Configuration générale de SquashTM
Variables d'environnement Java
Le contenu de la variable SQUASH_JAVA_ARGS est ajouté à la fin de la ligne de commande java. Cela vous permet d'ajouter des paramètres ou d'écraser ceux par défaut (car les paramètres sont traités de gauche à droite, et les derniers définis prennent le dessus sur les précédents).
Par exemple, SquashTM exécute : java -Xms128m -Xmx2048m $SQUASH_JAVA_ARGS. Donc, si vous définissez $SQUASH_JAVA_ARGS à -Xmx4096m, la commande deviendra : java -Xms128m -Xmx2048m -Xmx4096m. La JVM sera alors lancée avec une mémoire maximale Xmx fixée à 4 Go.
Mémoire nécessaire
Assurez-vous que le serveur sur lequel l'application est installée dispose de suffisamment de RAM pour gérer toute la mémoire nécessaire pour :
- la taille du tas (
-Xms,-Xmx) - l'espace métadonnées (
-XX:MetaspaceSize,-XX:MaxMetaspaceSize) - la pile de chaque thread (
-Xss) - le cache de code (
-XX:ReservedCodeCacheSize) - autres (arena, byte buffers…)
Le serveur doit avoir plus de mémoire que -Xmx + -XX:MaxMetaspaceSize + -XX:ReservedCodeCacheSize + 128 Mo.
Voir la documentation de Java pour plus d'information.
Fichier de configuration de SquashTM
Ce paragraphe décrit les paramètres de configuration disponibles dans le fichier de configuration (conf/squash.tm.cfg.properties) de SquashTM.
Attention
Une fois les modifications effectuées et le fichier squash.tm.cfg.properties (ou le fichier de configuration auxiliaire) sauvegardé, vous devez redémarrer SquashTM pour qu'elles soient prises en compte.
Autres méthodes de configuration
SquashTM utilise Spring Boot qui fournit de nombreux mécanismes, autres que la modification du fichier squash.tm.cfg.properties, pour définir les valeurs des paramètres de configuration : variables d'environnement, JSON intégré dans SPRING_APPLICATION_JSON… Consultez la documentation de Spring Boot pour obtenir la liste exhaustive des façons de définir ces valeurs.
Par exemple, si vous souhaitez démarrer SquashTM dans Docker en définissant squashtm.stack.trace.control.panel.visible à true, vous pouvez utiliser :
docker run --name='squash-tm' --env SQUASHTM_STACK_TRACE_CONTROL_PANEL_VISIBLE=true -it -p 8090:8080 squashtest/squash:13.0.0
Gestion de la configuration
| Paramètre | Description | Valeur par défaut | Remarques |
|---|---|---|---|
spring.profiles.include | Permet de diviser la configuration en plusieurs fichiers | - | depuis Squash TM 1.18.0 Liste d'identifiants séparés par des virgules. Les fichiers de configuration auxiliaires doivent être nommés soit squash.tm.cfg-<ident>.properties soit application-<ident>.properties. |
Tomcat
| Paramètre | Description | Valeur par défaut | Remarques |
|---|---|---|---|
server.port | Définit le port d'accès du serveur | 8080 | Veuillez noter que le système ne vérifiera pas si le port choisi est disponible. Assurez-vous donc que c'est le cas en contactant l'administrateur système. |
server.servlet.session.timeout | Définit le délai d'expiration de la session | 3600 (secondes) | - |
server.tomcat.accesslog.enabled | Active les logs d'accès Tomcat | false | true ou false |
server.tomcat.basedir | Définit le répertoire de base pour Tomcat | ${squash.path.root}/tomcat-work | - |
server.tomcat.use-relative-redirects | Assure que les redirections internes utilisent le protocole HTTPS dans les environnements HTTPS | true | true ou false |
server.servlet.context-path | Context path de SquashTM | /squash | Définir server.servlet.context-path=/foo obligera les utilisateurs à se connecter via l'URL <squash-base-url>/foo. |
Lorsque le port 80 est bloqué pour des raisons de sécurité, il est nécessaire de définir server.tomcat.use-relative-redirects à true pour que les redirections internes soient systématiquement effectuées via le port 443.
Chemins de SquashTM
| Paramètre | Description | Valeur par défaut | Remarques |
|---|---|---|---|
spring.config.location | Définit l'emplacement de la configuration | ../conf | - |
squash.path.root | Définit le chemin racine pour SquashTM | ${spring.config.location}/.. | - |
squash.path.bundles-path | Définit le chemin pour les bundles | ${squash.path.root}/bundles | - |
squash.path.plugins-path | Définit le chemin pour les plugins | ${squash.path.root}/plugins | - |
squash.path.languages-path | Définit le chemin pour les fichiers de langue | ${spring.config.location}/lang | - |
squash.path.local-git-repositories-folder | Définit le chemin pour les clones locaux de dépôts Git | ${squash.path.root}/git-repositories | depuis Squash TM 8.0.0 Voir cette page. |
squash.project-imports.folder-path | Définit le chemin pour les fichiers en file d'attente et les logs des imports | ${squash.path.root}/imports | depuis Squash TM 8.0.0 Voir cette page pour les imports Xray. |
squash.report-custom-template.folder-path | Définit le chemin pour les templates personnalisés des rapports | ${spring.config.location}/report.custom.templates | depuis Squash TM 9.0.0 Voir cette page pour les templates des rapports. |
Sécurité
| Paramètre | Description | Valeur par défaut | Remarques |
|---|---|---|---|
squash.security.basic.token-charset | Définit l'encodage pour les endpoints (points de terminaison) sécurisés par authentification de base | - | depuis Squash TM 1.16.1 Par exemple : UTF-8, ISO-8859-1… |
squash.crypto.secret | Définit la clé de chiffrement pour les identifiants des outils tiers | - | depuis Squash TM 1.17.0 Les identifiants et mots de passe saisis pour la connexion aux outils tiers sont chiffrés dans la base de données en utilisant cette clé de chiffrement. L'application est livrée avec une clé de chiffrement par défaut, celle-ci doit être immédiatement changée. Doit faire au minimum 12 caractères, mais préférablement 16+ caractères pour une sécurité renforcée. Les espaces et tabulations ne sont pas autorisées. Par exemple : jN9$mK5vP#xR2hL8nQ4&Changer cette clé ultérieurement rendra inutilisables les identifiants précédemment stockés. |
squash.rest-api.disallow-basic-authentication | Interdit l'authentification de base pour l'API REST | true | depuis Squash TM 7.1.0 |
squash.rest-api.jwt.secret | Définit le secret utilisé pour chiffrer les jetons pour les appels API REST | - | depuis Squash TM 7.1.0 Doit être d'au moins 512 bits et encodé en base64 (au moins 86 caractères). Par exemple : Ym9uam91cmplc3Vpc2RldmVsb3BwZXVzZXN1cnNxdWFzaHRtZXRub3Vzc29tbWVzZW5sYW5uZWUyMDI0ISEhIS |
Dépréciation de l'authentification de base
Depuis Squash TM 10.1.0, la propriété squash.rest-api.disallow-basic-authentication est définie à true par défaut (auparavant, elle était à false par défaut).
À partir de mi-2026, l'authentification de base (login/mot de passe) pour les appels API ne sera plus possible, l'authentification devra se faire par jeton.
Connexion à la base de données
| Paramètre | Description | Valeur par défaut | Remarques |
|---|---|---|---|
spring.profiles.active | Définit le type de moteur de base de données | - | depuis Squash TM 10.1.0 Valeurs possibles : postgresql ou mariadb. |
spring.datasource.password | Définit le mot de passe | - | depuis Squash TM 10.1.0 |
spring.datasource.username | Définit le nom d'utilisateur | - | depuis Squash TM 10.1.0 |
spring.datasource.url | Définit l'URL de connexion | - | depuis Squash TM 10.1.0 |
spring.datasource.hikari.maximumPoolSize | Configure la taille du pool de connexions | 20 | Référez-vous à la documentation HikariCP pour plus de détails. |
Fichiers de configuration auxiliaires
SquashTM est livré avec deux fichiers de configuration auxiliaires, squash.tm.cfg-mariadb.properties et squash.tm.cfg-postgresql.properties, que vous pouvez utiliser de la façon suivante :
- Si vous utilisez PostgreSQL :
- mettre
postgresqlcomme valeur despring.profiles.includedans le fichiersquash.tm.cfg.properties; - indiquer les valeurs des paramètres de la table précédente dans le fichier
squash.tm.cfg-postgresql.properties.
- mettre
- Si vous utilisez MariaDB :
- mettre
mariadbcomme valeur despring.profiles.includedans le fichiersquash.tm.cfg.properties; - indiquer les valeurs des paramètres de la table précédente dans le fichier
squash.tm.cfg-mariadb.properties.
- mettre
Vous pouvez également ne pas utiliser ces fichiers auxiliaires et indiquer les valeurs des paramètres de la table précédente directement dans le fichier squash.tm.cfg.properties.
Mise à jour de la base de données
| Paramètre | Description | Valeur par défaut | Remarques |
|---|---|---|---|
squash.db.update-mode | Active/désactive la mise à jour automatique de la base de données | interactive | depuis Squash TM 9.0.0 Voir cette page pour les valeurs possibles. |
Fonctionnalités d'administration
| Paramètre | Description | Valeur par défaut | Remarques |
|---|---|---|---|
squashtm.feature.file.repository | Active/désactive l'externalisation des pièces jointes | false | true ou falseLisez la documentation avant d'activer. |
squashtm.stack.trace.control.panel.visible | Affiche/cache la configuration de l'affichage de la trace d'erreur | false | true ou falseSi true, le panneau de configuration pour activer/désactiver les détails d'erreur est visible dans la page 'Paramètres système'. |
Rapports
| Paramètre | Description | Valeur par défaut | Remarques |
|---|---|---|---|
report.criteria.project.multiselect | Active/désactive les sélections multiples dans les sélecteurs de projets | false | - |
Connexion aux bugtrackers
| Paramètre | Description | Valeur par défaut | Remarques |
|---|---|---|---|
squashtm.bugtracker.timeout | Définit le délai d'attente pour les tentatives du serveur d'atteindre un bugtracker | 15 (secondes) | - |
squash.bugtracker.cache-update-delay | Définit le délai entre les mises à jour du cache du connecteur du bugtracker | 86400 (secondes) | depuis Squash TM 7.3.0 |
squash.bugtracker.cache-update-cron | Définit une expression Cron pour la mise à jour du cache des connecteurs du bugtracker. Si définie, elle remplacera le délai. | - | depuis Squash TM 9.0.0 Exemple : "0 0 0 * * *" mettra à jour le cache tous les jours à minuit. Pour plus d'informations sur les expressions Cron Spring, consultez la documentation Spring CronExpression. |
squash.bugtracker.cache-worker-pool-size | Définit le nombre de workers dédiés à la mise à jour du cache des connecteurs du bugtracker. | 5 | depuis Squash TM 9.0.0 |
squash.bugtracker.max-results-per-search | Définit le nombre maximum de résultats renvoyés pour les recherches par autocomplétion sur les issues. | 50 (résultats) | depuis Squash TM 9.0.0 La valeur maximale est 100.La valeur minimale est 5.Il est recommandé d'abaisser cette valeur si les projets GitLab utilisés contiennent un grand nombre d'issues. |
Bugzilla
| Paramètre | Description | Valeur par défaut | Remarques |
|---|---|---|---|
plugin.bugtracker.bugzilla.cache.enable | Active/désactive la fonctionnalité de cache des champs Bugzilla | false | true ou falseUtilisez cette fonctionnalité si la récupération des champs prend beaucoup de temps. Si true, tous les champs des serveurs Bugzilla seront mis en cache en mémoire une fois récupérés. |
plugin.bugtracker.bugzilla.cache-at-start.bugtracker-urls | Définit les URLs des gestionnaires de bugs qui doivent initialiser le cache des champs au démarrage de SquashTM | - | Utilisez une liste séparée par des virgules |
plugin.bugtracker.bugzilla.cache-refresh.cron-expression | Définit l'expression Cron qui détermine quand effectuer un rafraîchissement du cache des champs Bugzilla | - | Pour plus d'informations sur les expressions Cron Spring, consultez la documentation Spring CronExpression. |
Import Excel
| Paramètre | Description | Valeur par défaut | Remarques |
|---|---|---|---|
squash.xls-imports.max-concurrent-imports | Définit le nombre maximum d'imports simultanés | - | depuis Squash TM 7.4.0 SquashTM refusera d'effectuer un import Excel si cette limite est atteinte. Cette limite est utilisée pour éviter de surcharger SquashTM ; sa valeur dépend du CPU et de la RAM du serveur. L'absence de valeur signifie qu'il n'y a pas de limite, c'est la configuration par défaut. |
squash.xls-imports.max-test-cases-per-import | Définit le nombre maximum de cas de test dans un fichier d'import | - | depuis Squash TM 7.4.0 SquashTM refusera d'effectuer un import Excel si cette limite est atteinte. Cette limite est utilisée pour éviter de surcharger SquashTM ; sa valeur dépend du CPU et de la RAM du serveur. L'absence de valeur signifie qu'il n'y a pas de limite, c'est la configuration par défaut. |
squash.xls-imports.max-test-steps-per-import | Définit le nombre maximum de pas de test dans un fichier d'import | - | depuis Squash TM 7.4.0 SquashTM refusera d'effectuer un import Excel si cette limite est atteinte. Cette limite est utilisée pour éviter de surcharger SquashTM ; sa valeur dépend du CPU et de la RAM du serveur. L'absence de valeur signifie qu'il n'y a pas de limite, c'est la configuration par défaut. |
squash.xls-imports.max-requirements-per-import | Définit le nombre maximum d'exigences dans un fichier d'import | - | depuis Squash TM 8.0.0 SquashTM refusera d'effectuer un import Excel si cette limite est atteinte. Cette limite est utilisée pour éviter de surcharger SquashTM ; sa valeur dépend du CPU et de la RAM du serveur. L'absence de valeur signifie qu'il n'y a pas de limite, c'est la configuration par défaut. |
Import de projet
Actuellement, seul l'import de projets Xray est disponible.
| Paramètre | Description | Valeur par défaut | Remarques |
|---|---|---|---|
squash.project-imports.delay | Définit le délai entre deux processus d'import | 3600 (secondes) | depuis Squash TM 8.0.0 |
Synchronisations Jira et GitLab
| Paramètre | Description | Valeur par défaut | Remarques |
|---|---|---|---|
squash.external.synchronisation.enabled | Active/désactive le traitement planifié de toutes les synchronisations | true | depuis Squash TM 7.0.0true ou false |
squash.external.synchronisation.delay | Définit le délai entre deux synchronisations | 300 (secondes) | - |
squash.external.synchronisation.max-items-per-sync | Définit le nombre maximum d'éléments dans le champ d'application lors de la création d'une nouvelle synchronisation | - | depuis Squash TM 8.0.0 |
squash.external.synchronisation.enabled active ou désactive le processus planifié pour toutes les synchronisations.
Cette propriété n'affecte pas l'attribut activée des synchronisations.
Passer cette propriété à false peut être utile dans des situations telles que :
- Vous n'utilisez pas de synchronisations ;
- L'instance est un SquashTM de pré-production ayant une copie de la base de données de production et vous devez éviter que les synchronisations enregistrées dans la base de données ne s'exécutent sur cette instance pour ne pas polluer vos tickets Jira/GitLab ;
- Vous utilisez une autre instance de SquashTM pour gérer les synchronisations.
squash.external.synchronisation.delay définit le délai entre deux mises à jour, exprimé en secondes. Si cette propriété est manquante ou incorrecte, le délai par défaut est fixé à cinq minutes (300 secondes) et un avertissement apparaît dans les logs de SquashTM au démarrage de l'application. Plus le délai est court, plus SquashTM consomme de ressources. Pour la plupart des utilisations courantes, un délai entre 5 et 15 minutes est suffisant.
Jira
| Paramètre | Description | Valeur par défaut | Remarques |
|---|---|---|---|
plugin.synchronisation.jira.batchSize | Définit la taille du batch pour les requêtes API REST de Jira | 50 | - |
Le plugin Xsquash4Jira a une propriété, plugin.synchronisation.jira.batchSize, définissant la taille du batch pour mettre à jour les informations de Jira.
La valeur par défaut est 50, qui doit être inférieure ou égale à la valeur jira.search.views.default.max définie dans le fichier de propriétés jira-config.properties. Cette valeur par défaut fonctionne bien avec Data Center et Cloud, si aucune modification de configuration n'a été apportée à l'instance Jira.
GitLab
| Paramètre | Description | Valeur par défaut | Remarques |
|---|---|---|---|
plugin.synchronisation.gitlab.webhook.secret-token | Définit le jeton secret optionnel utilisé pour valider les webhooks GitLab | - | Voir plus de détails ici. |
plugin.synchronisation.gitlab.webhook.show-secret-token | Affiche/masque le jeton secret sur l'écran d'administration du plugin | true | true ou falseVoir plus de détails ici. |
TM-TA
| Paramètre | Description | Valeur par défaut | Remarques |
|---|---|---|---|
tm.test.automation.pollinterval.millis | Définit l'intervalle de polling pour l'automatisation des tests | 3000 (millisecondes) | - |
LDAP et Active Directory
Consultez cette page pour plus d'informations.
LDAP unique
Utilisez ces paramètres pour configurer l'authentification avec un seul serveur LDAP.
| Paramètre | Description | Valeur par défaut | Remarques |
|---|---|---|---|
authentication.provider | Définit le fournisseur d'authentification | - | ldap ou ldap,internal pour multi-sources (c-à-d internal signifie que les utilisateurs peuvent également utiliser leur compte local SquashTM) |
authentication.ldap.server.url | Définit l'URL du serveur LDAP | - | Par exemple :ldap://localhost:389 |
authentication.ldap.server.managerDn | Définit le user DN du manager (si l'accès anonyme n'est pas autorisé) | - | Par exemple :CN=admin,CN=Users,DC=example,DC=com |
authentication.ldap.server.managerPassword | Définit le mot de passe du manager (si l'accès anonyme n'est pas autorisé) | - | Par exemple :quelquechose |
authentication.ldap.user.searchBase | Définit la base de recherche DN | - | Par exemple :DC=example,DC=com |
authentication.ldap.user.searchFilter | Définit le filtre de recherche | - | Par exemple :(uid={0}) |
authentication.ldap.user.fetchAttributes | Définit s'il faut récupérer les attributs de l'utilisateur | true | true ou false |
authentication.ldap.user.dnPatterns | Définit les modèles de DN de base pour la recherche d'utilisateurs | - | Par exemple :uid={0},ou=people |
Multi-LDAP
Utilisez ces paramètres pour configurer l'authentification avec plusieurs serveurs LDAP.
| Paramètre | Description | Valeur par défaut | Remarques |
|---|---|---|---|
authentication.provider | Définit le fournisseur d'authentification | - | ldap-multi ou ldap-multi,internal pour multi-sources (c-à-d internal signifie que les utilisateurs peuvent également utiliser leur compte local SquashTM) |
authentication.ldap.multi.root.names | Définit les noms des multiples serveurs LDAP | - | Par exemple :ldap1,ldap2 |
Pour chaque serveur LDAP (ex. ldap1, ldap2), utilisez les propriétés suivantes, préfixées par le nom du serveur :
| Paramètre | Description | Valeur par défaut | Remarques |
|---|---|---|---|
[nom].authentication.ldap.server.url | Définit l'URL du serveur LDAP | - | Par exemple :ldap://localhost:389 |
[nom].authentication.ldap.server.managerDn | Définit le user DN du manager (si l'accès anonyme n'est pas autorisé) | - | Par exemple :CN=admin,CN=Users,DC=example,DC=com |
[nom].authentication.ldap.server.managerPassword | Définit le mot de passe du manager (si l'accès anonyme n'est pas autorisé) | - | Par exemple :quelquechose |
[nom].authentication.ldap.user.searchBase | Définit la base de recherche DN | - | Par exemple :DC=example,DC=com |
[nom].authentication.ldap.user.searchFilter | Définit le filtre de recherche | - | Par exemple :(uid={0}) |
[nom].authentication.ldap.user.fetchAttributes | Définit s'il faut récupérer les attributs de l'utilisateur | - | Par exemple :false |
[nom].authentication.ldap.user.dnPatterns | Définit les modèles de DN de base pour la recherche d'utilisateurs | - | Par exemple :uid={0},ou=people |
Active Directory unique
Utilisez ces paramètres pour configurer l'authentification avec un seul serveur Active Directory.
| Paramètre | Description | Valeur par défaut | Remarques |
|---|---|---|---|
authentication.provider | Définit le fournisseur d'authentification | - | ad.ldap ou ad.ldap,internal pour multi-sources (c-à-d internal signifie que les utilisateurs peuvent également utiliser leur compte local SquashTM) |
authentication.ad.server.url | Définit l'URL du serveur AD | - | Par exemple :ldap://localhost:389 |
authentication.ad.server.domain | Définit le domaine du serveur AD | - | Par exemple :ad.squashtest.org |
authentication.ad.server.managerDn | Définit le user DN du manager | - | Par exemple :admin |
authentication.ad.server.managerPassword | Définit le mot de passe du manager | - | Par exemple :quelquechose |
authentication.ad.user.searchBase | Définit la base de recherche | - | - |
authentication.ad.user.searchFilter | Définit le filtre de recherche | - | Par exemple :(&(objectClass=user)(userPrincipalName={0})) |
Multi-Active Directory
Utilisez ces paramètres pour configurer l'authentification avec plusieurs serveurs Active Directory.
| Paramètre | Description | Valeur par défaut | Remarques |
|---|---|---|---|
authentication.provider | Définit le fournisseur d'authentification | - | ad.ldap-multi ou ad.ldap-multi,internal pour multi-sources (c-à-d internal signifie que les utilisateurs peuvent également utiliser leur compte local SquashTM) |
authentication.ad.multi.root.names | Définit les noms des multiples serveurs AD | - | Par exemple :ad1,ad2 |
Pour chaque serveur AD (ex. ad1, ad2), utilisez les propriétés suivantes, préfixées par le nom du serveur :
| Paramètre | Description | Valeur par défaut | Remarques |
|---|---|---|---|
[nom].authentication.ad.server.url | Définit l'URL du serveur AD | - | Par exemple :ldap://localhost:389 |
[nom].authentication.ad.server.domain | Définit le domaine du serveur AD | - | Par exemple :ad.squashtest.org |
[nom].authentication.ad.server.managerDn | Définit le user DN du manager | - | Par exemple :admin |
[nom].authentication.ad.server.managerPassword | Définit le mot de passe du manager | - | Par exemple :quelquechose |
[nom].authentication.ad.user.searchBase | Définit la base de recherche | - | - |
[nom].authentication.ad.user.searchFilter | Définit le filtre de recherche | - | Par exemple :(&(objectClass=user)(userPrincipalName={0})) |
SAML
Consultez cette page pour plus d'informations.
| Propriété | Description | Valeur par défaut | Remarques |
|---|---|---|---|
| Configuration principale | |||
saml.enabled | Active/désactive SAML | false | true ou false |
authentication.provider | Définit le fournisseur d'authentification | - | saml ou saml,internal pour une source multiple (c-à-d internal signifie que les utilisateurs peuvent également utiliser leur compte SquashTM local) |
saml.idp.metadata-url | Définit l'URL ou le chemin où les métadonnées de l'IDP peuvent être trouvées | - | Formats autorisés : - file://chemin/absolu/vers/fichier : récupère un fichier localement par son chemin absolu- http:// ou https://metadata.hote-distant/chemin/vers/fichier : téléchargement distant des métadonnées via HTTP(S)- chemin/relatif/vers/fichier : un chemin relatif au répertoire de configuration de SquashTM (par exemple saml/idp.xml) |
saml.sp.registration-id | Identifiant unique utilisé pour enregistrer votre fournisseur de services (SP) dans la configuration SAML du plugin. | - | Par exemple : google. |
saml.sp.entity-id | Identifiant unique de l'instance SquashTM. Cette valeur doit être unique au sein de votre écosystème d'authentification et sera communiquée au fournisseur d'identité (IdP). | - | Par exemple : urn:squash-tm:saml ou https://squash-tm.votre-entreprise.com/saml. |
saml.sp.metadata.private-key | Clé privée au format PKCS8 utilisée par le fournisseur de services (SP) pour signer les requêtes et déchiffrer les messages. | - | Format PKCS8 obligatoire. |
saml.sp.metadata.certificate | Certificat X.509 du fournisseur de services (SP) utilisé pour la validation des signatures et le chiffrement. | - | - |
| Point d'entrée | |||
squash.security.preferred-auth-url | Définit le point d'entrée d'authentification SAML comme point d'entrée principal | /auth/saml/login/{registration-id} | Les utilisateurs non authentifiés seront automatiquement redirigés vers le point d'entrée SAML au lieu du formulaire de connexion habituel. |
| Options SSO | |||
saml.sso.force-authN | Active/désactive la réauthentification forcée | false | true ou falseSi activé, l'utilisateur devra se réauthentifier auprès de l'IDP chaque fois qu'il voudra s'authentifier auprès de SquashTM. Cela désactive effectivement le mécanisme SSO. |
saml.sso.provider-name | Définit un nom lisible par l'humain qui sera inclus dans les messages envoyés à l'IDP, utile à des fins de journalisation | (vide) | - |
saml.sso.binding | Définit quelle liaison SquashTM utilise pour initier le SSO avec l'IDP | Première méthode de liaison listée dans la clause <SingleSignOnService/> des métadonnées de l'IDP | Pour plus d'informations, voir ce document. Par exemple : urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST, urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect |
saml.sso.assertion-consumer-index | Requiert que l'IDP envoie ses réponses au service consommateur donné. | Le service consommateur par défaut dans les métadonnées SP | Un entier positif ou nul, ou vide La liste des services consommateurs disponibles peut être trouvée dans les clauses <AssertionConsumerService/> dans les métadonnées SP. |
saml.sso.nameID | Requiert que l'IDP renvoie le principal avec un NameIDFormat donné, qui est essentiellement le nom d'utilisateur de l'utilisateur dans SquashTM | Si vide, l'IDP en choisira un parmi ceux listés dans les métadonnées SP | Par exemple :urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress, urn:oasis:names:tc:SAML:2.0:nameid-format:transient |
saml.sso.allow-create | Notifie l'IDP que la création de nouveaux utilisateurs est autorisée lorsqu'ils sont inconnus | false | true ou false |
saml.sso.passive | Si activé, SquashTM informera l'IDP qu'il ne considère pas l'interaction de l'utilisateur nécessaire pour l'authentification | - | true ou false |
saml.sso.include-scoping | Si activé, SquashTM ajoutera des contraintes de portée supplémentaires lorsqu'un utilisateur s'authentifie | false | true ou false |
saml.sso.allowed-idps | Définit, dans une architecture IDP multicouche, quels IDP sont autorisés à traiter les demandes d'authentification. | - | Une liste d'IDP séparés par des virgules Remarque : le scoping doit être activé. |
saml.sso.proxy-count | Définit le nombre maximum de sauts de proxy autorisés pour les messages d'authentification | 2 | Un entier positif ou nul Dans ce contexte, un proxy est un IDP au sein d'une chaîne d'IDP qui peut déléguer l'un à l'autre. Une valeur de 0 interdit l'utilisation de proxies et l'IDP qui reçoit la demande d'authentification ne peut pas déléguer et doit authentifier l'utilisateur lui-même. Remarque : le scoping doit être activé. |
saml.sso.authn-contexts | Définit les contextes d'authentification qui doivent être honorés par l'IDP lorsqu'il authentifie l'utilisateur | (vide, c-à-d pas d'exigences spécifiques) | Une liste séparée par des virgules Utile lorsque le défi d'authentification IDP par défaut n'est pas jugé assez sûr et que SquashTM demande des garanties d'un processus plus strict. Par exemple : urn:oasis:names:tc:SAML:2.0:ac:classes:SmartcardPKI, urn:oasis:names:tc:SAML:2.0:ac:classes:MobileTwoFactorContractRemarque : le scoping doit être activé. Pour plus d'informations, voir ce document. |
saml.sso.authn-context-comparison | Indique à l'IDP comment il doit traiter les identifiants présentés par l'utilisateur lors de l'authentification | exact | exact, minimum, maximum, ou betterRemarque : le scoping doit être activé. Pour plus d'informations, voir ce document. |
saml.sso.relay-state | Définit un jeton arbitraire à envoyer d'avant en arrière à l'IDP | (vide) | Fait partie de la spécification SAML mais SquashTM n'a pas de cas d'utilisation pour cela. |
| Options des métadonnées SP | |||
name-id-format | Définit le format du NameID utilisé pour identifier l'utilisateur dans la requête d'authentification SAML. | (vide) | depuis Squash TM 10.1.0 Par exemple : urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress, urn:oasis:names:tc:SAML:2.0:nameid-format:transient |
authn-requests-signed | Indique si les requêtes d'authentification SAML envoyées par le SP doivent être signées. | false | true ou false |
single-logout-service-binding | Définit le type de binding (protocole de transport) utilisé par le SP pour communiquer avec le Single Logout Service de l'IdP. | urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST | urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST ou urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect |
saml.sp.metadata.trusted-keys | Définit quelles clés doivent être considérées comme des ancres de confiance pour la vérification PKIX du fichier de métadonnées SP | all | all (toutes les clés du keystore seront considérées comme fiables), vide (équivalent à all), none (aucune des clés du keystore ne sera considérée comme fiable), ou une liste de clés séparées par des virgules (les clés doivent exister dans le keystore). |
| Options de session SP | |||
saml.session.max-assertion-time | Définit l'intervalle de validité d'une assertion d'authentification pendant le processus SSO | 3000 (secondes) | Si le processus n'est pas terminé dans ce délai, le processus a échoué et le SSO doit être réinitialisé à partir de zéro. Notez que la valeur par défaut est suffisamment grande pour la plupart des situations. |
saml.session.max-auth-time | Définit l'intervalle de validité d'une authentification IDP | 864000 (secondes, soit 10 jours) | À l'expiration, SquashTM considérera que l'utilisateur doit se réauthentifier auprès de l'IDP. |
saml.session.clock-skew | Définit en secondes la tolérance maximale acceptée pour les décalages d'horloge entre le fournisseur de services (SP) et le fournisseur d'identité (IdP) | 300 (secondes) | À l'expiration, SquashTM considérera les assertions SAML comme expirées, même si un léger écart d'horloge subsistait entre les systèmes |
| Options de proxy inverse / répartiteur de charge | |||
saml.proxy.enabled | Active/désactive le support du proxy inverse | false | true ou false |
saml.proxy.server-name | Déclare le nom d'hôte du proxy inverse | - | Ceci doit être défini si le support du proxy est activé, car il n'a pas de valeur par défaut. |
saml.proxy.scheme | Déclare le schéma utilisé par le proxy inverse pour les communications sortantes | https | http ou https |
saml.proxy.server-port | Déclare le port utilisé par le proxy inverse pour les communications sortantes | 443 | Un numéro de port valide |
saml.proxy.context-path | Déclare le chemin de contexte de l'application tel que servi par le proxy inverse | /squash | Un chemin de contexte, commençant par une barre oblique / |
saml.proxy.include-port-in-url | Indique si le numéro de port doit être explicitement inclus dans l'URL de la requête | true | true ou false |
| Attributs supplémentaires de l'assertion | L'assertion retournée par l'IDP peut contenir des attributs supplémentaires sur le compte utilisateur que vous souhaitez peut-être utiliser dans SquashTM. Les propriétés suivantes vous permettent de mapper certains de ces attributs au compte utilisateur de SquashTM. Leur valeur par défaut est null (aucun mapping défini pour cet attribut). C'est différent d'une valeur vide, c-à-d que si vous n'en avez pas besoin, laissez-les en commentaire. | ||
saml.user-mapping.alternate-username | Définit une valeur d'attribut supplémentaire comme nom d'utilisateur dans SquashTM (au lieu du NameID nominal) | - | Un nom de propriété |
saml.user-mapping.first-name | Définit une valeur d'attribut supplémentaire comme prénom d'un compte utilisateur dans SquashTM | - | Un nom de propriété |
saml.user-mapping.last-name | Définit une valeur d'attribut supplémentaire comme nom de famille d'un compte utilisateur dans SquashTM | - | Un nom de propriété |
saml.user-mapping.email | Définit une valeur d'attribut supplémentaire comme email d'un compte utilisateur dans SquashTM | - | Un nom de propriété |
OpenID Connect
Consultez cette page pour plus d'informations.<idp-name> doit être remplacé par le nom de l'IDP en minuscules.
| Paramètre | Description | Valeur par défaut | Remarques |
|---|---|---|---|
| Configuration principale | |||
oidc.access.whitelist | Restreint l'accès en fonction du domaine de l'email de l'utilisateur | - | Une liste de domaines séparés par des virgules Par défaut, l'accès à SquashTM et la restriction des utilisateurs doivent être configurés directement dans l'IDP. Cette propriété gère la restriction d'accès du côté de SquashTM au cas où l'IDP n'offrirait pas cette possibilité. Elle vérifie que le domaine de l'email de l'utilisateur qui se connecte correspond à une ou plusieurs des valeurs de domaine indiquées via cette propriété. Si cette propriété est laissée vide, aucune restriction ne sera appliquée. Par exemple : @company-name.com,@domain.fr |
squash.security.preferred-auth-url | Définit le point d'entrée principal pour les requêtes d'utilisateurs non authentifiés | /login (c-à-d la page de connexion pour l'authentification de base par formulaire) | Cette propriété gère le comportement de SquashTM en termes de requêtes d'utilisateurs non authentifiés. Elle définit l'URL vers laquelle l'utilisateur sera redirigé pour la connexion, en d'autres termes, elle définit le point d'entrée principal. Si la valeur définie correspond au modèle /oidc/authorization/<idp-name>, la connexion sera redirigée vers la page de connexion de l'IDP spécifié ou connectée directement s'ils sont déjà connectés à leur IDP.Note : il s'agit d'une propriété générique de SquashTM et elle n'est pas exclusive à OpenID Connect. |
| Options du fournisseur IDP | Les options ci-dessous vous permettent de déclarer un nouvel IDP personnalisé à utiliser avec SquashTM. Pour certains fournisseurs (Google, Facebook, GitHub, Okta…), certaines de ces propriétés sont préconfigurées et peuvent être omises. Les valeurs de configuration OpenID Connect pour un IDP sont souvent accessibles depuis l'endpoint de configuration bien connu du fournisseur : <issuer-uri>/.well-known/openid-configuration | ||
spring.security.oauth2.client.provider.<idp-name>.user-name-attribute | Spécifie quel attribut utiliser comme nom d'utilisateur dans SquashTM | - | - |
spring.security.oauth2.client.provider.<idp-name>.issuer-uri | Spécifie l'URL de l'identifiant de l'émetteur | - | - |
spring.security.oauth2.client.provider.<idp-name>.authorization-uri | Spécifie l'endpoint de l'IDP pour démarrer la demande d'autorisation | - | - |
spring.security.oauth2.client.provider.<idp-name>.token-uri | Spécifie l'endpoint pour récupérer les jetons d'accès | - | - |
spring.security.oauth2.client.provider.<idp-name>.user-info-uri | Spécifie l'endpoint pour récupérer les données utilisateur | - | - |
spring.security.oauth2.client.provider.<idp-name>.jwk-set-uri | Spécifie l'URI pour récupérer la clé publique du fournisseur d'authentification | - | Ceci est utilisé pour vérifier les jetons JWT. |
| Options du client IDP | |||
spring.security.oauth2.client.registration.<idp-name>.client-id | Spécifie l'identifiant du client OAuth2 | - | Fourni par l'IDP lors de l'enregistrement de votre instance SquashTM. |
spring.security.oauth2.client.registration.<idp-name>.client-secret | Spécifie le secret du client OAuth2 | - | Fourni par l'IDP lors de l'enregistrement de votre instance SquashTM. |
spring.security.oauth2.client.registration.<idp-name>.authorization-grant-type | Spécifie le type d'autorisation OAuth2 | - | SquashTM prend en charge authorization_code. |
spring.security.oauth2.client.registration.<idp-name>.redirect-uri | Spécifie l'URL à laquelle la réponse d'authentification sera envoyée | - | Doit matcher le pattern /oidc/code/*Il s'agit de l'URI de redirection configurée dans l'IDP. |
spring.security.oauth2.client.registration.<idp-name>.scope | Définit les informations que l'IDP fournira sur l'utilisateur | - | Les scopes disponibles peuvent varier d'un IDP à l'autre. OpenID Connect nécessite le scope openid, mais des scopes supplémentaires peuvent être spécifiés. |
spring.security.oauth2.client.registration.<idp-name>.client-name | Spécifie le nom du client IDP | - | - |