Création du connecteur SSO (interconnexion Google)

Préambule

L'interconnexion de l'application LockSelf à une fédération d'identité se fait via le protocole SAMLv2. Il est donc possible d'interconnecter l'application avec votre compte entreprise Google.

Étape 1 : Déposer sur LockSelf les metadatas de l'IDP

Cette première étape consiste à récupérer le fichier de metadatas issus de votre IDP.

Ce fichier de metadatas (format XML) peut être récupéré à l'URL suivante : https://admin.google.com/ac/security/ssocert

Récupérez cette URL, et renseignez-là dans l'application LockSelf. Pour cela, consultez cette  documentation : Configuration de l'interconnexion SSO (cloud privé uniquement).

Étape 2 : Récupérer les metadatas de l'application

Une fois votre fichier XML de metadatas issu de votre IDP déposé sur LockSelf, vous pourrez récupérer les metadatas de l'application qui vous serviront à créer le connecteur à l'URL suivante : 

https://FQDN/saml2/metadata

(où FQDN remplace le nom de domaine de votre installation LockSelf).

Étape 3 : Créer le connecteur sur l'IDP

Connectez-vous sur votre interface admin Google dans la section des Applications :

https://admin.google.com/ac/apps/unified

  • Etape 1 :  Cliquez sur « Ajouter une application » et puis « Ajouter une application SAML personnalisée ».

Screenshot_2022-02-15_at_11.10.27_AM.png

  • Etape 2 : Définissez un nom pour le connecteur, généralement « LockSelf ». Ajoutez-y une description et un logo si vous le souhaitez.

Screenshot_2022-02-15_at_11.12.51_AM.png

  • Etape 3 : L'étape suivante a déjà été réalisée en Étape 1 de cette documentation. Vous pouvez cliquer directement sur « Continuer ».

Screenshot_2022-02-15_at_11.14.07_AM.png

  • Etape 4 : Remplissez les champs relatif à l'application : 

(où FQDN remplace le nom de domaine de votre installation LockSelf).

Concernant l'ID du nom, il sera utilisé comme identifiant principal sur LockSelf.

  • Pour le format de l'ID du nom, choisir « Transient »
  • Pour l'ID du nom, choisir « Basic Information > Primary email »

Screenshot_2022-02-15_at_12.02.27_PM.png

Étape 4 : Mapper les attributs

La dernière étape consiste à mapper les attributs, c'est à dire spécifier les attributs des utilisateurs qui seront envoyés à l'application.

  • Primary Email : mail
  • First name : firstname
  • Last name : lastname

Screenshot_2022-02-15_at_12.08.09_PM.png

Puis cliquez sur « Terminer »

Étape 5 : Autoriser les utilisateurs à accéder à l'application

Cette étape consiste à choisir quels utilisateurs ou quels groupes d'utilisateurs peuvent avoir accès au connecteur, et donc à l'application.

Pour se faire, il faudra cliquer sur le bloc « Accès des utilisateurs ».

Screenshot_2022-02-15_at_12.13.16_PM.png

Ensuite, choisir les utilisateurs / groupes autorisés. 

Screenshot_2022-02-15_at_12.15.36_PM.png

Étape 6 : Vérifier la connexion

Une fois ces 5 étapes réalisées, vous aller pouvoir tester le connecteur.

  • Etape 1 : Afin de pouvoir tester correctement, ouvrez une navigation privée et rendez-vous sur l'URL de votre infrastructure (https://FQDN/?sso). Si vous utilisez l'extension navigateur, cliquez sur la roue crantée, puis sur « Vider le cache ».

  • Etape 2 : Sur l'onglet SSO, renseignez votre email dans le champ affiché ou cliquez directement sur le bouton « Me connecter ».

  • Etape 3 : Vous allez à cette étape être redirigé sur le portail SSO Google de votre organisation où vous pourrez vous authentifier.

  • Etape 4 : Une fois authentifié, vous serez redirigé sur LockSelf, qui vous demandera de créer le code PIN associé à votre compte.

Étape 7 : Mettre à jour le connecteur

Une mise à jour des certificats de signature / chiffrements de jetons doit parfois être effectuée sur le connecteur Google.

Dans ce cas, il faudra mettre à jour le nouveau fichier metadatas de l'IDP, dans l'onglet Paramètres du compte Administrateur, sur le module SSO. Pour cela, consultez cette  documentation : Configuration de l'interconnexion SSO (cloud privé uniquement).

Mise à jour