Préambule
L'interconnexion de l'application LockSelf à une fédération d'identité se fait via le protocole SAMLv2. Il est donc possible d'interconnecter l'application avec votre compte entreprise Google.
Étape 1 : Déposer sur LockSelf les metadatas de l'IDP
Cette première étape consiste à récupérer le fichier de metadatas issus de votre IDP.
Ce fichier de metadatas (format XML) peut être récupéré à l'URL suivante : https://admin.google.com/ac/security/ssocert
Récupérez cette URL, et renseignez-là dans l'application LockSelf. Pour cela, consultez cette documentation : Configuration de l'interconnexion SSO (cloud privé uniquement).
Étape 2 : Récupérer les metadatas de l'application
Une fois votre fichier XML de metadatas issu de votre IDP déposé sur LockSelf, vous pourrez récupérer les metadatas de l'application qui vous serviront à créer le connecteur à l'URL suivante :
(où FQDN remplace le nom de domaine de votre installation LockSelf).
Étape 3 : Créer le connecteur sur l'IDP
Connectez-vous sur votre interface admin Google dans la section des Applications :
https://admin.google.com/ac/apps/unified
- Etape 1 : Cliquez sur « Ajouter une application » et puis « Ajouter une application SAML personnalisée ».
- Etape 2 : Définissez un nom pour le connecteur, généralement « LockSelf ». Ajoutez-y une description et un logo si vous le souhaitez.
- Etape 3 : l'étape suivante a déjà été réalisée en Étape 1 de cette documentation. Vous pouvez cliquer directement sur « Continuer ».
- Etape 4 : remplissez les champs relatifs à l'application :
- URL ACS : Correspond à l'URL Assertion Consumer Service, soit l'URL de response
- ID d'entité : Correspond à l'URL des metadatas de l'application.
- URL de démarrage : Correspond à l'URL de connexion pour vos utilisateurs.
(où FQDN remplace le nom de domaine de votre installation LockSelf).
Concernant l'ID du nom, il sera utilisé comme identifiant principal sur LockSelf.
- Pour le format de l'ID du nom, choisir « Transient »
- Pour l'ID du nom, choisir « Basic Information > Primary email »
Étape 4 : Mapper les attributs
La dernière étape consiste à mapper les attributs, c'est-à-dire spécifier les attributs des utilisateurs qui seront envoyés à l'application.
- Primary Email : mail
- First name : firstname
- Last name : lastname
Puis cliquez sur « Terminer »
Étape 5 : Autoriser les utilisateurs à accéder à l'application
Cette étape consiste à choisir quels utilisateurs ou quels groupes d'utilisateurs peuvent avoir accès au connecteur, et donc à l'application.
Pour se faire, il faudra cliquer sur le bloc « Accès des utilisateurs ».
Ensuite, choisir les utilisateurs / groupes autorisés.
Étape 6 : Vérifier la connexion
Une fois ces étapes réalisées, vous allez pouvoir tester le connecteur :
- Etape 1 : Afin de pouvoir tester correctement, ouvrez une navigation privée et rendez-vous sur l'URL de votre infrastructure (https://FQDN/?sso). Si vous utilisez l'extension navigateur, cliquez sur la roue crantée, puis sur « Vider le cache ».
- Etape 2 : Sur l'onglet SSO, renseignez votre email dans le champ affiché ou cliquez directement sur le bouton « Me connecter ».
- Si cela ne fonctionne pas, sur la page de connexion, cliquez sur les roues crantées en haut à droite, et vérifiez que dans le champs URL API, il y a bien d'inscrit /api/ à la fin du nom de domaine dédié. Par exemple : https://votreentreprise.lockself-cloud.com/api/, https://lockself.votreentreprise.com/api/, etc ...
- Si cela ne fonctionne pas, sur la page de connexion, cliquez sur les roues crantées en haut à droite, et vérifiez que dans le champs URL API, il y a bien d'inscrit /api/ à la fin du nom de domaine dédié. Par exemple : https://votreentreprise.lockself-cloud.com/api/, https://lockself.votreentreprise.com/api/, etc ...
- Etape 3 : Vous allez à cette étape être redirigé sur le portail SSO Google de votre organisation où vous pourrez vous authentifier.
- Etape 4 : Une fois authentifié, vous serez redirigé sur LockSelf, qui vous demandera de créer le code PIN associé à votre compte.
Consultez cette documentation si besoin : La connexion SSO (Single Sign-On).
Étape 7 : Mettre à jour le connecteur
Une mise à jour des certificats de signature/chiffrement de jetons doit parfois être effectuée sur le connecteur Google.
Dans ce cas, il faudra mettre à jour le nouveau fichier metadatas de l'IDP, dans l'onglet Paramètres du compte Administrateur, sur le module SSO. Pour cela, consultez cette documentation : Configuration de l'interconnexion SSO.
Mise à jour