SSO protocole SAML 2.0

Avant de commencer

Le document suivant fournit les informations nécessaires pour la mise en place d'une authentification unique entre votre fournisseur d'identité (annuaire) et les solutions LUCCA grâce au protocole SAML 2.0.

Dénomination

IdP Identity Provider le fournisseur d'identité, service lié à votre annuaire interne
SP Service Provider le fournisseur de service, les solutions LUCCA

Etape 1 : Création de la configuration dans Lucca

Cette manipulation devra être effectuée par un administrateur.

La mise en place d’un SSO nécessite dans un premier temps son activation dans votre interface Lucca. Cette activation vous permet de récupérer vos URLs de connexion et de réponse ainsi que l’identificateur Lucca qui seront renseignés dans la section “Informations du fournisseur de service Lucca”.

chrome_2020-03-03_17-44-40.png

Etape 2 : Intégration meta-données SP

A partir des meta-données fournies dans votre interface LUCCA, il conviendra de configurer une application SAML 2.0 sur votre IdP pour le compte du SP LUCCA.

Votre IdP retourne au SP LUCCA un seul attribut utilisateur (identifiant unique) dans le jeton SAML 2.0.

SAML_diagram__2_.pngSP LUCCA fait correspondre l'identifiant utilisateur reçu avec les données de connexion intégrées dans la base de données LUCCA. Il s'agit soit du champ adresse email professionnelle ou du champ login.

Une fois authentifié, l'utilisateur se voit attribuer une session LUCCA.

Etape 3 : Niveau de sécurité

La demande d'authentification AuthRequest générée par notre SP sera signée. Le jeton retourné par votre IdP peut être signé au niveau SAML Response et/ou SAML Assertion.

De plus, le nœud SAML Assertion peut être chiffré.

Etape 4 : Paramétrage LUCCA

Cette manipulation devra être effectuée par un administrateur.

Une fois la configuration effectuée dans votre interface, il vous faudra retourner dans les paramètres d’authentification de Lucca pour y renseigner les éléments suivants :

  • Les meta-données IdP
  • Le niveau de sécurité du jeton
  • La politique de signature et de chiffrement
  • Le champ LUCCA auquel correspond l'identifiant utilisateur envoyé dans le jeton (étape 2) : adresse email ou login

Une URL publique d'accès aux metadata IdP est à privilégier. En effet, dans le cas du renouvellement du certificat IdP, la configuration au sein de notre SP pourra ainsi être maintenue à jour automatiquement.

Toutefois, si vous décidez de ne pas exposer publiquement votre IdP (et de ce fait, les metadata), vous pouvez nous envoyer le fichier XML metadata.

NB : en cas de renouvellement du certificat IdP, il vous faudra alors le mettre à jour dans votre interface Lucca afin d'éviter toute interruption de service.

mceclip0.png

L’attribut de connexion vous permettra de définir quel est l’attribut (login ou adresse de mail professionnelle) envoyé par votre fournisseur d’identité pour effectuer la connexion.

Une fois ces informations renseignées et enregistrées, vous pourrez activer la connexion via SSO dès que vous le souhaiterez :

mceclip1.png

Une fois la connexion via SSO activée, vous pourrez désactiver la possibilité pour vos collaborateurs d’arriver sur la page de connexion Lucca qui leur permet de se connecter avec leur login Lucca et un mot de passe personnalisé en désactivant la “Connexion login/mot de passe Lucca”.

Contenu de la page

Cet article vous a-t-il été utile ?
Utilisateurs qui ont trouvé cela utile : 0 sur 0