Authentification SAML (Administration)

De Wiki1000
(Différences entre les versions)
(Description de l'écran)
 
(6 révisions intermédiaires par 2 utilisateurs sont masquées)
Ligne 28 : Ligne 28 :
 
La mise en oeuvre d'un annuaire SAML v2 nécessite que vous enregistriez votre Service 1000 auprès du fournisseur d'identité. Les informations mises en oeuvre au cours de cette étapes sont :  
 
La mise en oeuvre d'un annuaire SAML v2 nécessite que vous enregistriez votre Service 1000 auprès du fournisseur d'identité. Les informations mises en oeuvre au cours de cette étapes sont :  
  
* Une URL de rappel pointant sur votre Service 1000 contenant l'action samlv2_success.l1000, par exemple https://monService/samlv2_success.l1000
+
* Une URL de rappel pointant sur votre Service 1000 contenant l'action samlv2_success.l1000, par exemple https://[hôte]/samlv2_success.l1000
 
* Un identifiant (SP Entity ID). Cet identifiant unique peut être proposé par l'Identiy Provider.
 
* Un identifiant (SP Entity ID). Cet identifiant unique peut être proposé par l'Identiy Provider.
 
* Le certificat public du SP pour que l'IP puisse vérifier les signatures des assertions.(facultatif)
 
* Le certificat public du SP pour que l'IP puisse vérifier les signatures des assertions.(facultatif)
 
* Le paramétrage des attributs. En effet, Sage1000 doit faire correspondre les attributs de l'Identiy Provider avec ceux de Sage1000.
 
* Le paramétrage des attributs. En effet, Sage1000 doit faire correspondre les attributs de l'Identiy Provider avec ceux de Sage1000.
 
Le nom des attributs doit correspondre à celui paramétré dans l'annuaire Sage 1000
 
Le nom des attributs doit correspondre à celui paramétré dans l'annuaire Sage 1000
 +
 +
{{tip|Si le serveur web n'est pas intégré (IIS), utiliser comme adresse de rappel https://[hôte]/[nom du Service]/server/samlv2_success.l1000 }}
  
 
[[Authentification_SAML_IP_Settings_Okta(Administration)|Exemple avec Okta]]
 
[[Authentification_SAML_IP_Settings_Okta(Administration)|Exemple avec Okta]]
Ligne 42 : Ligne 44 :
 
====Paramétrer le fournisseur de service (l'annuaire dans la console d'administration)====
 
====Paramétrer le fournisseur de service (l'annuaire dans la console d'administration)====
  
[[image:samlauthdirectory1.PNG]]
+
[[image:samlauthdirectory1.PNG|600px]]
  
 
=====Description de l'écran=====
 
=====Description de l'écran=====
  
'''Identity Provider Single Sign-On URL''' : URL de connexion vers l'Identiy Provider, fourni par l'Identiy Provider.
+
*Identity Provider Single Sign-On URL
 +
: URL de connexion vers l'Identiy Provider, fourni par l'Identiy Provider.
  
'''Identity Provider Issuer''' : Identifiant de l'Identiy Provider, fourni par l'Identiy Provider.
+
*Identity Provider Issuer
 +
: Identifiant de l'Identiy Provider, fourni par l'Identiy Provider.
  
'''Audience (SP Entity ID)''' : Identifiant du Service Provider, peut être proposé par l'Identiy Provider ou à renseigner.
+
*Audience (SP Entity ID)
 +
: Identifiant du Service Provider, peut être proposé par l'Identiy Provider ou à renseigner.
  
'''Force Authentification''' : Permet de redemander l'authentification à un utilisateur déjà authentifié par ailleurs. Désactive donc la fonction SSO.
+
*Force Authentification
 +
: Permet de redemander l'authentification à un utilisateur déjà authentifié par ailleurs. Désactive donc la fonction SSO.
  
'''Auto create users''' : Mode de création des utilisateurs ([[voir#Paramétrer le mode de création des utilisateurs]])
+
*Auto create users
 +
: Mode de création des utilisateurs ([[voir#Paramétrer le mode de création des utilisateurs]])
  
'''Authentication context declaration reference''' : permet de spécifierà l'Identity Provider un mode d'authentification particulier (par exemple double authentification)
+
*Authentication context declaration reference
 +
: Permet de spécifierà l'Identity Provider un mode d'authentification particulier (par exemple double authentification)
  
'''Authentification comparison''' : permet de spécifier l'opérateur à appliquer au paramétrage précédent.(par exemple "au moins une double authentification" ou "exactement une double authentification")
+
*Authentification comparison
 +
: Permet de spécifier l'opérateur à appliquer au paramétrage précédent.(par exemple "au moins une double authentification" ou "exactement une double authentification")
  
'''Sign SAML request''' : signer les assertions envoyées.Nécessite le paramétrage d'un certificat avec une clef privée et de fournir un certificat public à l'Identity Provider pour qu'il puisse vérifier les signatures.
+
*Sign SAML request
 +
: Signer les assertions envoyées.Nécessite le paramétrage d'un certificat avec une clef privée et de fournir un certificat public à l'Identity Provider pour qu'il puisse vérifier les signatures.
  
'''Verify SAML response''' : vérifier les assertions reçues.Nécessite le paramétrage du certificat public de l'Identity Provider pour pouvoir vérifier les signatures.
+
*Verify SAML response
 +
: Vérifier les assertions reçues.Nécessite le paramétrage du certificat public de l'Identity Provider pour pouvoir vérifier les signatures.
  
'''First Name attribute''' : nom de l'attribut à lier au prénom de l'utilisateur.
+
{{warning|La vérification de la signature de la réponse est obligatoire}}
  
'''Last Name attribute''' : nom de l'attribut à lier au nom de l'utilisateur.
+
[[Authentification_SAML_IP_cert_Settings(Administration)|Exemples de paramétrage]]
  
'''Email attribute''' : nom de l'attribut à lier au mail de l'utilisateur.
 
  
'''Member of attribute''' : nom de l'attribut à lier au groupe de l'utilisateur.(seulement si on choisit de créer automatiquement les utilisateurs)
+
*First Name attribute
 +
: Nom de l'attribut à lier au prénom de l'utilisateur.
  
Il faut paramétrer
+
*Last Name attribute
 +
: Nom de l'attribut à lier au nom de l'utilisateur.
 +
 
 +
*Email attribute
 +
: Nom de l'attribut à lier au mail de l'utilisateur.
 +
 
 +
*Member of attribute
 +
: Nom de l'attribut à lier au groupe de l'utilisateur.(seulement si on choisit de créer automatiquement les utilisateurs)
 +
 
 +
Il faut paramétrer :
  
 
* L'URL de connexion vers l'Identiy Provider.
 
* L'URL de connexion vers l'Identiy Provider.
Ligne 87 : Ligne 107 :
 
====Paramétrer le logo====
 
====Paramétrer le logo====
  
[[image:samlauthdirectory2.PNG]]
+
[[image:samlauthdirectory2.PNG|600px]]
 
+
  
 
La fenêtre de connexion affiche les annuaires SAMLv2 actifs
 
La fenêtre de connexion affiche les annuaires SAMLv2 actifs
  
[[image:samlportallogo.PNG]]
+
[[image:samlportallogo.PNG|600px]]
  
 
====Paramétrer le mode de création des utilisateurs====
 
====Paramétrer le mode de création des utilisateurs====
Ligne 101 : Ligne 120 :
  
 
Ce choix implique le paramétrage de l'attribut "member of".
 
Ce choix implique le paramétrage de l'attribut "member of".
 
  
 
Il faut créer le groupe et le lier à l'annuaire et renseigner l'identifiant annuaire.
 
Il faut créer le groupe et le lier à l'annuaire et renseigner l'identifiant annuaire.
Ligne 107 : Ligne 125 :
  
 
Lorsque l'utilisateur se connecte, si il appartient au groupe, il est automatiquement créé et associé au groupe dans Sage 1000.
 
Lorsque l'utilisateur se connecte, si il appartient au groupe, il est automatiquement créé et associé au groupe dans Sage 1000.
 
  
 
*Autorisation préalable
 
*Autorisation préalable

Version actuelle en date du 13 novembre 2022 à 21:29

Sommaire


version800-32x32.png

Les annuaires SAML v2 sont des annuaires de gestion d'identités implémentant le protocole d'authentification SAML v2

De nombreux fournisseurs de service implémentent SAML v2.

Les bénéfices de l'utilisation d'un annuaire SAML v2 sont les suivants :

  • Vous n'avez plus besoin de gérer les identités des utilisateurs.
  • Vos utilisateurs se connectent avec les identifiants du fournisseur de l'annuaire.
  • Vos utilisateurs sont automatiquement connectés lorsqu'ils sont authentifiés sur le fournisseur de l'annuaire.(SSO)

Définitions

On distingue

  • Le fournisseur de service (Service Provider ou SP). Dans notre cas, c'est Sage 1000.
  • Le fournisseur d'identité (Identity Provider ou IP). Le service qui gère les identités.
  • L'utilisateur (User Agent).

Les messages échangés sont appelés assertions.

Mise en oeuvre

Paramétrer le fournisseur d'identité

La mise en oeuvre d'un annuaire SAML v2 nécessite que vous enregistriez votre Service 1000 auprès du fournisseur d'identité. Les informations mises en oeuvre au cours de cette étapes sont :

  • Une URL de rappel pointant sur votre Service 1000 contenant l'action samlv2_success.l1000, par exemple https://[hôte]/samlv2_success.l1000
  • Un identifiant (SP Entity ID). Cet identifiant unique peut être proposé par l'Identiy Provider.
  • Le certificat public du SP pour que l'IP puisse vérifier les signatures des assertions.(facultatif)
  • Le paramétrage des attributs. En effet, Sage1000 doit faire correspondre les attributs de l'Identiy Provider avec ceux de Sage1000.

Le nom des attributs doit correspondre à celui paramétré dans l'annuaire Sage 1000

Tip-20px.png Tip : Si le serveur web n'est pas intégré (IIS), utiliser comme adresse de rappel https://[hôte]/[nom du Service]/server/samlv2_success.l1000

Exemple avec Okta

Exemple avec Azure AD

Exemple avec Google G Suite

Paramétrer le fournisseur de service (l'annuaire dans la console d'administration)

Samlauthdirectory1.PNG

Description de l'écran
  • Identity Provider Single Sign-On URL
URL de connexion vers l'Identiy Provider, fourni par l'Identiy Provider.
  • Identity Provider Issuer
Identifiant de l'Identiy Provider, fourni par l'Identiy Provider.
  • Audience (SP Entity ID)
Identifiant du Service Provider, peut être proposé par l'Identiy Provider ou à renseigner.
  • Force Authentification
Permet de redemander l'authentification à un utilisateur déjà authentifié par ailleurs. Désactive donc la fonction SSO.
  • Auto create users
Mode de création des utilisateurs (voir#Paramétrer le mode de création des utilisateurs)
  • Authentication context declaration reference
Permet de spécifierà l'Identity Provider un mode d'authentification particulier (par exemple double authentification)
  • Authentification comparison
Permet de spécifier l'opérateur à appliquer au paramétrage précédent.(par exemple "au moins une double authentification" ou "exactement une double authentification")
  • Sign SAML request
Signer les assertions envoyées.Nécessite le paramétrage d'un certificat avec une clef privée et de fournir un certificat public à l'Identity Provider pour qu'il puisse vérifier les signatures.
  • Verify SAML response
Vérifier les assertions reçues.Nécessite le paramétrage du certificat public de l'Identity Provider pour pouvoir vérifier les signatures.
Exclam-20px.png Attention : La vérification de la signature de la réponse est obligatoire

Exemples de paramétrage


  • First Name attribute
Nom de l'attribut à lier au prénom de l'utilisateur.
  • Last Name attribute
Nom de l'attribut à lier au nom de l'utilisateur.
  • Email attribute
Nom de l'attribut à lier au mail de l'utilisateur.
  • Member of attribute
Nom de l'attribut à lier au groupe de l'utilisateur.(seulement si on choisit de créer automatiquement les utilisateurs)

Il faut paramétrer :

  • L'URL de connexion vers l'Identiy Provider.
  • L'identifiant (SP Entity ID) paramétré précédemment dans l'Identiy Provider.
  • Le certificat public de l'Identity Provider que Sage1000 puisse vérifier les signatures des assertions.(facultatif)
  • Le paramétrage des attributs.

Exemple avec Okta

Exemple avec Azure AD

Exemple avec Google G suite

Samlauthdirectory2.PNG

La fenêtre de connexion affiche les annuaires SAMLv2 actifs

Samlportallogo.PNG

Paramétrer le mode de création des utilisateurs

  • Création automatique des utilisateurs

Il faut cocher la case "auto create users".

Ce choix implique le paramétrage de l'attribut "member of".

Il faut créer le groupe et le lier à l'annuaire et renseigner l'identifiant annuaire. L'identifiant annuaire correspond à l'identifiant du groupe dans l'Identiy Provider.

Lorsque l'utilisateur se connecte, si il appartient au groupe, il est automatiquement créé et associé au groupe dans Sage 1000.

  • Autorisation préalable

Il est possible d'autoriser préalablement les utilisateurs. Il faut créer l'utilisateur le lier à l'annuaire et renseigner l'identifiant annuaire. L'identifiant annuaire correspond à l'identifiant de l'utilisateur dans l'Identiy Provider.

Exemple avec Okta

Exemple avec Azure AD

Exemple avec Google G Suite


  • Autorisation à la demande

Si un utilisateur souhaite se connecter à l'application mais qu'il n'est pas reconnu, une demande d'autorisation est envoyée aux utilisateurs qui ont le rôle d'administration des utilisateurs et dossier.

Les rôles nécessaires pour recevoir le message :

Role admin.png


Le traitement des demandes d'autorisation :

Demande autorisation.png

Cet assistant crée l'utilisateur, le lie à l'annuaire, et l'ajoute aux utilisateurs autorisés du dossier choisi.


Une fois la demande acceptée un message est envoyé au demandeur.

Outils personnels