SSO protocole SAML 2.0

Avant de commencer

Le document suivant fournit les informations nécessaires pour la mise en place d'une authentification unique entre votre fournisseur d'identité (annuaire) et les solutions LUCCA grâce au protocole SAML 2.0.

> De nombres solutions implémentent le protocole SAML 2.0 par défaut : Oracle, Citrix, Okta, Azure AD, ADFS, etc. 

Dénomination

IdP Identity Provider le fournisseur d'identité, service lié à votre annuaire interne
SP Service Provider le fournisseur de service, les solutions LUCCA

Pré-requis

  • Souscription à l'option SSO LUCCA
  • Disposer d'un fournisseur d'identité qui supporte le protocole SAML 2.0
  • Récupération l'URL metadata SP auprès des équipes LUCCA

Etape 1 : Intégration meta-données SP

A partir des meta-données fournies par nos équipes, il conviendra de configurer une application SAML 2.0 sur votre IdP pour le compte du SP LUCCA.

Etape 2 : Identifiant unique utilisateur

Votre IdP retourne au SP LUCCA un seul attribut utilisateur (identifiant unique) dans le jeton SAML 2.0.

SAML_diagram__2_.pngSP LUCCA fait correspondre l'identifiant utilisateur reçu avec les données de connexion intégrées dans la base de données LUCCA. Il s'agit soit du champ adresse email professionnelle ou du champ login.

Une fois authentifié, l'utilisateur se voit attribué une session LUCCA.

Etape 3 : Niveau de sécurité

La demande d'authentification AuthRequest générée par notre SP sera signée. Le jeton retourné par votre IdP peut être signé au niveau SAML Response et/ou SAML Assertion.

De plus, le nœud SAML Assertion peut être chiffré.

Etape 4 : Paramétrage LUCCA

Merci d'envoyer via notre formulaire en ligne, les informations suivantes :

- les meta-données IdP

- le niveau de sécurité du jeton

  • Signature SAML Response : OUI/NON
  • Signature SAML Assertion : OUI/NON
  • Chiffrement SAML Assertion : OUI/NON

- le champ LUCCA auquel correspond l'identifiant utilisateur envoyé dans le jeton (étape 2) : adresse email ou login

> Une URL publique d'accès aux metadata IdP est à privilégier. En effet, dans le cas du renouvellement du certificat IdP, la configuration au sein de notre SP pourra ainsi être maintenue à jour automatiquement.

> Toutefois, si vous décidez de ne pas exposer publiquement votre IdP (et de ce fait, les metadata), vous pouvez nous envoyer le fichier XML metadata.

NB : en cas de renouvellement du certificat IdP, il sera nécessaire de communiquer en amont, le nouveau certificat via notre formulaire en ligne afin d'éviter toute interruption de service.

Cet article vous a-t-il été utile ?
Utilisateurs qui ont trouvé cela utile : 0 sur 0
Vous avez d’autres questions ? Envoyer une demande

Commentaires