Création du connecteur SSO (interconnexion Okta)

Préambule

L'interconnexion de l'application LockSelf à une fédération d'identité se fait via le protocole SAMLv2. Il est donc possible d'interconnecter l'application avec votre compte entreprise Okta.


Étape 1 : Créer le connecteur sur l'IDP

Connectez-vous sur votre interface admin Okta dans la section des Applications : 

  • Etape 1 :  Cliquez sur « Create App Integration » et sur « SAML 2.0 ».

Screenshot_2022-03-22_at_12.44.25_PM.png

Screenshot_2022-03-22_at_12.45.17_PM.png

  • Etape 2 : Définissez un nom pour le connecteur, généralement « LockSelf » et ajoutez le logo si souhaité. Cliquez ensuite sur « Next ».

Screenshot_2022-03-22_at_12.47.58_PM.png

  • Etape 3 : Remplissez le bloc A nommé « SAML Settings »

Screenshot_2022-03-22_at_12.52.16_PM.png

  • Single sign on URL : correspond à l'URL de réponse qui sera appelée par le connecteur.
  • Audience URI (SP Entity ID) : correspond à l'URL des metadatas de l'application.
  • Name ID format : Choisir EmailAddress
  • Application username : Choisir la valeur souhaitée (équivaut à l'UPN de l'utilisateur)

(où FQDN remplace le nom de domaine de votre installation LockSelf).

Une fois ces premières infos renseignées, cliquez sur « Show Advanced Settings » et remplissez les informations comme ci-dessous. Pour l'input « Encryption Certificate », choisissez le certificat relatif à votre nom de domaine (sans la chaine de certification).

Screenshot_2022-03-22_at_12.59.11_PM.png

 

Une fois les options avancées configurées, vous allez maintenant configurer les attributs qui seront envoyées à l'application LockSelf. A cette étape, vous devrez renvoyer obligatoirement les revendications comme ci-dessus. Attention à bien respecter la casse.

Screenshot_2022-03-22_at_1.14.17_PM.png

 
Étape 2 : Déposer sur LockSelf les metadatas de l'IDP

Cette première étape consiste à récupérer le fichier de metadata issus de votre IDP. Vous pourrez récupérer le fichier ou l'URL dans l'onglet « Sign On » du connecteur : 

Screenshot_2022-03-22_at_1.26.57_PM.png

 

Une fois le fichier ou l'URL récupéré, vous devrez l'envoyer à votre Gestionnaire de Comptes dédié.

 

Étape 3 : Autoriser les utilisateurs à accéder à l'application

Cette étape consiste à choisir quels utilisateurs ou quels groupes d'utilisateurs peuvent avoir accès au connecteur, et donc à l'application.

Pour ce faire, il faudra cliquer dans le menu de gauche « Assignments » puis sur « Assign ».

Screenshot_2022-03-22_at_1.47.55_PM.png

Vous pourrez à ce niveau ajouter les utilisateurs et groupes qui seront autorisés à utiliser le connecteur.

 

Étape 4 : Vérifier la connexion

Une fois ces 4 étapes réalisées et après confirmation de bonne réception de l'URL des metadatas de l'IDP par votre Gestionnaire de Comptes, vous aller pouvoir tester le connecteur :

  • Etape 1 : Afin de pouvoir tester correctement, ouvrez une navigation privée et rendez-vous sur l'URL de votre infrastructure (https://FQDN/?sso). Si vous utilisez l'extension navigateur, cliquez sur la roue crantée, puis sur « Vider le cache ».

  • Etape 2 : Sur l'onglet SSO, renseignez votre email dans le champ affiché ou cliquez directement sur le bouton « Me connecter ».

  • Etape 3 : Vous allez à cette étape être redirigé sur le portail SSO Google de votre organisation où vous pourrez vous authentifier.

  • Etape 4 : Une fois authentifié, vous serez redirigé sur LockSelf, qui vous demandera de créer le code PIN associé à votre compte.

 

Étape 5 : Mise à jour du connecteur

Un cas nécessite une mise à jour du connecteur.

Une mise à jour des certificats de signature / chiffrement de jeton est effectuée sur le connecteur Okta. Dans ce cas, il faudra prévenir votre account manager en amont et fournir le nouveau fichier des metadatas de l'IDP afin que les équipes LockSelf puisse mettre à jour la partie applicative (cf: Étape 2).

 

Mise à jour