Avant de commencer
- Pour Microsoft ADFS, vous pouvez suivre la fiche d'aide suivante : SSO Microsoft ADFS - Active Directory Federation Services
- Pour Azure AD, vous pouvez suivre la fiche d'aide suivante : SSO Azure Active Directory (SAML 2.0)
- Pour les autres fournisseurs d'identité, veuillez suivre les indications ci-dessous
Le document suivant fournit les informations nécessaires pour la mise en place d'une authentification unique entre votre fournisseur d'identité (annuaire) et les solutions LUCCA grâce au protocole SAML 2.0.
Dénomination
IdP | Identity Provider | le fournisseur d'identité, service lié à votre annuaire interne |
SP | Service Provider | le fournisseur de service, les solutions LUCCA |
Étape 1 : Création de la configuration dans Lucca
Cette manipulation devra être effectuée par un administrateur ou un utilisateur ayant accès au module "Paramètres d'authentification et SSO".
1. Activez la méthode d'authentification qui correspond suivant le protocole (OAuth 2.0, SAML 2.0, ...) et votre IDP.
2. Récupérez différentes informations dans le détail de la section “Informations du fournisseur de service Lucca”, dans cet exemple c'est un protocole SAML 2.0, mais cela reste applicable pour les autres protocoles :
- Votre URL de connexion ;
- Votre URL de réponse ;
- Votre URL des métadonnées (uniquement SAML2.0) ;
- Votre identificateur Lucca (uniquement SAML2.0).
Étape 2 : Intégration métadonnées SP
À partir des métadonnées fournies dans votre interface LUCCA, il conviendra de configurer une application SAML 2.0 sur votre IdP pour le compte du SP LUCCA.
Votre IdP retourne au SP LUCCA un seul attribut utilisateur (identifiant unique) dans le jeton SAML 2.0.
SP LUCCA fait correspondre l'identifiant utilisateur reçu avec les données de connexion intégrées dans la base de données LUCCA. Il s'agit soit du champ adresse émail professionnelle ou du champ login.
Une fois authentifié, l'utilisateur se voit attribuer une session LUCCA.
Étape 3 : Niveau de sécurité
La demande d'authentification AuthRequest générée par notre SP sera signée. Le jeton retourné par votre IdP peut être signé au niveau SAML Response et/ou SAML Assertion.
De plus, le nœud SAML Assertion peut être chiffré.
Étape 4 : Paramétrage LUCCA
Cette manipulation devra être effectuée par un administrateur.
Une fois la configuration effectuée dans votre interface, il vous faudra retourner dans les paramètres d’authentification de Lucca pour y renseigner les éléments suivants :
- Les métadonnées IdP
- Le niveau de sécurité du jeton
- La politique de signature et de chiffrement
- Le champ LUCCA auquel correspond l'identifiant utilisateur envoyé dans le jeton (étape 2) : adresse email ou login
Une URL publique d'accès aux metadata IdP est à privilégier. En effet, dans le cas du renouvellement du certificat IdP, la configuration au sein de notre SP pourra ainsi être maintenue à jour automatiquement.
Toutefois, si vous décidez de ne pas exposer publiquement votre IdP (et de ce fait, les metadata), vous pouvez nous envoyer le fichier XML metadata.
NB : en cas de renouvellement du certificat IdP, il vous faudra alors le mettre à jour dans votre interface Lucca afin d'éviter toute interruption de service.
L’attribut de connexion vous permettra de définir quel est l’attribut (login ou adresse de mail professionnelle) envoyé par votre fournisseur d’identité pour effectuer la connexion.
Une fois ces informations renseignées et enregistrées, vous pourrez activer la connexion via SSO dès que vous le souhaiterez :
Une fois la connexion via SSO activée, vous pourrez désactiver la possibilité pour vos collaborateurs d’arriver sur la page de connexion Lucca qui leur permet de se connecter avec leur login Lucca et un mot de passe personnalisé en désactivant la “Connexion login/mot de passe Lucca”.