SAML SSO Authentification - Guide d'implémentation

1. Objectif

Faciliter la vie de vos opérateurs en leur permettant de s'authentifier dans iAdvize à partir de leur propre système d'authentification centralisé (fournisseur d'identité).

2. Use case 

Si les opérateurs doivent basculer entre plusieurs applications (dont iAdvize) au cours de leur travail quotidien, SAML est l'un des protocoles SSO les plus reconnus sur le marché aujourd'hui et est très répandu dans les grandes entreprises. Il permet aux clients d'authentifier leurs utilisateurs dans iAdvize en utilisant leur propre système d'authentification centralisé (fournisseur d'identité). 

L'authentification SAML peut être utile pour deux raisons principales :

  • sécurité : elle permet aux clients d'authentifier leurs utilisateurs dans plusieurs outils avec un seul compte utilisateur centralisé pour chaque utilisateur (nécessitant ainsi un seul login/mot de passe), et de paramétrer l'authentification et les autorisations des utilisateurs dans plusieurs outils à partir d'un seul système d'authentification.
  • déploiement d'utilisateurs : il permet aux clients d'intégrer de nombreux utilisateurs (des centaines ou des milliers) facilement et rapidement sans avoir à créer et à gérer un utilisateur/mot de passe spécifique pour chacun d'eux. Il est basé sur le mot de passe des utilisateurs du contrôleur de domaine/Active Directory/base de données.

3. Processus

Si vous êtes intéressé par l'utilisation de l'authentification SSO SAML, veuillez contacter votre Customer Success Manager iAdvize.

4. Prérequis : créer vos utilisateurs

iAdvize utilise l'adresse email comme clé d'unicité, elle doit donc être unique. 
L'adresse email de l'utilisateur doit être la même entre iAdvize et votre fournisseur d'identité. 

N'hésitez pas à lire notre article sur comment créer ou modifier un utilisateur.


Les utilisateurs doivent également être créés au préalable sur le contrôleur de domaine/Active Directory/base de données.

5. Étapes d'implémentation

5.1. Configurer la connexion

Voici les étapes à suivre afin de configurer la connexion :
5.1.1. Partagez avec nous votre certificat SAML

> X509 Signing Certificate - c'est-à-dire la clé publique du fournisseur d'identité encodée au format PEM ou CER

5.1.2. Fournissez-nous votre URL de connexion > c'est-à-dire l'URL à partir de laquelle l'utilisateur se connecte au fournisseur d'identité
5.1.3. Exposez l'email de votre utilisateur via l'attribut NameID ou via un attribut SAML spécifique > iAdvize utilise l'email pour faire correspondre vos utilisateurs aux utilisateurs iAdvize
5.1.4. (optionnel) Envoyez-nous votre domaine email pour forcer les utilisateurs à utiliser le SSO > Ceci n'est applicable que si vous voulez utiliser une application mobile et/ou si vous ne voulez pas utiliser le lien direct SAML, ou pour éviter la connexion par login/mot de passe.

 

5.2. Connexion d'un utilisateur

Il existe deux options de connexion. Si vous ne savez pas laquelle est la plus adaptée à votre cas d'utilisation, veuillez en discuter avec votre Customer Success Manager et le chef de projet technique impliqué dans le projet.

5.2.1. Connexion par un lien direct

Il est possible de générer et d'utiliser un lien direct pour connecter un utilisateur directement dans iAdvize ; le lien généré suit cette convention et est généré sur demande pour chaque client :

https://ha.iadvize.com/admin/login?connectionId=saml-ha-<clientID>
Lorsqu'un utilisateur tente de se connecter en utilisant un tel lien, s'il est déjà connecté au système du fournisseur d'identité du client, il est automatiquement redirigé et connecté à iAdvize (s'il n'est pas encore connecté, il lui est demandé de se connecter à l'IdP avant d'être redirigé et connecté à iAdvize).
C'est très utile, notamment pour les intégrations, et cela simplifie le processus d'intégration des clients à SAML car cela évite de devoir modifier le code de l'administration (voir plus de détails à ce sujet ci-dessous).
Le lien direct est l'option préférée pour se connecter à iAdvize avec SAML.

Notez que ce lien ne peut pas être utilisé sur les applications mobiles.


5.2.2. Connexion via la page de connexion d'iAdvize

Il est également possible d'utiliser la redirection de l'authentification SSO lors de la connexion à iAdvize à partir de la page de connexion standard sur https://ha.iadvize.com.

Dans ce cas, le domaine de l'email avec lequel l'utilisateur se connecte est utilisé comme clé pour déclencher la connexion via SAML, c'est-à-dire que chaque utilisateur appartenant au domaine sur lequel SAML a été activé est redirigé vers l'IdP configuré pour ce domaine lors de la connexion.

C'est la seule option SAML à l'heure actuelle pour les applications mobiles.

Au final, cela ressemble à ceci :

Capture d’écran 2022-09-13 à 14.16.04.png

6. Limitations actuelles
  • la déconnexion n'est pas disponible
  • pas d'auto-provisioning (vous pouvez cependant créer des comptes utilisateur iAdvize via API)
  • pas d'IdP initiated - juste du SP-initiated (pour des questions de sécurité)