Aller au contenu

Configuration générale de Squash TM

Variables d'environnement Java

Le contenu de la variable SQUASH_JAVA_ARGS est ajouté à la fin de la ligne de commande java. Cela vous permet d'ajouter des paramètres ou d'écraser ceux par défaut (car les paramètres sont traités de gauche à droite, et les derniers définis prennent le dessus sur les précédents).
Par exemple, Squash TM exécute : java -Xms128m -Xmx2048m $SQUASH_JAVA_ARGS. Donc, si vous définissez $SQUASH_JAVA_ARGS à -Xmx4096m, la commande deviendra : java -Xms128m -Xmx2048m -Xmx4096m. La JVM sera alors lancée avec une mémoire maximale Xmx fixée à 4 Go.

Mémoire nécessaire

Assurez-vous que le serveur sur lequel l'application est installée dispose de suffisamment de RAM pour gérer toute la mémoire nécessaire pour :

  • la taille du tas (-Xms, -Xmx)
  • l'espace métadonnées (-XX:MetaspaceSize, -XX:MaxMetaspaceSize)
  • la pile de chaque thread (-Xss)
  • le cache de code (-XX:ReservedCodeCacheSize)
  • autres (arena, byte buffers…)

Le serveur doit avoir plus de mémoire que -Xmx + -XX:MaxMetaspaceSize + -XX:ReservedCodeCacheSize + 128 Mo.
Voir la documentation de Java pour plus d'information.

Fichier de configuration de Squash TM

Ce paragraphe décrit les paramètres de configuration disponibles dans le fichier de configuration (conf/squash.tm.cfg.properties) de Squash TM.

Attention

Une fois les modifications effectuées et le fichier squash.tm.cfg.properties (ou le fichier de configuration auxiliaire) sauvegardé, vous devez redémarrer Squash TM pour qu'elles soient prises en compte.

Autres méthodes de configuration

Squash TM utilise Spring Boot qui fournit de nombreux mécanismes, autres que la modification du fichier squash.tm.cfg.properties, pour définir les valeurs des paramètres de configuration : variables d'environnement, JSON intégré dans SPRING_APPLICATION_JSON… Consultez la documentation de Spring Boot pour obtenir la liste exhaustive des façons de définir ces valeurs.
Par exemple, si vous souhaitez démarrer Squash TM dans Docker en définissant squashtm.stack.trace.control.panel.visible à true, vous pouvez utiliser :

docker run --name='squash-tm' --env SQUASHTM_STACK_TRACE_CONTROL_PANEL_VISIBLE=true -it -p 8090:8080 squashtest/squash:9.0.0

Gestion de la configuration

Paramètre Description Valeur par défaut Remarques
spring.profiles.include Permet de diviser la configuration en plusieurs fichiers - depuis Squash TM 1.18.0
Liste d'identifiants séparés par des virgules.
Les fichiers de configuration auxiliaires doivent être nommés soit squash.tm.cfg-<ident>.properties soit application-<ident>.properties.

Tomcat

Paramètre Description Valeur par défaut Remarques
server.port Définit le port d'accès du serveur 8080 Veuillez noter que le système ne vérifiera pas si le port choisi est disponible. Assurez-vous donc que c'est le cas en contactant l'administrateur système.
server.servlet.session.timeout Définit le délai d'expiration de la session 3600 (secondes) -
server.tomcat.accesslog.enabled Active les logs d'accès Tomcat false true ou false
server.tomcat.basedir Définit le répertoire de base pour Tomcat ${squash.path.root}/tomcat-work -
server.tomcat.use-relative-redirects Assure que les redirections internes utilisent le protocole HTTPS dans les environnements HTTPS true true ou false
server.servlet.context-path Context path de Squash TM /squash Définir server.servlet.context-path=/foo obligera les utilisateurs à se connecter via l'URL <squash-base-url>/foo

Lorsque le port 80 est bloqué pour des raisons de sécurité, il est nécessaire de définir server.tomcat.use-relative-redirects à true pour que les redirections internes soient systématiquement effectuées via le port 443.

Chemins de Squash TM

Paramètre Description Valeur par défaut Remarques
spring.config.location Définit l'emplacement de la configuration ../conf -
squash.path.root Définit le chemin racine pour Squash TM ${spring.config.location}/.. -
squash.path.bundles-path Définit le chemin pour les bundles ${squash.path.root}/bundles -
squash.path.plugins-path Définit le chemin pour les plugins ${squash.path.root}/plugins -
squash.path.languages-path Définit le chemin pour les fichiers de langue ${spring.config.location}/lang -
squash.path.local-git-repositories-folder Définit le chemin pour les clones locaux de dépôts Git ${squash.path.root}/git-repositories depuis Squash TM 8.0.0
Voir cette page.
squash.project-imports.folder-path Définit le chemin pour les fichiers en file d'attente et les logs des imports ${squash.path.root}/imports depuis Squash TM 8.0.0
Voir cette page pour les imports Xray.
squash.report-custom-template.folder-path Définit le chemin pour les templates personnalisés des rapports ${spring.config.location}/report.custom.templates depuis Squash TM 9.0.0
Voir cette page pour les templates des rapports.

Sécurité

Paramètre Description Valeur par défaut Remarques
squash.security.basic.token-charset Définit l'encodage pour les points de terminaison sécurisés par authentification de base - depuis Squash TM 1.16.1
Par exemple :
UTF-8, ISO-8859-1
squash.crypto.secret Définit la clé de chiffrement pour les identifiants des outils tiers - depuis Squash TM 1.17.0
Les identifiants et mots de passe saisis pour la connexion aux outils tiers sont chiffrés dans la base de données en utilisant cette clé de chiffrement.
L'application est livrée avec une clé de chiffrement par défaut, celle-ci doit être immédiatement changée.
Doit faire au minimum 12 caractères, mais préférablement 16+ caractères pour une sécurité renforcée. Les espaces et tabulations ne sont pas autorisées.
Par exemple :
jN9$mK5vP#xR2hL8nQ4&
Changer cette clé ultérieurement rendra inutilisables les identifiants précédemment stockés.
squash.rest-api.disallow-basic-authentication Interdit l'authentification de base pour l'API REST true depuis Squash TM 7.1.0
squash.rest-api.jwt.secret Définit le secret utilisé pour chiffrer les jetons pour les appels API REST - depuis Squash TM 7.1.0
Doit être d'au moins 512 bits et encodé en base64 (au moins 86 caractères).
Par exemple :
Ym9uam91cmplc3Vpc2RldmVsb3BwZXVzZXN1cnNxdWFzaHRtZXRub3Vzc29tbWVzZW5sYW5uZWUyMDI0ISEhIS

Dépréciation de l'authentification de base

Depuis Squash TM 10.1.0, la propriété squash.rest-api.disallow-basic-authentication est définie à true par défaut (auparavant, elle était à false par défaut).
À partir de mi-2026, l'authentification de base (login/mot de passe) pour les appels API ne sera plus possible, l'authentification devra se faire par jeton.

Connexion à la base de données

Paramètre Description Valeur par défaut Remarques
spring.profiles.active Définit le type de moteur de base de données h2 depuis Squash TM 10.1.0
Valeurs possibles : h2, postgresql ou mariadb.
À noter que le support de H2 sera prochainement abandonné.
spring.datasource.password Définit le mot de passe sa depuis Squash TM 10.1.0
spring.datasource.username Définit le nom d'utilisateur sa depuis Squash TM 10.1.0
spring.datasource.url Définit l'URL de connexion jdbc:h2:${squash.path.root}/data/squash-tm;NON_KEYWORDS=ROW,VALUE depuis Squash TM 10.1.0
spring.datasource.hikari.maximumPoolSize Configure la taille du pool de connexions 20 Référez-vous à la documentation HikariCP pour plus de détails.

Fichiers de configuration auxiliaires

Squash TM est livré avec deux fichiers de configuration auxiliaires, squash.tm.cfg-mariadb.properties et squash.tm.cfg-postgresql.properties, que vous pouvez utiliser de la façon suivante :

  • Si vous utilisez PostgreSQL :
    • mettre postgresql comme valeur de spring.profiles.include dans le fichier squash.tm.cfg.properties ;
    • indiquer les valeurs des paramètres de la table précédente dans le fichier squash.tm.cfg-postgresql.properties.
  • Si vous utilisez MariaDB :
    • mettre mariadb comme valeur de spring.profiles.include dans le fichier squash.tm.cfg.properties ;
    • indiquer les valeurs des paramètres de la table précédente dans le fichier squash.tm.cfg-mariadb.properties.

Vous pouvez également ne pas utiliser ces fichiers auxiliaires et indiquer les valeurs des paramètres de la table précédente directement dans le fichier squash.tm.cfg.properties.

Mise à jour de la base de données

Paramètre Description Valeur par défaut Remarques
squash.db.update-mode Active/désactive la mise à jour automatique de la base de données interactive depuis Squash TM 9.0.0
Voir cette page pour les valeurs possibles.

Fonctionnalités d'administration

Paramètre Description Valeur par défaut Remarques
squashtm.feature.file.repository Active/désactive l'externalisation des pièces jointes false true ou false
Lisez la documentation avant d'activer.
squashtm.stack.trace.control.panel.visible Affiche/cache la configuration de l'affichage de la trace d'erreur false true ou false
Si true, le panneau de configuration pour activer/désactiver les détails d'erreur est visible dans la page 'Paramètres système'.

Rapports

Paramètre Description Valeur par défaut Remarques
report.criteria.project.multiselect Active/désactive les sélections multiples dans les sélecteurs de projets false -

Connexion aux bugtrackers

Paramètre Description Valeur par défaut Remarques
squashtm.bugtracker.timeout Définit le délai d'attente pour les tentatives du serveur d'atteindre un bugtracker 15 (secondes) -
squash.bugtracker.cache-update-delay Définit le délai entre les mises à jour du cache du connecteur du bugtracker 86400 (secondes) depuis Squash TM 7.3.0
squash.bugtracker.cache-update-cron Définit une expression Cron pour la mise à jour du cache des connecteurs du bugtracker. Si définie, elle remplacera le délai. - depuis Squash TM 9.0.0
Exemple : "0 0 0 * * *" mettra à jour le cache tous les jours à minuit.
Pour plus d'informations sur les expressions Cron Spring, consultez la documentation Spring CronExpression.
squash.bugtracker.cache-worker-pool-size Définit le nombre de workers dédiés à la mise à jour du cache des connecteurs du bugtracker. 5 depuis Squash TM 9.0.0
squash.bugtracker.max-results-per-search Définit le nombre maximum de résultats renvoyés pour les recherches par autocomplétion sur les issues. 50 (résultats) depuis Squash TM 9.0.0
La valeur maximale est 100.
La valeur minimale est 5.
Il est recommandé d'abaisser cette valeur si les projets GitLab utilisés contiennent un grand nombre d'issues.

Bugzilla

Paramètre Description Valeur par défaut Remarques
plugin.bugtracker.bugzilla.cache.enable Active/désactive la fonctionnalité de cache des champs Bugzilla false true ou false
Utilisez cette fonctionnalité si la récupération des champs prend beaucoup de temps.
Si true, tous les champs des serveurs Bugzilla seront mis en cache en mémoire une fois récupérés.
plugin.bugtracker.bugzilla.cache-at-start.bugtracker-urls Définit les URLs des gestionnaires de bugs qui doivent initialiser le cache des champs au démarrage de Squash TM - Utilisez une liste séparée par des virgules
plugin.bugtracker.bugzilla.cache-refresh.cron-expression Définit l'expression Cron qui détermine quand effectuer un rafraîchissement du cache des champs Bugzilla - Pour plus d'informations sur les expressions Cron Spring, consultez la documentation Spring CronExpression.

Import Excel

Paramètre Description Valeur par défaut Remarques
squash.xls-imports.max-concurrent-imports Définit le nombre maximum d'imports simultanés - depuis Squash TM 7.4.0
Squash TM refusera d'effectuer un import Excel si cette limite est atteinte.
Cette limite est utilisée pour éviter de surcharger Squash TM ; sa valeur dépend du CPU et de la RAM du serveur.
L'absence de valeur signifie qu'il n'y a pas de limite, c'est la configuration par défaut.
squash.xls-imports.max-test-cases-per-import Définit le nombre maximum de cas de test dans un fichier d'import - depuis Squash TM 7.4.0
Squash TM refusera d'effectuer un import Excel si cette limite est atteinte.
Cette limite est utilisée pour éviter de surcharger Squash TM ; sa valeur dépend du CPU et de la RAM du serveur.
L'absence de valeur signifie qu'il n'y a pas de limite, c'est la configuration par défaut.
squash.xls-imports.max-test-steps-per-import Définit le nombre maximum de pas de test dans un fichier d'import - depuis Squash TM 7.4.0
Squash TM refusera d'effectuer un import Excel si cette limite est atteinte.
Cette limite est utilisée pour éviter de surcharger Squash TM ; sa valeur dépend du CPU et de la RAM du serveur.
L'absence de valeur signifie qu'il n'y a pas de limite, c'est la configuration par défaut.
squash.xls-imports.max-requirements-per-import Définit le nombre maximum d'exigences dans un fichier d'import - depuis Squash TM 8.0.0
Squash TM refusera d'effectuer un import Excel si cette limite est atteinte.
Cette limite est utilisée pour éviter de surcharger Squash TM ; sa valeur dépend du CPU et de la RAM du serveur.
L'absence de valeur signifie qu'il n'y a pas de limite, c'est la configuration par défaut.

Import de projet

Actuellement, seul l'import de projets Xray est disponible.

Paramètre Description Valeur par défaut Remarques
squash.project-imports.delay Définit le délai entre deux processus d'import 3600 (secondes) depuis Squash TM 8.0.0

Synchronisations Jira et GitLab

Paramètre Description Valeur par défaut Remarques
squash.external.synchronisation.enabled Active/désactive le traitement planifié de toutes les synchronisations true depuis Squash TM 7.0.0
true ou false
squash.external.synchronisation.delay Définit le délai entre deux synchronisations 300 (secondes) -
squash.external.synchronisation.max-items-per-sync Définit le nombre maximum d'éléments dans le champ d'application lors de la création d'une nouvelle synchronisation - depuis Squash TM 8.0.0

squash.external.synchronisation.enabled active ou désactive le processus planifié pour toutes les synchronisations.
Cette propriété n'affecte pas l'attribut activée des synchronisations.
Passer cette propriété à false peut être utile dans des situations telles que :

  • Vous n'utilisez pas de synchronisations ;
  • L'instance est un Squash TM de pré-production ayant une copie de la base de données de production et vous devez éviter que les synchronisations enregistrées dans la base de données ne s'exécutent sur cette instance pour ne pas polluer vos tickets Jira/GitLab ;
  • Vous utilisez une autre instance de Squash TM pour gérer les synchronisations.

squash.external.synchronisation.delay définit le délai entre deux mises à jour, exprimé en secondes. Si cette propriété est manquante ou incorrecte, le délai par défaut est fixé à cinq minutes (300 secondes) et un avertissement apparaît dans les logs de Squash TM au démarrage de l'application. Plus le délai est court, plus Squash TM consomme de ressources. Pour la plupart des utilisations courantes, un délai entre 5 et 15 minutes est suffisant.

Jira

Paramètre Description Valeur par défaut Remarques
plugin.synchronisation.jira.batchSize Définit la taille du batch pour les requêtes API REST de Jira 50 -

Le plugin Xsquash4Jira a une propriété, plugin.synchronisation.jira.batchSize, définissant la taille du batch pour mettre à jour les informations de Jira.
La valeur par défaut est 50, qui doit être inférieure ou égale à la valeur jira.search.views.default.max définie dans le fichier de propriétés jira-config.properties. Cette valeur par défaut fonctionne bien avec Data Center et Cloud, si aucune modification de configuration n'a été apportée à l'instance Jira.

GitLab

Paramètre Description Valeur par défaut Remarques
plugin.synchronisation.gitlab.webhook.secret-token Définit le jeton secret optionnel utilisé pour valider les webhooks GitLab - Voir plus de détails ici.
plugin.synchronisation.gitlab.webhook.show-secret-token Affiche/masque le jeton secret sur l'écran d'administration du plugin true true ou false
Voir plus de détails ici.

TM-TA

Paramètre Description Valeur par défaut Remarques
tm.test.automation.pollinterval.millis Définit l'intervalle de polling pour l'automatisation des tests 3000 (millisecondes) -

LDAP et Active Directory

Consultez cette page pour plus d'informations.

LDAP unique

Utilisez ces paramètres pour configurer l'authentification avec un seul serveur LDAP.

Paramètre Description Valeur par défaut Remarques
authentication.provider Définit le fournisseur d'authentification - ldap ou ldap,internal pour multi-sources (c-à-d internal signifie que les utilisateurs peuvent également utiliser leur compte local Squash TM)
authentication.ldap.server.url Définit l'URL du serveur LDAP - Par exemple :
ldap://localhost:389
authentication.ldap.server.managerDn Définit le user DN du manager (si l'accès anonyme n'est pas autorisé) - Par exemple :
CN=admin,CN=Users,DC=example,DC=com
authentication.ldap.server.managerPassword Définit le mot de passe du manager (si l'accès anonyme n'est pas autorisé) - Par exemple :
quelquechose
authentication.ldap.user.searchBase Définit la base de recherche DN - Par exemple :
DC=example,DC=com
authentication.ldap.user.searchFilter Définit le filtre de recherche - Par exemple :
(uid={0})
authentication.ldap.user.fetchAttributes Définit s'il faut récupérer les attributs de l'utilisateur true true ou false
authentication.ldap.user.dnPatterns Définit les modèles de DN de base pour la recherche d'utilisateurs - Par exemple :
uid={0},ou=people

Multi-LDAP

Utilisez ces paramètres pour configurer l'authentification avec plusieurs serveurs LDAP.

Paramètre Description Valeur par défaut Remarques
authentication.provider Définit le fournisseur d'authentification - ldap-multi ou ldap-multi,internal pour multi-sources (c-à-d internal signifie que les utilisateurs peuvent également utiliser leur compte local Squash TM)
authentication.ldap.multi.root.names Définit les noms des multiples serveurs LDAP - Par exemple :
ldap1,ldap2

Pour chaque serveur LDAP (ex. ldap1, ldap2), utilisez les propriétés suivantes, préfixées par le nom du serveur :

Paramètre Description Valeur par défaut Remarques
[nom].authentication.ldap.server.url Définit l'URL du serveur LDAP - Par exemple :
ldap://localhost:389
[nom].authentication.ldap.server.managerDn Définit le user DN du manager (si l'accès anonyme n'est pas autorisé) - Par exemple :
CN=admin,CN=Users,DC=example,DC=com
[nom].authentication.ldap.server.managerPassword Définit le mot de passe du manager (si l'accès anonyme n'est pas autorisé) - Par exemple :
quelquechose
[nom].authentication.ldap.user.searchBase Définit la base de recherche DN - Par exemple :
DC=example,DC=com
[nom].authentication.ldap.user.searchFilter Définit le filtre de recherche - Par exemple :
(uid={0})
[nom].authentication.ldap.user.fetchAttributes Définit s'il faut récupérer les attributs de l'utilisateur - Par exemple :
false
[nom].authentication.ldap.user.dnPatterns Définit les modèles de DN de base pour la recherche d'utilisateurs - Par exemple :
uid={0},ou=people

Active Directory unique

Utilisez ces paramètres pour configurer l'authentification avec un seul serveur Active Directory.

Paramètre Description Valeur par défaut Remarques
authentication.provider Définit le fournisseur d'authentification - ad.ldap ou ad.ldap,internal pour multi-sources (c-à-d internal signifie que les utilisateurs peuvent également utiliser leur compte local Squash TM)
authentication.ad.server.url Définit l'URL du serveur AD - Par exemple :
ldap://localhost:389
authentication.ad.server.domain Définit le domaine du serveur AD - Par exemple :
ad.squashtest.org
authentication.ad.server.managerDn Définit le user DN du manager - Par exemple :
admin
authentication.ad.server.managerPassword Définit le mot de passe du manager - Par exemple :
quelquechose
authentication.ad.user.searchBase Définit la base de recherche - -
authentication.ad.user.searchFilter Définit le filtre de recherche - Par exemple :
(&(objectClass=user)(userPrincipalName={0}))

Multi-Active Directory

Utilisez ces paramètres pour configurer l'authentification avec plusieurs serveurs Active Directory.

Paramètre Description Valeur par défaut Remarques
authentication.provider Définit le fournisseur d'authentification - ad.ldap-multi ou ad.ldap-multi,internal pour multi-sources (c-à-d internal signifie que les utilisateurs peuvent également utiliser leur compte local Squash TM)
authentication.ad.multi.root.names Définit les noms des multiples serveurs AD - Par exemple :
ad1,ad2

Pour chaque serveur AD (ex. ad1, ad2), utilisez les propriétés suivantes, préfixées par le nom du serveur :

Paramètre Description Valeur par défaut Remarques
[nom].authentication.ad.server.url Définit l'URL du serveur AD - Par exemple :
ldap://localhost:389
[nom].authentication.ad.server.domain Définit le domaine du serveur AD - Par exemple :
ad.squashtest.org
[nom].authentication.ad.server.managerDn Définit le user DN du manager - Par exemple :
admin
[nom].authentication.ad.server.managerPassword Définit le mot de passe du manager - Par exemple :
quelquechose
[nom].authentication.ad.user.searchBase Définit la base de recherche - -
[nom].authentication.ad.user.searchFilter Définit le filtre de recherche - Par exemple :
(&(objectClass=user)(userPrincipalName={0}))

SAML

Consultez cette page pour plus d'informations.

Propriété Description Valeur par défaut Remarques
Configuration principale
saml.enabled Active/désactive SAML false true ou false
authentication.provider Définit le fournisseur d'authentification - saml ou saml,internal pour une source multiple (c-à-d internal signifie que les utilisateurs peuvent également utiliser leur compte Squash TM local)
saml.idp.metadata-url Définit l'URL ou le chemin où les métadonnées de l'IDP peuvent être trouvées - Formats autorisés :
- file://chemin/absolu/vers/fichier : récupère un fichier localement par son chemin absolu
- http:// ou https://metadata.hote-distant/chemin/vers/fichier : téléchargement distant des métadonnées via HTTP(S)
- chemin/relatif/vers/fichier : un chemin relatif au répertoire de configuration de Squash TM (par exemple saml/idp.xml)
saml.sp.registration-id Identifiant unique utilisé pour enregistrer votre fournisseur de services (SP) dans la configuration SAML du plugin. - Par exemple : google.
saml.sp.entity-id Identifiant unique de l'instance Squash. Cette valeur doit être unique au sein de votre écosystème d'authentification et sera communiquée au fournisseur d'identité (IdP). - Par exemple : urn:squash-tm:saml ou https://squash-tm.votre-entreprise.com/saml.
saml.sp.metadata.private-key Clé privée au format PKCS8 utilisée par le fournisseur de services (SP) pour signer les requêtes et déchiffrer les messages. - Format PKCS8 obligatoire.
saml.sp.metadata.certificate Certificat X.509 du fournisseur de services (SP) utilisé pour la validation des signatures et le chiffrement. - -
Point d'entrée
squash.security.preferred-auth-url Définit le point d'entrée d'authentification SAML comme point d'entrée principal /auth/saml/login/{registration-id} Les utilisateurs non authentifiés seront automatiquement redirigés vers le point d'entrée SAML au lieu du formulaire de connexion habituel.
Options SSO
saml.sso.force-authN Active/désactive la réauthentification forcée false true ou false
Si activé, l'utilisateur devra se réauthentifier auprès de l'IDP chaque fois qu'il voudra s'authentifier auprès de Squash TM. Cela désactive effectivement le mécanisme SSO.
saml.sso.provider-name Définit un nom lisible par l'humain qui sera inclus dans les messages envoyés à l'IDP, utile à des fins de journalisation (vide) -
saml.sso.binding Définit quelle liaison Squash TM utilise pour initier le SSO avec l'IDP Première méthode de liaison listée dans la clause <SingleSignOnService/> des métadonnées de l'IDP Pour plus d'informations, voir ce document.
Par exemple :
urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST, urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect
saml.sso.assertion-consumer-index Requiert que l'IDP envoie ses réponses au service consommateur donné. Le service consommateur par défaut dans les métadonnées SP Un entier positif ou nul, ou vide
La liste des services consommateurs disponibles peut être trouvée dans les clauses <AssertionConsumerService/> dans les métadonnées SP.
saml.sso.nameID Requiert que l'IDP renvoie le principal avec un NameIDFormat donné, qui est essentiellement le nom d'utilisateur de l'utilisateur dans Squash Si vide, l'IDP en choisira un parmi ceux listés dans les métadonnées SP Par exemple :
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress, urn:oasis:names:tc:SAML:2.0:nameid-format:transient
saml.sso.allow-create Notifie l'IDP que la création de nouveaux utilisateurs est autorisée lorsqu'ils sont inconnus false true ou false
saml.sso.passive Si activé, Squash TM informera l'IDP qu'il ne considère pas l'interaction de l'utilisateur nécessaire pour l'authentification - true ou false
saml.sso.include-scoping Si activé, Squash ajoutera des contraintes de portée supplémentaires lorsqu'un utilisateur s'authentifie false true ou false
saml.sso.allowed-idps Définit, dans une architecture IDP multicouche, quels IDP sont autorisés à traiter les demandes d'authentification. - Une liste d'IDP séparés par des virgules
Remarque : le scoping doit être activé.
saml.sso.proxy-count Définit le nombre maximum de sauts de proxy autorisés pour les messages d'authentification 2 Un entier positif ou nul
Dans ce contexte, un proxy est un IDP au sein d'une chaîne d'IDP qui peut déléguer l'un à l'autre. Une valeur de 0 interdit l'utilisation de proxies et l'IDP qui reçoit la demande d'authentification ne peut pas déléguer et doit authentifier l'utilisateur lui-même.
Remarque : le scoping doit être activé.
saml.sso.authn-contexts Définit les contextes d'authentification qui doivent être honorés par l'IDP lorsqu'il authentifie l'utilisateur (vide, c-à-d pas d'exigences spécifiques) Une liste séparée par des virgules
Utile lorsque le défi d'authentification IDP par défaut n'est pas jugé assez sûr et que Squash TM demande des garanties d'un processus plus strict.
Par exemple :
urn:oasis:names:tc:SAML:2.0:ac:classes:SmartcardPKI, urn:oasis:names:tc:SAML:2.0:ac:classes:MobileTwoFactorContract
Remarque : le scoping doit être activé.
Pour plus d'informations, voir ce document.
saml.sso.authn-context-comparison Indique à l'IDP comment il doit traiter les identifiants présentés par l'utilisateur lors de l'authentification exact exact, minimum, maximum, ou better
Remarque : le scoping doit être activé.
Pour plus d'informations, voir ce document.
saml.sso.relay-state Définit un jeton arbitraire à envoyer d'avant en arrière à l'IDP (vide) Fait partie de la spécification SAML mais Squash TM n'a pas de cas d'utilisation pour cela.
Options des métadonnées SP
name-id-format Définit le format du NameID utilisé pour identifier l'utilisateur dans la requête d'authentification SAML. vide Exemples : urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress, urn:oasis:names:tc:SAML:2.0:nameid-format:transient
authn-requests-signed Indique si les requêtes d'authentification SAML envoyées par le SP doivent être signées. false true ou false
single-logout-service-binding Définit le type de binding (protocole de transport) utilisé par le SP pour communiquer avec le Single Logout Service de l'IdP. urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST ou urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect
saml.sp.metadata.trusted-keys Définit quelles clés doivent être considérées comme des ancres de confiance pour la vérification PKIX du fichier de métadonnées SP all all (toutes les clés du keystore seront considérées comme fiables), vide (équivalent à all), none (aucune des clés du keystore ne sera considérée comme fiable), ou une liste de clés séparées par des virgules (les clés doivent exister dans le keystore).
Options de session SP
saml.session.max-assertion-time Définit l'intervalle de validité d'une assertion d'authentification pendant le processus SSO 3000 (secondes) Si le processus n'est pas terminé dans ce délai, le processus a échoué et le SSO doit être réinitialisé à partir de zéro. Notez que la valeur par défaut est suffisamment grande pour la plupart des situations.
saml.session.max-auth-time Définit l'intervalle de validité d'une authentification IDP 864000 (secondes, soit 10 jours) À l'expiration, Squash TM considérera que l'utilisateur doit se réauthentifier auprès de l'IDP.
saml.session.clock-skew Définit en secondes la tolérance maximale acceptée pour les décalages d'horloge entre le fournisseur de services (SP) et le fournisseur d'identité (IdP) 300 (secondes) À l'expiration, Squash TM considérera les assertions SAML comme expirées, même si un léger écart d'horloge subsistait entre les systèmes
Options de proxy inverse / répartiteur de charge
saml.proxy.enabled Active/désactive le support du proxy inverse false true ou false
saml.proxy.server-name Déclare le nom d'hôte du proxy inverse - Ceci doit être défini si le support du proxy est activé, car il n'a pas de valeur par défaut.
saml.proxy.scheme Déclare le schéma utilisé par le proxy inverse pour les communications sortantes https http ou https
saml.proxy.server-port Déclare le port utilisé par le proxy inverse pour les communications sortantes 443 Un numéro de port valide
saml.proxy.context-path Déclare le chemin de contexte de l'application tel que servi par le proxy inverse /squash Un chemin de contexte, commençant par une barre oblique /
saml.proxy.include-port-in-url Indique si le numéro de port doit être explicitement inclus dans l'URL de la requête true true ou false
Attributs supplémentaires de l'assertion L'assertion retournée par l'IDP peut contenir des attributs supplémentaires sur le compte utilisateur que vous souhaitez peut-être utiliser dans Squash TM.
Les propriétés suivantes vous permettent de mapper certains de ces attributs au compte utilisateur de Squash TM.
Leur valeur par défaut est null (aucun mapping défini pour cet attribut). C'est différent d'une valeur vide, c-à-d que si vous n'en avez pas besoin, laissez-les en commentaire.
saml.user-mapping.alternate-username Définit une valeur d'attribut supplémentaire comme nom d'utilisateur dans Squash TM (au lieu du NameID nominal) - Un nom de propriété
saml.user-mapping.first-name Définit une valeur d'attribut supplémentaire comme prénom d'un compte utilisateur dans Squash TM - Un nom de propriété
saml.user-mapping.last-name Définit une valeur d'attribut supplémentaire comme nom de famille d'un compte utilisateur dans Squash TM - Un nom de propriété
saml.user-mapping.email Définit une valeur d'attribut supplémentaire comme email d'un compte utilisateur dans Squash TM - Un nom de propriété

OpenId Connect

Consultez cette page pour plus d'informations.
<idp-name> doit être remplacé par le nom de l'IDP en minuscules.

Paramètre Description Valeur par défaut Remarques
Configuration principale
oidc.access.whitelist Restreint l'accès en fonction du domaine de l'email de l'utilisateur - Une liste de domaines séparés par des virgules
Par défaut, l'accès à Squash TM et la restriction des utilisateurs doivent être configurés directement dans l'IDP.
Cette propriété gère la restriction d'accès du côté de Squash TM au cas où l'IDP n'offrirait pas cette possibilité.
Elle vérifie que le domaine de l'email de l'utilisateur qui se connecte correspond à une ou plusieurs des valeurs de domaine indiquées via cette propriété.
Si cette propriété est laissée vide, aucune restriction ne sera appliquée.
Par exemple :
@company-name.com,@domain.fr
preferred-auth-url Définit le point d'entrée principal pour les requêtes d'utilisateurs non authentifiés /login (c-à-d la page de connexion pour l'authentification de base par formulaire) Cette propriété gère le comportement de Squash TM en termes de requêtes d'utilisateurs non authentifiés.
Elle définit l'URL vers laquelle l'utilisateur sera redirigé pour la connexion, en d'autres termes, elle définit le point d'entrée principal.
Si la valeur définie correspond au modèle /oidc/authorization/<idp-name>, la connexion sera redirigée vers la page de connexion de l'IDP spécifié ou connectée directement s'ils sont déjà connectés à leur IDP.
Note : il s'agit d'une propriété générique de Squash TM et elle n'est pas exclusive à OpenId Connect.
Options du fournisseur IDP Les options ci-dessous vous permettent de déclarer un nouvel IDP personnalisé à utiliser avec Squash. Pour certains fournisseurs (Google, Facebook, GitHub, Okta…), certaines de ces propriétés sont préconfigurées et peuvent être omises.
Les valeurs de configuration OpenID Connect pour un IDP sont souvent accessibles depuis le point de terminaison de configuration bien connu du fournisseur : <issuer-uri>/.well-known/openid-configuration
spring.security.oauth2.client.provider.<idp-name>.user-name-attribute Spécifie quel attribut utiliser comme nom d'utilisateur dans Squash TM - -
spring.security.oauth2.client.provider.<idp-name>.issuer-uri Spécifie l'URL de l'identifiant de l'émetteur - -
spring.security.oauth2.client.provider.<idp-name>.authorization-uri Spécifie le point de terminaison de l'IDP pour démarrer la demande d'autorisation - -
spring.security.oauth2.client.provider.<idp-name>.token-uri Spécifie le point de terminaison pour récupérer les jetons d'accès - -
spring.security.oauth2.client.provider.<idp-name>.user-info-uri Spécifie le point de terminaison pour récupérer les données utilisateur - -
spring.security.oauth2.client.provider.<idp-name>.jwk-set-uri Spécifie l'URI pour récupérer la clé publique du fournisseur d'authentification - Ceci est utilisé pour vérifier les jetons JWT.
Options du client IDP
spring.security.oauth2.client.registration.<idp-name>.client-id Spécifie l'identifiant du client OAuth2 - Fourni par l'IDP lors de l'enregistrement de votre instance Squash TM.
spring.security.oauth2.client.registration.<idp-name>.client-secret Spécifie le secret du client OAuth2 - Fourni par l'IDP lors de l'enregistrement de votre instance Squash TM.
spring.security.oauth2.client.registration.<idp-name>.authorization-grant-type Spécifie le type d'autorisation OAuth2 - Squash TM prend en charge authorization_code.
spring.security.oauth2.client.registration.<idp-name>.redirect-uri Spécifie l'URL à laquelle la réponse d'authentification sera envoyée - Doit matcher le pattern /oidc/code/*
Il s'agit de l'URI de redirection configurée dans l'IDP.
spring.security.oauth2.client.registration.<idp-name>.scope Définit les informations que l'IDP fournira sur l'utilisateur - Les scopes disponibles peuvent varier d'un IDP à l'autre. OpenId Connect nécessite le scope openid, mais des scopes supplémentaires peuvent être spécifiés.
spring.security.oauth2.client.registration.<idp-name>.client-name Spécifie le nom du client IDP - -