite un rôle) : si cette option est activée, un rôle doit être attribué aux utilisateurs SAML. Les utilisateurs SAML auxquels aucun rôle n'a été attribué ne pourront pas se connecter à Looker.

Si cette option est désactivée, les utilisateurs SAML peuvent s'authentifier auprès de Looker même si aucun rôle ne leur est attribué. Un utilisateur auquel aucun rôle ne sera attribué ne pourra pas consulter les données ni effectuer d'actions dans Looker, mais il pourra s'y connecter.

Désactiver la mise en miroir des groupes SAML

Si vous souhaitez arrêter la duplication de vos groupes SAML dans Looker, désactivez l'option Mirror SAML Groups (Mettre en miroir les groupes SAML). Tous les groupes SAML en miroir vides seront supprimés.

Les groupes SAML miroir non vides resteront disponibles pour la gestion de contenu et la création de rôles. Toutefois, vous ne pouvez pas ajouter ni supprimer d'utilisateurs dans des groupes SAML miroirs.

Options de migration

Connexion alternative pour les administrateurs et les utilisateurs spécifiés

Les connexions par e-mail et mot de passe Looker sont toujours désactivées pour les utilisateurs standards lorsque l'authentification SAML est activée. Cette option permet aux administrateurs et aux utilisateurs spécifiés disposant de l'autorisation login_special_email d'utiliser /login/email pour se connecter via une adresse e-mail secondaire.

Activer cette option est utile en cas de problème de configuration SAML ultérieur ou si vous devez prendre en charge certains utilisateurs qui ne disposent pas de comptes dans votre répertoire SAML.

Spécifier la méthode utilisée pour fusionner des utilisateurs SAML avec un compte Looker

Dans le champ Merge Users Using (Fusionner les utilisateurs avec un compte utilisateur), spécifiez la méthode à utiliser pour fusionner une connexion SAML initiale avec un compte utilisateur existant. Vous pouvez fusionner des utilisateurs à partir des systèmes suivants:

  • Adresse e-mail/Mot de passe Looker (non disponible pour Looker (Google Cloud Core))
  • Google
  • LDAP (non disponible pour Looker (Google Cloud Core))
  • OIDC

Si vous avez mis en place plusieurs systèmes, vous pouvez en spécifier plusieurs dans ce champ. Looker recherche les utilisateurs dans les systèmes répertoriés dans l'ordre dans lequel ils ont été spécifiés. Par exemple, supposons que vous ayez créé des utilisateurs à l'aide de l'adresse e-mail et du mot de passe Looker, que vous ayez activé LDAP et que vous souhaitiez maintenant utiliser SAML. Looker fusionne d'abord les comptes par adresse e-mail et mot de passe, puis par LDAP.

Lorsqu'un utilisateur se connecte pour la première fois via SAML, cette option le connecte à son compte existant en recherchant le compte associé à une adresse e-mail correspondante. S'il n'en existe aucun, un nouveau compte utilisateur est créé.

Fusionner des utilisateurs lorsque vous utilisez Looker (Google Cloud Core)

Lorsque vous utilisez Looker (Google Cloud core) et SAML, la fusion fonctionne comme décrit dans la section précédente. Toutefois, cela n'est possible que si l'une des deux conditions suivantes est remplie :

  1. Condition 1 : Les utilisateurs s'authentifient dans Looker (Google Cloud Core) à l'aide de leurs identités Google via le protocole SAML.

  2. Condition 2 Avant de sélectionner l'option de fusion, vous avez effectué les deux étapes suivantes :

Si votre instance ne remplit pas l'une de ces deux conditions, l'option Fusionner les utilisateurs avec n'est pas disponible.

Lors de la fusion, Looker (Google Cloud Core) recherche les enregistrements utilisateur qui partagent exactement la même adresse e-mail.

Tester l'authentification des utilisateurs

Cliquez sur le bouton Tester pour tester vos paramètres. Les tests seront redirigés vers le serveur et ouvriront un nouvel onglet du navigateur. L'onglet affiche les informations suivantes:

  • Indique si Looker a pu communiquer avec le serveur et procéder à la validation.
  • Noms que Looker reçoit du serveur. Vous devez vérifier que le serveur renvoie les résultats appropriés.
  • Une trace pour montrer comment les informations ont été trouvées. Utilisez la trace pour résoudre les problèmes si les informations sont incorrectes. Si vous avez besoin d'informations supplémentaires, vous pouvez lire le fichier de serveur XML brut.

Conseils :

  • Vous pouvez exécuter ce test à tout moment, même si SAML est partiellement configuré. L'exécution d'un test peut être utile lors de la configuration pour identifier les paramètres à configurer.
  • Le test utilise les paramètres saisis sur la page Authentification SAML, même si ces paramètres n'ont pas été enregistrés. Le test n'affecte ni ne modifie aucun des paramètres de cette page.
  • Lors du test, Looker transmet des informations au fournisseur d'identité à l'aide du paramètre SAML RelayState. L'IDP doit renvoyer cette valeur RelayState à Looker sans la modifier.

Enregistrer et appliquer les paramètres

Une fois que vous avez saisi vos informations et que les tests ont tous réussi, cochez la case J'ai confirmé la configuration ci-dessus et je souhaite l'activer de manière globale, puis cliquez sur Mettre à jour les paramètres pour enregistrer.

Comportement de connexion des utilisateurs

Lorsqu'un utilisateur tente de se connecter à une instance Looker en utilisant SAML, Looker s'ouvre sur la page Se connecter. L'utilisateur doit cliquer sur le bouton Authenticate (S'authentifier) pour lancer l'authentification via SAML.

Il s'agit du comportement par défaut si l'utilisateur n'a pas encore de session Looker active.

Si vous souhaitez que vos utilisateurs se connectent directement à votre instance Looker après avoir été authentifiés par votre IdP et qu'ils contournent la page Log In (Se connecter), activez l'option Bypass Login Page (Ignorer la page de connexion) sous Login Behavior (Comportement de connexion).

Si vous utilisez Looker (Original), la fonctionnalité Ignorer la page de connexion doit être activée par Looker. Pour mettre à jour votre licence pour cette fonctionnalité, contactez un spécialiste des ventes Google Cloud ou envoyez une demande d'assistance. Si vous utilisez Looker (Google Cloud Core), l'option Ignorer la page de connexion est disponible automatiquement si SAML est utilisé comme méthode d'authentification principale et est désactivée par défaut.

Lorsque l'option Ignorer la page de connexion est activée, la séquence de connexion de l'utilisateur est la suivante :

  1. L'utilisateur tente de se connecter à une URL Looker (par exemple, instance_name.looker.com).

  2. Looker détermine si une session active est déjà activée pour l'utilisateur. Pour ce faire, Looker utilise le cookie AUTH-MECHANISM-COOKIE pour identifier la méthode d'autorisation utilisée par l'utilisateur lors de sa dernière session. La valeur est toujours l'une des suivantes : saml, ldap, oidc, google ou email.

  3. Si une session active est activée pour l'utilisateur, il est redirigé vers l'URL demandée.

  4. Si aucune session active n'est activée pour l'utilisateur, il est redirigé vers l'IDP. L'IdP authentifie l'utilisateur lorsqu'il se connecte correctement. Looker authentifie ensuite l'utilisateur lorsque l'IdP le renvoie vers Looker avec des informations indiquant qu'il est authentifié auprès du fournisseur d'identité.

  5. Si l'authentification auprès du fournisseur d'identité a réussi, Looker valide les assertions SAML, accepte l'authentification, met à jour les informations utilisateur et redirige l'utilisateur vers l'URL demandée, en contournant la page Se connecter.

  6. Si l'utilisateur ne parvient pas à se connecter au fournisseur d'identité ou s'il n'est pas autorisé par celui-ci à utiliser Looker, il restera sur le site du fournisseur d'identité ou sera redirigé vers la page Se connecter de Looker, selon le fournisseur d'identité.

Réponse SAML dépassant la limite

Si les utilisateurs qui tentent de s'authentifier reçoivent des erreurs indiquant que la réponse SAML a dépassé la taille maximale, vous pouvez augmenter la taille maximale autorisée.

Pour les instances hébergées par Looker, ouvrez une demande d'assistance afin de modifier la taille maximale de la réponse SAML.

Pour les instances Looker hébergées par le client, vous pouvez définir la taille maximale de la réponse SAML en nombre d'octets à l'aide de la variable d'environnement MAX_SAML_RESPONSE_BYTESIZE. Exemple :

export MAX_SAML_RESPONSE_BYTESIZE=500000

La taille maximale par défaut de la réponse SAML est de 250 000 octets.