Paramètres d'administration – Authentification SAML

La page SAML de la section Authentification du menu Administration vous permet de configurer Looker pour authentifier les utilisateurs à l'aide du langage SAML (Security Assertion Markup Language). Cette page décrit ce processus et inclut des instructions pour associer des groupes SAML aux rôles et autorisations Looker.

SAML et fournisseurs d'identité

Les entreprises utilisent différents fournisseurs d'identité (IdP) pour se coordonner avec le protocole SAML (par exemple, Okta ou OneLogin). Les termes utilisés dans les instructions de configuration suivantes et dans l'interface utilisateur peuvent ne pas correspondre directement à ceux utilisés par votre IdP. Pour obtenir des précisions lors de la configuration, contactez votre équipe SAML ou votre équipe d'authentification interne, ou contactez l'assistance Looker.

Looker part du principe que les requêtes et les assertions SAML seront compressées. Assurez-vous que votre IdP est configuré comme tel. Les requêtes de Looker adressées au fournisseur d'identité ne sont pas signées.

Looker prend en charge la connexion initiée par IdP.

Une partie du processus de configuration doit être effectuée sur le site Web du fournisseur d'identité.

Okta propose une application Looker. Il est recommandé de configurer Looker et Okta ensemble.

Configurer Looker sur votre fournisseur d'identité

Votre fournisseur d'identité SAML aura besoin de l'URL de l'instance Looker à laquelle il doit envoyer les assertions SAML. Dans votre IdP, vous pouvez l'appeler, entre autres,"URL de publication", "Destinataire" ou "Destination".

Les informations à fournir correspondent à l'URL à partir de laquelle vous accédez généralement à votre instance Looker à l'aide du navigateur, suivie de /samlcallback. Exemple : none https://instance_name.looker.com/samlcallback.

ou

https://looker.mycompany.com/samlcallback

Certains fournisseurs d'identité exigent également que vous ajoutiez :9999 après l'URL de votre instance. Exemple :

https://instance_name.looker.com:9999/samlcallback

Bon à savoir

Gardez à l'esprit les points suivants:

  • Looker nécessite SAML 2.0.
  • Ne désactivez pas l'authentification SAML lorsque vous êtes connecté à Looker via SAML, sauf si vous avez configuré une connexion à un autre compte. Sinon, vous risquez de bloquer l'accès à l'application.
  • Looker peut migrer des comptes existants vers SAML en utilisant des adresses e-mail provenant des configurations actuelles de messagerie et de mot de passe, ou de Google Auth, LDAP ou OIDC. Vous pourrez configurer la migration des comptes existants lors du processus de configuration.

Premiers pas

Accédez à la page Authentification SAML dans la section Admin de Looker pour afficher les options de configuration suivantes. Notez que les modifications apportées aux options de configuration ne prennent effet que lorsque vous testez et enregistrez vos paramètres en bas de la page.

Paramètres d'authentification SAML

Looker requiert l'URL du fournisseur d'identité, l'émetteur de l'IdP et le certificat de l'IdP pour authentifier votre IdP.

Votre IdP peut proposer un document XML de métadonnées IdP pendant le processus de configuration de Looker côté IdP. Ce fichier contient toutes les informations demandées dans la section Paramètres d'authentification SAML. Si vous disposez de ce fichier, vous pouvez l'importer dans le champ IdP Metadata (Métadonnées IdP), qui remplira les champs obligatoires de cette section. Vous pouvez également remplir les champs obligatoires de la sortie obtenue lors de la configuration côté IdP. Vous n'avez pas besoin de remplir les champs si vous importez le fichier XML.

  • IdP Metadata (optional) (Métadonnées IdP (facultatif)) : collez l'URL publique du document XML contenant les informations sur le fournisseur d'identité ou collez ici le texte intégral du document. Looker analysera ce fichier pour renseigner les champs obligatoires.

Si vous n'avez pas importé ni collé de document XML de métadonnées IdP, saisissez vos informations d'authentification IdP dans les champs IdP URL (URL de l'IdP), IdP Issuer (Émetteur IdP) et IdP Certificate (Certificat IdP).

  • IdP URL (URL de l'IdP) : URL vers laquelle Looker accédera pour authentifier les utilisateurs. Il s'agit de l'URL de redirection dans Okta.

  • IdP Issuer (Émetteur IdP) : identifiant unique du fournisseur d'identité C'est ce qu'on appelle la "clé externe" dans Okta.

  • Certificat IdP: clé publique permettant à Looker de vérifier la signature des réponses du fournisseur d'identité.

Ensemble, ces trois champs permettent à Looker de confirmer qu'un ensemble d'assertions SAML signées provient bien d'un fournisseur d'identité approuvé.

  • SP Entity/IdP Audience (Audience de l'entité/du fournisseur d'identité du fournisseur de services) : ce champ n'est pas obligatoire dans Looker, mais de nombreux fournisseurs d'identité l'exigent. Si vous saisissez une valeur dans ce champ, elle sera envoyée à votre IdP en tant que Entity ID de Looker dans les requêtes d'autorisation. Dans ce cas, Looker n'accepte que les réponses d'autorisation dont la valeur est Audience. Si votre fournisseur d'identité requiert une valeur Audience, saisissez cette chaîne ici.
  • Dérive d'horloge autorisée: nombre de secondes de dérive d'horloge (différence d'horodatage entre le fournisseur d'identité et Looker). Il s'agit généralement de la valeur par défaut de 0, mais certains fournisseurs d'identité peuvent avoir besoin d'une marge supplémentaire pour que les connexions aboutissent.

Paramètres relatifs aux attributs utilisateur

Dans les champs suivants, spécifiez le nom de l'attribut dans la configuration SAML de votre fournisseur d'identité. Ce nom contient les informations correspondant à chaque champ. La saisie des noms d'attributs SAML indique à Looker comment mapper ces champs et extraire leurs informations au moment de la connexion. Looker n'est pas particulièrement attentif à la façon dont ces informations sont construites. Il est juste important que la façon dont vous les saisissez dans Looker corresponde à la façon dont les attributs sont définis dans votre IdP. Looker fournit des suggestions par défaut sur la façon de créer ces entrées.

Attributs standards

Vous devez spécifier les attributs standards suivants:

  • Email Attr (Attr e-mail) : nom de l'attribut que votre fournisseur d'identité utilise pour les adresses e-mail des utilisateurs.

  • FName Attr: nom d'attribut utilisé par votre IdP pour les prénoms des utilisateurs.

  • LName Attr: nom de l'attribut que votre IdP utilise pour les noms de famille des utilisateurs.

Associer des attributs SAML aux attributs utilisateur Looker

Vous pouvez éventuellement utiliser les données de vos attributs SAML pour renseigner automatiquement les valeurs des attributs utilisateur Looker lorsqu'un utilisateur se connecte. Par exemple, si vous avez configuré SAML pour établir des connexions spécifiques à l'utilisateur avec votre base de données, vous pouvez associer vos attributs SAML aux attributs utilisateur Looker pour rendre vos connexions de base de données spécifiques à l'utilisateur dans Looker.

Pour associer des attributs SAML aux attributs utilisateur Looker correspondants:

  1. Saisissez le nom de l'attribut SAML dans le champ Attribut SAML et le nom de l'attribut utilisateur Looker avec lequel vous souhaitez l'associer dans le champ Attributs utilisateur Looker.
  2. Cochez la case Required si vous souhaitez exiger une valeur d'attribut SAML pour permettre à un utilisateur de se connecter.
  3. Cliquez sur +, puis répétez ces étapes pour ajouter d'autres paires d'attributs.

Groupes et rôles

Looker peut créer des groupes reflétant vos groupes SAML gérés en externe, puis attribuer des rôles Looker aux utilisateurs en fonction de leurs groupes SAML mis en miroir. Lorsque vous modifiez l'appartenance à un groupe SAML, ces modifications sont automatiquement répercutées dans la configuration du groupe de Looker.

La mise en miroir de groupes SAML vous permet d'utiliser votre annuaire SAML défini en externe pour gérer les groupes et les utilisateurs Looker. Vous pouvez ainsi gérer votre appartenance à un groupe pour plusieurs outils Software as a Service (SaaS), tels que Looker, depuis un seul et même endroit.

Si vous activez l'option Mirror SAML Groups (Dupliquer les groupes SAML), Looker crée un groupe Looker pour chaque groupe SAML introduit dans le système. Ces groupes Looker sont visibles sur la page Groupes de la section Admin de Looker. Les groupes permettent d'attribuer des rôles aux membres d'un groupe, de définir le contrôle des accès au contenu et d'attribuer des attributs utilisateur.

Groupes et rôles par défaut

Le bouton Dupliquer les groupes SAML est désactivé par défaut. Dans ce cas, vous pouvez définir un groupe par défaut pour les nouveaux utilisateurs SAML. Dans les champs Nouveaux groupes d'utilisateurs et Nouveaux rôles utilisateur, saisissez les noms des groupes ou rôles Looker auxquels vous souhaitez attribuer de nouveaux utilisateurs Looker lors de leur première connexion à Looker:

Ces groupes et rôles sont appliqués aux nouveaux utilisateurs lors de leur première connexion. Les groupes et les rôles ne s'appliquent pas aux utilisateurs préexistants et ne sont pas réappliqués s'ils sont supprimés des utilisateurs après leur première connexion.

Si vous activez ultérieurement la mise en miroir des groupes SAML, ces paramètres par défaut seront supprimés pour les utilisateurs à la prochaine connexion et remplacés par les rôles attribués dans la section Dupliquer les groupes SAML. Ces options par défaut ne seront plus disponibles ni attribuées, et elles seront entièrement remplacées par la configuration des groupes dupliqués.

Activer les groupes SAML en miroir

Si vous choisissez de dupliquer vos groupes SAML dans Looker, activez l'option Dupliquer les groupes SAML. Looker affiche les paramètres suivants:

Group Finder Strategy (Stratégie de l'outil de recherche de groupes) : sélectionnez le système que le fournisseur d'identité utilise pour attribuer des groupes, en fonction de votre IdP.

  • Presque tous les fournisseurs d'identité utilisent une seule valeur d'attribut pour attribuer des groupes, comme illustré dans cet exemple d'assertion SAML : none <saml2:Attribute Name='Groups'> <saml2:AttributeValue >Everyone</saml2:AttributeValue> <saml2:AttributeValue >Admins</saml2:AttributeValue> </saml2:Attribute> Dans ce cas, sélectionnez Groupes en tant que valeurs d'attributs uniques.

  • Certains fournisseurs d'identité utilisent un attribut distinct pour chaque groupe, puis exigent un deuxième attribut pour déterminer si un utilisateur est membre d'un groupe. Vous trouverez ci-dessous un exemple d'assertion SAML affichant ce système : none <saml2:Attribute Name='group_everyone'> <saml2:AttributeValue >yes</saml2:AttributeValue> </saml2:Attribute> <saml2:Attribute Name='group_admins'> <saml2:AttributeValue >no</saml2:AttributeValue> </saml2:Attribute> Dans ce cas, sélectionnez Groupes en tant qu'attributs individuels avec une valeur d'appartenance.

Attribut de groupe: Looker affiche ce champ lorsque Stratégie de l'outil de recherche de groupes est défini sur Groupes en tant que valeurs d'un seul attribut. Saisissez le nom de l'attribut Groups utilisé par le fournisseur d'identité.

Group Member Value (Valeur de membre de groupe) : Looker affiche ce champ lorsque le champ Group Finder Strategy (Stratégie de l'outil de recherche de groupes) est défini sur Groups as individual criteria with member value. Saisissez la valeur indiquant qu'un utilisateur est membre d'un groupe.

Nom de groupe préféré/Rôles/ID de groupe SAML: cet ensemble de champs vous permet d'attribuer un nom de groupe personnalisé, ainsi qu'un ou plusieurs rôles attribués au groupe SAML correspondant dans Looker:

  1. Saisissez l'identifiant du groupe SAML dans le champ Identifiant de groupe SAML. Pour les utilisateurs d'Okta, saisissez le nom du groupe Okta comme ID de groupe SAML. Les utilisateurs SAML inclus dans le groupe SAML seront ajoutés au groupe en miroir dans Looker.

  2. Saisissez un nom personnalisé pour le groupe en miroir dans le champ Nom personnalisé. Ce nom sera affiché sur la page Groupes de la section Admin de Looker.

  3. Dans le champ situé à droite du champ Nom personnalisé, sélectionnez un ou plusieurs rôles Looker qui seront attribués à chaque utilisateur du groupe.

  4. Cliquez sur + pour ajouter d'autres ensembles de champs et configurer d'autres groupes en miroir. Si plusieurs groupes sont configurés et que vous souhaitez supprimer la configuration d'un groupe, cliquez sur X à côté de l'ensemble des champs de ce groupe.

Si vous modifiez un groupe en miroir précédemment configuré dans cet écran, sa configuration change, mais le groupe lui-même reste intact. Par exemple, vous pouvez modifier le nom personnalisé d'un groupe, ce qui modifie l'affichage du groupe sur la page Groupes de Looker, mais pas les rôles attribués ni les membres du groupe. Si vous modifiez l'ID de groupe SAML, le nom et les rôles du groupe seront conservés, mais les membres du groupe seront réattribués en fonction des utilisateurs membres du groupe SAML externe auquel la nouvelle UD de groupe SAML est associée.

Toute modification apportée à un groupe en miroir sera appliquée aux utilisateurs de ce groupe la prochaine fois qu'ils se connecteront à Looker.

Gestion avancée des rôles

Si vous avez activé l'option Dupliquer les groupes SAML, Looker affiche ces paramètres. Les options de cette section déterminent le degré de flexibilité dont disposent les administrateurs Looker lorsqu'ils configurent les groupes et les utilisateurs Looker mis en miroir depuis SAML.

Par exemple, si vous souhaitez que votre configuration de groupe et d'utilisateur Looker corresponde strictement à votre configuration SAML, activez ces options. Lorsque les trois premières options sont activées, les administrateurs Looker ne peuvent pas modifier les appartenances aux groupes en miroir et ne peuvent attribuer des rôles aux utilisateurs que via les groupes en miroir SAML.

Si vous souhaitez avoir plus de flexibilité pour personnaliser vos groupes dans Looker, désactivez ces options. Vos groupes Looker refléteront toujours votre configuration SAML, mais vous pourrez gérer davantage les groupes et les utilisateurs dans Looker, par exemple en ajoutant des utilisateurs SAML à des groupes spécifiques à Looker ou en attribuant des rôles Looker directement aux utilisateurs SAML.

Pour les nouvelles instances Looker ou pour les instances pour lesquelles aucun groupe en miroir n'a été configuré précédemment, ces options sont désactivées par défaut.

Pour les instances Looker existantes qui ont configuré des groupes en miroir, ces options sont activées par défaut.

La section Gestion avancée des rôles contient les options suivantes:

Empêcher les utilisateurs SAML individuels de recevoir des rôles directs: l'activation de cette option empêche les administrateurs Looker d'attribuer des rôles Looker directement aux utilisateurs SAML. Les utilisateurs SAML n'obtiendront des rôles que via leur appartenance à des groupes. Si les utilisateurs SAML sont autorisés à être membres des groupes Looker natifs (non mis en miroir), ils peuvent toujours hériter de leurs rôles à la fois à partir de groupes SAML en miroir et de groupes Looker natifs. Les utilisateurs SAML auxquels des rôles étaient précédemment attribués directement seront supprimés lors de leur prochaine connexion.

Si cette option est désactivée, les administrateurs Looker peuvent attribuer les rôles Looker directement aux utilisateurs SAML comme s'ils avaient été configurés de manière native dans Looker.

Empêcher l'appartenance directe aux groupes non SAML: l'activation de cette option empêche les administrateurs Looker d'ajouter directement des utilisateurs SAML aux groupes Looker natifs. Si les groupes SAML en miroir sont autorisés à être membres de groupes Looker natifs, les utilisateurs SAML peuvent conserver leur appartenance à n'importe quel groupe Looker parent. Tous les utilisateurs SAML précédemment affectés à des groupes Looker natifs seront supprimés de ces groupes lors de leur prochaine connexion.

Si cette option est désactivée, les administrateurs Looker peuvent ajouter des utilisateurs SAML directement aux groupes Looker natifs.

Empêcher l'héritage des rôles des groupes non SAML: l'activation de cette option empêche les membres de groupes SAML en miroir d'hériter des rôles des groupes Looker natifs. Tous les utilisateurs SAML qui ont précédemment hérité des rôles d'un groupe Looker parent perdront ces rôles lors de leur prochaine connexion.

Si cette option est désactivée, les groupes SAML en miroir ou les utilisateurs SAML ajoutés en tant que membres d'un groupe Looker natif héritent des rôles attribués au groupe Looker parent.

Authentification requise par un rôle: si cette option est activée, un rôle doit être attribué aux utilisateurs SAML. Les utilisateurs SAML auxquels aucun rôle n'a été attribué ne pourront pas se connecter à Looker.

Si cette option est désactivée, les utilisateurs SAML peuvent s'authentifier auprès de Looker même s'ils ne disposent d'aucun rôle. Un utilisateur sans rôle attribué ne peut pas consulter les données ni effectuer d'actions dans Looker, mais il peut se connecter à Looker.

Désactiver la mise en miroir de groupes SAML

Si vous souhaitez arrêter de dupliquer vos groupes SAML dans Looker, désactivez l'option Dupliquer les groupes SAML. Tous les groupes SAML en miroir vides seront supprimés.

Les groupes SAML non vides restent disponibles pour la gestion de contenu et la création de rôles. Toutefois, il est impossible d'ajouter des utilisateurs à des groupes SAML miroir ou d'en supprimer.

Options de migration

Autre connexion pour les administrateurs et les utilisateurs spécifiés

Les connexions par adresse e-mail/mot de passe Looker sont toujours désactivées pour les utilisateurs standards lorsque l'authentification SAML est activée. Cette option permet aux administrateurs et aux utilisateurs spécifiés disposant de l'autorisation login_special_email de se connecter par adresse e-mail secondaire à l'aide de /login/email.

L'activation de cette option est utile comme solution de secours lors de la configuration de l'authentification SAML si des problèmes de configuration SAML surviennent ultérieurement, ou si vous devez aider certains utilisateurs qui n'ont pas de compte dans votre annuaire SAML.

Spécifier la méthode à utiliser pour fusionner des utilisateurs SAML avec un compte Looker

Dans le champ Fusionner les utilisateurs à l'aide, spécifiez la méthode à utiliser pour fusionner une première connexion SAML avec un compte utilisateur existant. Vous pouvez fusionner les utilisateurs des systèmes suivants:

  • Adresse e-mail/Mot de passe Looker (non disponible pour Looker (Google Cloud Core))
  • Google
  • LDAP (non disponible pour Looker (Google Cloud Core))
  • OIDC

Si vous avez mis en place plusieurs systèmes, vous pouvez en spécifier plusieurs dans ce champ. Looker recherchera les utilisateurs dans les systèmes listés dans l'ordre dans lequel ils sont spécifiés. Par exemple, supposons que vous ayez créé des utilisateurs avec une adresse e-mail/mot de passe Looker, que vous ayez activé LDAP et que vous souhaitiez maintenant utiliser SAML. Looker fusionne d'abord par adresse e-mail/mot de passe, puis par LDAP.

Lorsqu'un utilisateur se connecte pour la première fois via SAML, cette option connecte l'utilisateur à son compte existant en recherchant le compte avec une adresse e-mail correspondante. S'il n'existe pas de compte pour l'utilisateur, un nouveau compte est créé.

Fusionner des utilisateurs lors de l'utilisation de Looker (Google Cloud Core)

Lorsque vous utilisez Looker (Google Cloud Core) et SAML, la fusion fonctionne comme décrit dans la section précédente. Toutefois, cela n'est possible que si l'une des deux conditions suivantes est remplie:

  1. Condition 1: les utilisateurs s'authentifient dans Looker (Google Cloud Core) à l'aide de leur identité Google via le protocole SAML.

  2. Condition 2 Avant de sélectionner l'option de fusion, vous avez effectué les deux étapes suivantes:

Si votre instance ne remplit pas l'une de ces deux conditions, l'option Fusionner les utilisateurs à l'aide de ne sera pas disponible.

Lors de la fusion, Looker (Google Cloud Core) recherchera les enregistrements utilisateur qui partagent la même adresse e-mail.

Tester l'authentification des utilisateurs

Cliquez sur le bouton Tester pour tester vos paramètres. Les tests sont redirigés vers le serveur et ouvrent un onglet de navigateur. L'onglet affiche les éléments suivants:

  • Indique si Looker a pu communiquer avec le serveur et effectuer la validation.
  • Noms que Looker obtient du serveur. Vous devez vérifier que le serveur renvoie les résultats appropriés.
  • Trace indiquant comment les informations ont été trouvées Utilisez la trace pour résoudre les problèmes si les informations sont incorrectes. Si vous avez besoin d'informations supplémentaires, vous pouvez lire le fichier XML brut du serveur.

Conseils :

  • Vous pouvez exécuter ce test à tout moment, même si SAML est partiellement configuré. Il peut être utile d'effectuer un test lors de la configuration pour identifier les paramètres qui doivent être configurés.
  • Ce test utilise les paramètres définis sur la page Authentification SAML, même si ces paramètres n'ont pas été enregistrés. Le test n'affectera ni ne modifiera aucun des paramètres de cette page.
  • Pendant le test, Looker transmet des informations au fournisseur d'identité à l'aide du paramètre SAML RelayState. Le fournisseur d'identité doit renvoyer cette valeur RelayState à Looker sans la modifier.

Enregistrer et appliquer les paramètres

Une fois que vous avez saisi vos informations et que tous les tests sont concluants, cochez la case J'ai confirmé la configuration ci-dessus et je souhaite activer l'application globale, puis cliquez sur Mettre à jour les paramètres pour enregistrer.

Comportement de connexion des utilisateurs

Lorsqu'un utilisateur tente de se connecter à une instance Looker à l'aide de SAML, Looker s'ouvre sur la page Se connecter. L'utilisateur doit cliquer sur le bouton Authentifier pour lancer l'authentification via SAML.

Il s'agit du comportement par défaut si l'utilisateur n'a pas encore de session Looker active.

Si vous souhaitez que vos utilisateurs se connectent directement à votre instance Looker une fois que votre IdP les a authentifiés et que vous contournez la page Connexion, activez Contourner la page de connexion sous Comportement de connexion.

Si vous utilisez Looker (d'origine), la fonctionnalité Contourner la page de connexion doit être activée par Looker. Pour mettre à jour votre licence pour cette fonctionnalité, contactez un spécialiste des ventes Google Cloud ou envoyez une demande d'assistance. Si vous utilisez Looker (Google Cloud Core), l'option Ignorer la page de connexion est disponible automatiquement si SAML est utilisé comme méthode d'authentification principale. Elle est désactivée par défaut.

Lorsque l'option Contourner la page de connexion est activée, la séquence de connexion utilisateur est la suivante:

  1. L'utilisateur tente de se connecter à une URL Looker (par exemple, instance_name.looker.com).

  2. Looker détermine si une session active est déjà activée pour l'utilisateur. Pour ce faire, Looker utilise le cookie AUTH-MECHANISM-COOKIE afin d'identifier la méthode d'autorisation utilisée par l'utilisateur lors de sa dernière session. La valeur est toujours l'une des suivantes: saml, ldap, oidc, google ou email.

  3. Si une session active est activée, l'utilisateur est redirigé vers l'URL demandée.

  4. Si aucune session active n'est activée pour l'utilisateur, il est redirigé vers le fournisseur d'identité. Le fournisseur d'identité authentifie l'utilisateur lorsqu'il s'y connecte avec succès. Looker authentifie ensuite l'utilisateur lorsque le fournisseur d'identité le renvoie vers Looker avec des informations indiquant que l'utilisateur est authentifié auprès du fournisseur d'identité.

  5. Si l'authentification auprès du fournisseur d'identité a réussi, Looker valide alors les assertions SAML, accepte l'authentification, met à jour les informations utilisateur et redirige l'utilisateur vers l'URL demandée, en contournant la page de connexion.

  6. Si l'utilisateur ne parvient pas à se connecter à l'IdP ou s'il n'est pas autorisé par le fournisseur d'identité à utiliser Looker, selon le fournisseur d'identité, il restera soit sur le site de l'IdP, soit redirigé vers la page de connexion de Looker.

La réponse SAML dépasse la limite

Si les utilisateurs qui tentent de s'authentifier reçoivent des erreurs indiquant que la réponse SAML a dépassé la taille maximale autorisée, vous pouvez augmenter la taille maximale autorisée pour la réponse SAML.

Pour les instances Looker hébergées, ouvrez une demande d'assistance pour mettre à jour la taille maximale de réponse SAML.

Pour les instances Looker hébergées par un client, vous pouvez définir la taille maximale de la réponse SAML en octets à l'aide de la variable d'environnement MAX_SAML_RESPONSE_BYTESIZE. Exemple :

export MAX_SAML_RESPONSE_BYTESIZE=500000

Par défaut,la taille maximale des réponses SAML est de 250 000 octets.