SSO protocole SAML 2.0

Avant de commencer

Le document suivant fournit les informations nécessaires pour la mise en place d'une authentification unique entre votre fournisseur d'identité (annuaire) et les solutions LUCCA grâce au protocole SAML 2.0.

Dénomination

IdP Identity Provider le fournisseur d'identité, service lié à votre annuaire interne
SP Service Provider le fournisseur de service, les solutions LUCCA

Étape 1 : Création de la configuration dans Lucca

Cette manipulation devra être effectuée par un administrateur ou un utilisateur ayant accès au module "Paramètres d'authentification et SSO".

MerciApp_e54zozhQB9.png

1. Activez la méthode d'authentification qui correspond suivant le protocole (OAuth 2.0, SAML 2.0, ...) et votre IDP.

MerciApp_flRw7FWTAp.png

2. Récupérez différentes informations dans le détail de la section “Informations du fournisseur de service Lucca”, dans cet exemple c'est un protocole SAML 2.0, mais cela reste applicable pour les autres protocoles :

  • Votre URL de connexion ;
  • Votre URL de réponse ;
  • Votre URL des métadonnées (uniquement SAML2.0) ;
  • Votre identificateur Lucca (uniquement SAML2.0).

MerciApp_G4KJ8ZYlTG.png

MerciApp_rNAYIXR9U6.png

Étape 2 : Intégration métadonnées SP

À partir des métadonnées fournies dans votre interface LUCCA, il conviendra de configurer une application SAML 2.0 sur votre IdP pour le compte du SP LUCCA.

Votre IdP retourne au SP LUCCA un seul attribut utilisateur (identifiant unique) dans le jeton SAML 2.0.

SAML_diagram__2_.pngSP LUCCA fait correspondre l'identifiant utilisateur reçu avec les données de connexion intégrées dans la base de données LUCCA. Il s'agit soit du champ adresse émail professionnelle ou du champ login.

Une fois authentifié, l'utilisateur se voit attribuer une session LUCCA.

Étape 3 : Niveau de sécurité

La demande d'authentification AuthRequest générée par notre SP sera signée. Le jeton retourné par votre IdP peut être signé au niveau SAML Response et/ou SAML Assertion.

De plus, le nœud SAML Assertion peut être chiffré.

Étape 4 : Paramétrage LUCCA

Cette manipulation devra être effectuée par un administrateur.

Une fois la configuration effectuée dans votre interface, il vous faudra retourner dans les paramètres d’authentification de Lucca pour y renseigner les éléments suivants :

  • Les métadonnées IdP
  • Le niveau de sécurité du jeton
  • La politique de signature et de chiffrement
  • Le champ LUCCA auquel correspond l'identifiant utilisateur envoyé dans le jeton (étape 2) : adresse email ou login

Une URL publique d'accès aux metadata IdP est à privilégier. En effet, dans le cas du renouvellement du certificat IdP, la configuration au sein de notre SP pourra ainsi être maintenue à jour automatiquement.

Toutefois, si vous décidez de ne pas exposer publiquement votre IdP (et de ce fait, les metadata), vous pouvez nous envoyer le fichier XML metadata.

NB : en cas de renouvellement du certificat IdP, il vous faudra alors le mettre à jour dans votre interface Lucca afin d'éviter toute interruption de service.

L’attribut de connexion vous permettra de définir quel est l’attribut (login ou adresse de mail professionnelle) envoyé par votre fournisseur d’identité pour effectuer la connexion.

Une fois ces informations renseignées et enregistrées, vous pourrez activer la connexion via SSO dès que vous le souhaiterez :

mceclip2.png

Une fois la connexion via SSO activée, vous pourrez désactiver la possibilité pour vos collaborateurs d’arriver sur la page de connexion Lucca qui leur permet de se connecter avec leur login Lucca et un mot de passe personnalisé en désactivant la “Connexion login/mot de passe Lucca”.

Contenu de la page

Cet article vous a-t-il été utile ?
Utilisateurs qui ont trouvé cela utile : 0 sur 0