Aperçu de la configuration du SSO SAML
Type d'accès: Paramètres de l'organisation - Éditeur
Fonctionnalité Premium: SSO
Le Single Sign-On (SSO) est un processus d'authentification qui permet aux utilisateurs d'accéder à plusieurs applications ou systèmes avec un seul jeu d'identifiants de connexion. Dans cet article, nous fournirons un aperçu général sur la manière de configurer le SSO en utilisant le protocole standard SAML 2.0.
Pour votre commodité, Didomi propose des ressources dédiées pour les fournisseurs d'identité suivants
Si le fournisseur d'identité de votre organisation ne figure pas dans la liste ci-dessus, veuillez continuer avec les instructions présentées ci-dessous.
SSP initié vs IdP initié
Le SSO peut être initié par le fournisseur de service (SSO initié par le SP) ou initié par le fournisseur d'identité (SSO initié par l'IdP).
SSO initié par le SP
Commence chez le fournisseur de service (SP) lorsque l'utilisateur tente d'accéder à une application spécifique.
SSO initié par l'IdP
Commence chez le fournisseur d'identité (IdP) et est souvent un tableau de bord centralisé ou un portail à partir duquel l'utilisateur sélectionne l'application à utiliser.
La solution SAML SSO de Didomi est initiée par le SP. Assurez-vous que cette initiation est reflétée en conséquence dans le fournisseur d'identité de votre organisation (c.-à-d. que l'IdP de votre organisation peut vous demander de fournir cette configuration).
Récupérer les identifiants SSO SAML
Pour commencer, votre organisation doit récupérer les identifiants SSO SAML depuis la console Didomi afin de poursuivre la configuration dans votre fournisseur d'identité.
Cliquez Mon organisation et sélectionnez Single Sign-on dans le menu déroulant.
Utilisez les champs fournis dans Obtenez vos identifiants SSO SAML pour noter les éléments suivants :
Émetteur configuré
L'identifiant unique du fournisseur d'identité de votre organisation dans la console Didomi.
URL de connexion
Où l'utilisateur sera redirigé après une connexion réussie auprès du fournisseur d'identité.
URL de déconnexion
Où l'utilisateur sera redirigé après une déconnexion réussie auprès du fournisseur d'identité.
Cliquez Continuer lorsque vous avez terminé.
Configurer le fournisseur d'identité
Avec les identifiants SSO SAML de votre organisation copiés depuis la console Didomi, accédez à votre fournisseur d'identité et saisissez les valeurs dans les champs correspondants.
Une fois terminé, localisez où votre organisation configure l'attribut email auprès du fournisseur d'identité et configurez ce qui suit :
Remarque: La configuration de l'attribut email est une étape requise et la configuration SSO SAML de votre organisation ne sera pas complète si cette étape n'est pas effectuée.
Nom
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
Format du nom
Référence URI
Valeur
user.email
Récupérer les métadonnées du fournisseur d'identité
Une fois la configuration au sein du fournisseur d'identité terminée, localisez les métadonnées suivantes et copiez les valeurs :
Certificat X509
Le certificat de signature SAML de votre fournisseur d'identité au format CER base64.
URL de connexion
URL de connexion (Sign In ou login) depuis votre fournisseur d'identité.
URL de déconnexion
URL de déconnexion depuis votre fournisseur d'identité.
Remarque: Ce champ peut être optionnel pour certains fournisseurs d'identité. Dans ce cas, l'URL de connexion sera utilisée à la place.
Ajouter les métadonnées du fournisseur d'identité
Avec les métadonnées de votre fournisseur d'identité copiées, revenez à la configuration SSO dans la console Didomi et saisissez ces valeurs dans les champs fournis pour Configurer les paramètres SSO l'étape.
Cliquez Continuer lorsque vous avez terminé.
Tester et compléter la configuration SSO
Didomi vérifie les métadonnées du fournisseur d'identité. En cas de succès, utilisez le Domaine(s) champ pour ajouter les domaines e-mail auxquels l'authentification SAML sera restreinte (c.-à-d. seuls les utilisateurs dont les e-mails ont ce domaine seront autorisés à se connecter avec SSO SAML).
Pour des raisons de sécurité, le domaine ajouté au Domaine(s) champ doit correspondre au domaine d'e-mail de l'utilisateur effectuant la configuration (par ex. didomi.io ne peut être ajouté que si l'utilisateur qui l'ajoute est connecté à la console Didomi en utilisant une adresse @didomi.io e-mail.
Pour ajouter plus d'un domaine, veuillez contacter l'équipe de support Didomi via le chat ou par e-mail à [email protected].
Cliquez Enregistrer les paramètres.
Une fois terminé, suivez les instructions de votre fournisseur d'identité pour gérer l'accès d'un utilisateur à l'application console Didomi.
Mis à jour