Authentification unique
Vue d'ensemble
Le portail Selligent héberge un point de terminaison du fournisseur de services basé sur le protocole SAML 2.0.
Le fournisseur d'identité (IDP), sous la forme d'un service SSO, est situé du côté du client.
L'authentification unique est lancée dans Selligent et, après un postback de l'IDP, la validité de l'assertion SAML est vérifiée et l'authentification unique est effectuée.
Exigences de paramétrage
Pour mettre en place l'authentification unique entre Selligent et un IDP tiers, les informations suivantes doivent être échangées entre les deux parties.
Zeta requiert les informations suivantes de la part du client :
- L'identifiant du fournisseur d'identité.
- SingleSignOnServiceBindingType : indique si la demande adressée au fournisseur d'identité est une demande POST ou REDIRECT.
- SingleSignOnServiceUrl : emplacement du service SSO du fournisseur d'identité.
- La clé publique du certificat du fournisseur d'identité.
Zeta fournit les informations ci-dessous au client sous la forme d'un fichier metadata.xml :
- L'identifiant du fournisseur de services.
- L'emplacement du service consommateur d'assertion.
- La clé publique du certificat du fournisseur de services.
Attributs SAML pris en charge
Le fournisseur de services Selligent prend en charge un certain nombre d'attributs provenant de l'IDP des clients. Ces attributs peuvent être ajoutés à l'assertion SAML dans les nœuds SAML:AttributeStatement.
Les noms exacts des attributs à utiliser sont énumérés ci-dessous.
- UserID
- Doit être un identifiant unique dans le logiciel Selligent. Il peut s'agir de l'adresse e-mail de l'utilisateur, de son nom d'utilisateur ou de tout autre élément permettant de l'identifier.
- Longueur maximale : 255 caractères
- Prénom
- Longueur maximale : 255 caractères
- Nom
- Longueur maximale : 255 caractères
- Courrier
- Longueur maximale : 255 caractères
- Langue
- Format : EN, FR, ES, NL, etc.
- Selligent/IdpGroup
- Le nom exact du groupe d'IDP qui est configuré dans le module de configuration Administrative sous « groupes d'IDP ». Plusieurs attributs appelés « Selligent/IdpGroup » peuvent être insérés pour accorder plusieurs rôles d'autorisation à un utilisateur.
Fonctionnalité
Comme le montre le schéma, l'authentification effective du compte d'utilisateur est effectuée par le fournisseur d'identité. Le feedback sur l'IDP est envoyé à Selligent et traité comme indiqué ci-dessous.
L'authentification sur l'IDP a échoué :
- L'utilisateur ne sera pas connecté au portail Selligent. Une erreur sera affichée à l'intention de l'utilisateur.
L'authentification sur l'IDP a réussi :
- Si un utilisateur avec l'identifiant unique spécifié est déjà connu dans Selligent :
- L'utilisateur sera authentifié à l'aide de la méthode SSO.
Si l'assertion SAML contient un groupe d'IDP, l'utilisateur recevra les autorisations du module configurées dans les paramètres du groupe d'IDP.
Si l'attribut du groupe d'IDP n'est pas envoyé, l'utilisateur conservera les autorisations qui lui ont été attribuées manuellement.
- L'utilisateur sera authentifié à l'aide de la méthode SSO.
- Si l'utilisateur n'est pas connu sur Selligent :
- L'utilisateur sera créé dans Selligent.
Si l'assertion SAML contient un groupe d'IDP, l'utilisateur recevra les autorisations du module configurées dans les paramètres du groupe d'IDP.
Si l'attribut du groupe d'IDP n'est pas envoyé, l'utilisateur peut se connecter, mais ne peut voir aucun des
modules d'application. Un utilisateur administrateur peut configurer manuellement les autorisations nécessaires sur ce nouveau compte utilisateur.
- L'utilisateur sera créé dans Selligent.
