Configuration de l'authentification unique (SSO)

Cet article présente le système d'authentification unique (SSO) de la plate-forme et la manière dont votre entreprise peut l'activer. Si vous souhaitez activer la SSO pour votre entreprise, contactez votre responsable de la réussite client.

Présentation

Nous prenons en charge le protocole SAML 2.0 pour l'authentification unique (SSO). Le langage SAML (Security Assertion Markup Language) crée des points de terminaison qui fournissent une URL unique aux utilisateurs d'une entreprise pour se connecter et sélectionner les applications qu'ils sont autorisés à utiliser. Ce système renforce la sécurité et simplifie l'authentification des utilisateurs en leur évitant d'être invités à se connecter lorsqu'ils passent d'une application à l'autre au cours d'une même session.

Voici quelques avantages de la SSO :

  • Amélioration de l'expérience utilisateur
  • Réduction des coûts de fonctionnement internes
  • Gestion centralisée des utilisateurs
  • Renforcement de la sécurité des systèmes d'entreprise
  • Respect des réglementations de conformité (SOX, HIPPA)

Prise en charge des normes

  • Nous prenons en charge la norme OASIS Security Assertion Markup Language (SAML) v2.0 pour l'authentification unique.
  • SAML v2.0 facilite l'intégration avec de nombreux fournisseurs d'identité courants, notamment Microsoft Active Directory (via ADFS), Tivoli Federated Identity Manager, Okta et d'autres plates-formes d'authentification fédérée.

Principes généraux

  • Nous assurerons le rôle de SP (fournisseur de services) dans la relation de confiance SAML v2.0.
  • Nous avons besoin que le fournisseur d'identité (IDP) nous fournisse des fichiers de métadonnées compatibles avec SAML v2.0. Le fichier de métadonnées de l'IDP contiendra :
    • L'emplacement du point de terminaison de SingleSignOnService
    • Le certificat public X.509 utilisé pour la signature de l'assertion (le cas échéant)
  • Nous fournirons un fichier de métadonnées du SP contenant les éléments suivants :
    • Le point de terminaison du SP

Processus de développement

Voici un exemple de flux de travail d'intégration :

  • Contactez votre responsable de compte pour savoir quelles options de configuration utiliser
  • Nous fournissons une URL pour le fichier de métadonnées du SP
  • Vous fournissez le fichier de métadonnées de l'IDP
  • Les tests d'intégration et les mesures correctives se poursuivent jusqu'à ce que les parties prenantes désignées certifient que l'intégration est réussie. Il convient de tester à la fois les types d'accès initiés par l'IDP et ceux initiés par le SP. À ce stade, une fenêtre de production est convenue.

Configurations prises en charge

Nous prenons actuellement en charge les configurations SAML suivantes :

  • Déconnexion unique (SLO)
    • Désactivée : nous ne prenons pas la SLO en charge pour l'instant
  • Format du NameID
    • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress (PAR DÉFAUT)
    • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
    • urn:oasis:names:tc:SAML:2.0:nameid-format:encrypted
    • urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
    • urn:oasis:names:tc:SAML:2.0:nameid-format:transient
    • urn:oasis:names:tc:SAML:2.0:nameid-format:entity
  • Signature des assertions
    • Non/Oui (PAR DÉFAUT)
  • Signature des requêtes Authn
    • Non
  • Provisionnement de nouveaux utilisateurs
    • Désactivé (PAR DÉFAUT)/Activé
  • Mise à jour des attributs des utilisateurs existants
    • Désactivé (PAR DÉFAUT)/Activé
  • Liaison privilégiée de la requête Authn :
    • Post (PAR DÉFAUT)/Redirection

Questions de configuration

Pour commencer à utiliser l'authentification unique, vous devez d'abord prendre rendez-vous avec votre responsable de la réussite client afin de répondre aux questions suivantes sur l'installation et la configuration de la SSO :

  1. Quel sera l'identifiant unique des utilisateurs de votre système ?
    • Notre plate-forme prend en charge l'utilisation d'une adresse e-mail ou d'un identifiant globalement unique externe (GUID).
    • La configuration la plus courante consiste à utiliser un GUID externe plutôt qu'une adresse e-mail afin d'éviter tout problème en cas de modification de l'adresse e-mail d'une personne à l'avenir. Par ailleurs, le GUID externe correspond le plus souvent à l'identifiant du collaborateur.
  2. Souhaitez-vous mettre à jour les informations concernant l'utilisateur au moment de l'authentification ?
    • Si oui, quels champs prévoyez-vous d'inclure ? Tous les champs sont-ils disponibles dans leur système SSO ? Aussi, quel nom donnerez-vous à ces champs dans l'assertion SAML et comment ces champs seront-ils associés aux champs de la plate-forme ?
  3. Souhaitez-vous créer de nouveaux utilisateurs dans la plate-forme au moment de l'authentification si l'utilisateur ne dispose pas déjà d'un compte ?
    • Si oui, quels champs prévoyez-vous d'inclure ? Tous les champs sont-ils disponibles dans leur système SSO ? Aussi, quel nom donnerez-vous à ces champs dans l'assertion SAML et comment ces champs seront-ils associés aux champs de la plate-forme ?
  4. Chaque utilisateur devant accéder à la plate-forme pourra-t-il accéder à votre solution SSO ?
    • Sinon, devrez-vous disposer d'une double procédure de connexion qui prenne en charge le formulaire nom d'utilisateur/mot de passe ainsi que les options de connexion SSO ?

Configuration de l'authentification unique

Une fois vos besoins concernant la SSO bien définis, nous pouvons commencer l'installation. Les prochaines étapes sont les suivantes :

  1. Nous fournissons le XML des métadonnées du SP.
  2. Vous configurez la SSO de votre côté et fournissez à notre équipe le XML des métadonnées de l'IDP.
  3. Nous utilisons le XML des métadonnées de l'IDP pour terminer l'installation.
  4. Vous effectuez des tests utilisateurs et validez l'environnement.
  5. Une fois la validation effectuée, nous convenons avec votre équipe du calendrier de déploiement de la solution.

Articles associés

Contactez-nous