Avant de commencer
Nous proposons les 2 protocoles d'authentification OAuth 2.0 et SAML 2.0 pour Google Identity Platform. Le document suivant fournit les informations nécessaires pour la mise en place d'une authentification unique entre Google Identity Platform et les solutions LUCCA via le protocole SAML 2.0.
Pour le protocole OAuth 2.0, voici la fiche d'aide pour la mise en place.
Étape 1 : Création de la configuration dans Lucca
Cette manipulation devra être effectuée par un administrateur ou un utilisateur ayant accès au module "Paramètres d'authentification et SSO".
1. Activez la méthode d'authentification qui correspond suivant le protocole (OAuth 2.0, SAML 2.0, ...) et votre IDP.
2. Récupérez différentes informations dans le détail de la section “Informations du fournisseur de service Lucca”, dans cet exemple c'est un protocole SAML 2.0, mais cela reste applicable pour les autres protocoles :
- Votre URL de connexion ;
- Votre URL de réponse ;
- Votre URL des métadonnées (uniquement SAML2.0) ;
- Votre identificateur Lucca (uniquement SAML2.0).
Étape 2 : Création d'une application SAML 2.0
1. Depuis l'interface Google Admin (les droits administrateur sont nécessaires), sélectionnez Applications.
2. Cliquez sur Applications SAML. puis sur le bouton + en bas à droite de l'écran pour ajouter une nouvelle application.
3. Sélectionnez Configurer mon application personnalisée.
4. Téléchargez le fichier de métadonnées IdP.
5. Donner un nom explicite à l'application (ce sera le nom affiché dans le menu Google).
Vous pouvez récupérer le logo LUCCA à l'URL suivante :
https://design.lucca.fr/shared/lucca-256x256.png
6. Saisissez les informations qui ont été obtenues depuis l'interface LUCCA, pour ce faire, compléter :
- l'URL ACS (côté Google) avec l'URL de Réponse (côté Lucca) ;
- l'ID d'entité (côté Google) avec l'identificateur Lucca (côté Lucca) ;
- l'URL de démarrage (côté Google) avec l'URL de connexion (côté Lucca).
7. Cochez la case Réponse signée et renseigner l'identifiant du nom ainsi que le format de l'ID de nom comme suit.
7. Puis, cliquez sur Ajouter un nouveau mappage.
Attribut de l'application à renseigner :
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
Informations générales et Adresse e-mail principale sont à sélectionner.
8. Si toutes les données ont été correctement renseignées, le message suivant s'affiche.
Une fois l'application créée, il conviendra d'activer l'application pour tous les utilisateurs.
NB : l'activation peut prendre plusieurs heures avant d'être effective.
Étape 3 : Paramétrage LUCCA
Cette manipulation devra être effectuée par un administrateur ou un utilisateur ayant accès au module "Paramètres d'authentification et SSO".
Une fois la configuration effectuée dans votre interface de gestion Google, il vous faudra retourner dans les paramètres d’authentification de Lucca pour y intégrer l'URL de métadonnées ou le cas échéant le fichier IdP téléchargé à l'étape 2.
Par défaut seront activés les paramètres standards de signature et chiffrement. Si votre configuration est spécifique vous pourrez modifier ces paramètres.
Une fois ces informations renseignées et enregistrées, vous pourrez activer la connexion via SSO dès que vous le souhaiterez :
Une fois la connexion via SSO activée, vous pourrez désactiver la possibilité pour vos collaborateurs d’arriver sur la page de connexion Lucca qui leur permet de se connecter avec leur login Lucca et un mot de passe personnalisé en désactivant la “Connexion login/mot de passe Lucca”.