Support Centre

Single Sign-on(SSO): Les détails techniques

Dans cet article, vous apprendrez :

  • Quelle version de SAML est supportée par Sherpany ?
  • Comment configurer le SSO avec Sherpany ?
  • Quels sont les mécanismes de sécurité de SAML supportés par Sherpany ?
  • Méthodes d'authentification SSO supportées par Sherpany
  • Qu'est-ce que le Just-In-Time Provisioning et comment fonctionne-t-il ?
  • Qu'est-ce que MyDomain et pourquoi est-il utile ?
  • Quels sont les attributs SAML pris en charge et ceux qui sont obligatoires ?


Quelle version de SAML est supportée par Sherpany ?


Sherpany prend en charge le langage SAML 2.0 (Security Assertion Markup Language) pour offrir une authentification unique à ses clients. SAML est une norme ouverte qui permet aux fournisseurs d'identité (IdP - votre système IAM) de transmettre des informations d'autorisation aux fournisseurs de services (SP - Sherpany).

Vous trouverez plus de détails sur la norme SAML 2.0 sur le site officiel.

 

Comment configurer le SSO avec Sherpany ?

Vous envisagez de mettre en place un SSO pour Sherpany dans votre organisation ? Il vous suffit de nous contacter pour commencer. Notre équipe se fera un plaisir de vous aider. 


Afin de configurer le login SAML dans Sherpany pour votre organisation, les étapes suivantes seront suivies :

  1. Vous fournissez à Sherpany :

    1. Domaines de messagerie utilisés dans votre organisation : Liste des domaines de messagerie qui seront utilisés dans votre organisation et qui sont la propriété de votre organisation afin que nous puissions les ajouter à la "liste autorisée".

    2. L'url de MyDomain que vous souhaitez utiliser

  2. Sherpany crée la configuration SAML initiale et partage le lien vers le XML de configuration du SP

  3. Sur la base du XML de configuration SP fourni, vous pouvez configurer la partie IdP et la partager avec Sherpany :
    → Votre configuration (sous la forme d'un fichier XML ou d'un lien vers la configuration)
    → Correspondance des attributs SAML

  4. Sherpany termine la configuration et SAML est prêt à être testé par vous.


Quels sont les mécanismes de sécurité de SAML supportés par Sherpany ?

Par défaut, Sherpany signe les demandes et souhaite que l'assertion soit signée, mais nous supportons également la signature des messages.

Ceci peut être configuré mais nous recommandons de conserver au moins le mécanisme de signature des assertions ou des messages.

La fonction de hachage par défaut utilisée pour la signature est SHA-256, mais nous prenons également en charge SHA-1, SHA-384 et SHA-512.

Si vous avez des questions relatives à la sécurité, contactez-nous.


SSO authentication methods supported by Sherpany

Methodes

SSO initié par l'IdP : Post
Dans ce scénario, un utilisateur est connecté à l'IdP et tente d'accéder à une ressource sur un serveur SP distant. L'assertion SAML est transportée vers le SP via HTTP POST.

Conseil

Si un utilisateur tente d'accéder à des ressources protégées sans être préalablement authentifié sur le site de l'IdP, Sherpany redirigera simplement l'utilisateur (code http 302 - PAS de SSO réellement initié par le SP) vers la page SSO externe de l'IdP à des fins d'authentification.

DataFlow
  1. L'utilisateur A clique sur l'URL de la plate-forme.
  2. L'utilisateur A arrive sur le site de Sherpany (page protégée).
  3. L'application de Sherpany redirige l'utilisateur A (code http 302 - PAS de SSO initié par le SP) vers la page de connexion SSO externe de l'IdP.

    Important

    L'application de Sherpany ajoute le paramètre RelayState à l'URL de connexion de redirection du client.

  4. L'utilisateur A est authentifié sur le site de l'IdP.
  5. Le système SSO de l'IdP construit une assertion SAML et envoie l'utilisateur A à l'ACS (Assertion Consumer Service) de Sherpany, avec le paramètre RelayState ajouté à l'assertion.
  6. Le système de fédération de Sherpany décrypte et valide l'assertion.
  7. Le système de la fédération Sherpany envoie l'utilisateur A à l'URL de la plateforme Sherpany en fonction du paramètre RelayState
  8. L'utilisateur A est connecté à la plateforme de Sherpany..



SP Initiated SSO: Post / Post
Dans ce scénario, un utilisateur tente d'accéder à une ressource protégée directement sur un site Web du PS sans être connecté. L'utilisateur n'a pas de compte sur le site du SP, mais a un compte fédéré géré par un IdP tiers. Le SP envoie une demande d'authentification à l'IdP. La demande et l'assertion SAML renvoyée sont envoyées par le navigateur de l'utilisateur via HTTP POST.


Qu'est-ce que le Just-In-Time Provisioning et comment fonctionne-t-il ?

Avec le provisionnement juste-à-temps, vous pouvez utiliser une assertion SAML pour créer des utilisateurs à la volée la première fois qu'ils essaient de se connecter. Il n'est donc plus nécessaire de créer des comptes d'utilisateur à l'avance. Par exemple, si vous avez récemment ajouté un employé à votre organisation, vous n'avez pas besoin de créer manuellement l'utilisateur dans Sherpany. Lorsqu'il se connecte à l'aide de l'authentification unique, son compte est automatiquement créé pour lui, ce qui élimine le temps et les efforts nécessaires à l'intégration du compte.


Information  

Sherpany ne prend en charge qu'une seule salle de réunion par configuration de fournisseur d'identité


Qu'est-ce que MyDomain et pourquoi est-ce utile?

 

MyDomain est nécessaire pour mettre en place une authentification unique avec Sherpany.


En utilisant MyDomain, Sherpany définit un sous-domaine pour les entreprises clientes. Le nom du sous-domaine apparaît dans toutes les URL d'org et remplace le domaine général app.sherpany.com. Par exemple, vous pouvez marquer votre URL en nommant le sous-domaine avec le nom de votre entreprise, https://mydomain.my.sherpany.com/ 

Le lien MyDomain permet aux utilisateurs de sauter la partie de connexion où l'utilisateur choisit le fournisseur SSO et peut être partagé, par exemple via des pages intranet.


Quels sont les attributs SAML pris en charge et ceux qui sont obligatoires ?

Attributs SAML requis

  • NameId - Un identifiant unique qui ne change pas dans le temps. Utilisé pour identifier un utilisateur. Par défaut, Sherpany cherche dans le champ générique NameId (urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified). Cependant, nous pouvons le mettre en correspondance avec n'importe quel autre champ de l'assertion. “Par ex. employé, numéro, objet…”

  • Email - doit être globalement unique dans Sherpany


Attributs SAML facultatifs

  • Prénom - prénom de l'utilisateur

  • Nom de famille - nom de famille de l'utilisateur

  • Phone number - numéro de téléphone de l'utilisateur


Les métadonnées de l'utilisateur dans Sherpany peuvent être mises à jour soit lors de la première connexion de l'utilisateur, soit lors de toutes les connexions suivantes.


Cette réponse a-t-elle été utile ? Oui Non

Envoyer vos commentaires
Désolés de n'avoir pu vous être utile. Aidez-nous à améliorer cet article en nous faisant part de vos commentaires.