Authentification SAML (Administration)

De Wiki1000
(Différences entre les versions)
(Mise en oeuvre)
Ligne 18 : Ligne 18 :
  
 
Les messages échangés sont appelés assertions.
 
Les messages échangés sont appelés assertions.
 +
 +
===Mise en oeuvre===
 +
 +
====Paramétrer le fournisseur d'identité====
  
  
===Pré-requis===
 
 
La mise en oeuvre d'un annuaire SAML v2 nécessite que vous enregistriez votre Service 1000 auprès du fournisseur d'identité. Les informations mises en oeuvre au cours de cette étapes sont :  
 
La mise en oeuvre d'un annuaire SAML v2 nécessite que vous enregistriez votre Service 1000 auprès du fournisseur d'identité. Les informations mises en oeuvre au cours de cette étapes sont :  
  
 
* Une URL de rappel pointant sur votre Service 1000 contenant l'action samlv2_success.l1000, par exemple https://monService/samlv2_success.l1000
 
* Une URL de rappel pointant sur votre Service 1000 contenant l'action samlv2_success.l1000, par exemple https://monService/samlv2_success.l1000
* Un identifiant (SP Entity ID)
+
* Un identifiant (SP Entity ID). Cet identifiant unique peut être proposé par l'Identiy Provider.
 
* Le certificat public du SP pour que l'IP puisse vérifier les signatures des assertions.(facultatif)
 
* Le certificat public du SP pour que l'IP puisse vérifier les signatures des assertions.(facultatif)
 
+
* Le paramétrage des attributs. En effet, Sage1000 doit faire correspondre les attributs de l'Identiy Provider avec ceux de Sage1000.
===Mise en oeuvre===
+
 
+
====Paramétrer le fournisseur d'identité====
+
 
+
* Renseigner l'adresse de rappel
+
* Renseigner l'identifiant (SP Entity ID)
+
 
+
  
 
====Exemple avec Okta====
 
====Exemple avec Okta====

Version du 26 octobre 2017 à 15:17

Sommaire


Les annuaires SAML v2 sont des annuaires de gestion d'identités implémentant le protocole d'authentification SAML v2

De nombreux fournisseurs de service implémentent SAML v2.

Les bénéfices de l'utilisation d'un annuaire SAML v2 sont les suivants :

  • Vous n'avez plus besoin de gérer les identités des utilisateurs.
  • Vos utilisateurs se connectent avec les identifiants du fournisseur de l'annuaire.
  • Vos utilisateurs sont automatiquement connectés lorsqu'ils sont authentifiés sur le fournisseur de l'annuaire.(SSO)

Définitions

On distingue

  • Le fournisseur de service (Service Provider ou SP). Dans notre cas, c'est Sage 1000.
  • Le fournisseur d'identité (Identity Provider ou IP). Le service qui gère les identités.
  • L'utilisateur (User Agent).

Les messages échangés sont appelés assertions.

Mise en oeuvre

Paramétrer le fournisseur d'identité

La mise en oeuvre d'un annuaire SAML v2 nécessite que vous enregistriez votre Service 1000 auprès du fournisseur d'identité. Les informations mises en oeuvre au cours de cette étapes sont :

  • Une URL de rappel pointant sur votre Service 1000 contenant l'action samlv2_success.l1000, par exemple https://monService/samlv2_success.l1000
  • Un identifiant (SP Entity ID). Cet identifiant unique peut être proposé par l'Identiy Provider.
  • Le certificat public du SP pour que l'IP puisse vérifier les signatures des assertions.(facultatif)
  • Le paramétrage des attributs. En effet, Sage1000 doit faire correspondre les attributs de l'Identiy Provider avec ceux de Sage1000.

Exemple avec Okta

Exemple avec Azure AD

Paramétrer le fournisseur de service (l'annuaire dans la console d'administration)

  • Le fournisseur n'est pas encore paramétré


Param css.png

La fenêtre de connexion affiche les annuaires SAMLv2 actifs


Autoriser les utilisateurs

  • Autorisation préalable

Il est possible d'autoriser préalablement les utilisateurs. Il faut créer l'utilisateur le lier à l'annuaire et renseigner l'identifiant annuaire. L'identifiant annuaire correspond au paramétrage annuaire "UserIdPath" Par exemple si "UserIdPath" retourne l'adresse email de l'utilisateur, il faut renseigner l'adresse email dans l'identifiant annuaire.

Param annuaire oauth2.png

Exclam-20px.png Attention : UserIdPath doit correspondre à une information qui permet d'identifier l'utilisateur (ne pas mettre un prénom dans cette zone)
  • Autorisation à la demande

Si un utilisateur souhaite se connecter à l'application mais qu'il n'est pas reconnu, une demande d'autorisation est envoyée aux utilisateurs qui ont le rôle d'administration des utilisateurs et dossier.

Les rôles nécessaires pour recevoir le message :

Role admin.png


Le traitement des demandes d'autorisation :

Demande autorisation.png

Cet assistant crée l'utilisateur, le lie à l'annuaire, et l'ajoute aux utilisateurs autorisés du dossier choisi.


Une fois la demande acceptée un message est envoyé au demandeur.

Diagramme de séquence

Outils personnels