Préambule
L'interconnexion de l'application LockSelf à une fédération d'identité se fait via le protocole SAMLv2. Il est donc possible d'interconnecter l'application avec votre compte entreprise Okta.
Étape 1 : Créer le connecteur sur l'IDP
Connectez-vous sur votre interface admin Okta dans la section des Applications :
- Etape 1 : cliquez sur « Create App Integration » et sur « SAML 2.0 ».
- Etape 2 : Définissez un nom pour le connecteur, généralement « LockSelf » et ajoutez le logo si souhaité. Cliquez ensuite sur « Next ».
- Etape 3 : Remplissez le bloc A nommé « SAML Settings »
- Single sign on URL : correspond à l'URL de réponse qui sera appelée par le connecteur.
- Audience URI (SP Entity ID) : correspond à l'URL des metadatas de l'application.
- Name ID format : choisir EmailAddress
- Application username : choisir la valeur souhaitée (équivaut à l'UPN de l'utilisateur)
(où FQDN remplace le nom de domaine de votre installation LockSelf).
Une fois ces premières infos renseignées, cliquez sur « Show Advanced Settings » et remplissez les informations comme ci-dessous. Pour l'input « Encryption Certificate », choisissez le certificat relatif à votre nom de domaine (sans la chaine de certification).
Une fois les options avancées configurées, vous allez maintenant configurer les attributs qui seront envoyés à l'application LockSelf. À cette étape, vous devrez renvoyer obligatoirement les revendications comme ci-dessus. Attention à bien respecter la case.
Étape 2 : Déposer sur LockSelf les metadatas de l'IDP
Cette première étape consiste à récupérer le fichier de metadata issus de votre IDP. Vous pourrez récupérer le fichier ou l'URL dans l'onglet « Sign On » du connecteur :
Récupérez cette URL, et renseignez-là dans l'application LockSelf. Pour cela, consultez cette documentation : Configuration de l'interconnexion SSO (cloud privé uniquement).
Étape 3 : Autoriser les utilisateurs à accéder à l'application
Cette étape consiste à choisir quels utilisateurs ou quels groupes d'utilisateurs peuvent avoir accès au connecteur, et donc à l'application.
Pour ce faire, il faudra cliquer dans le menu de gauche « Assignments » puis sur « Assign ».
Vous pourrez à ce niveau ajouter les utilisateurs et groupes qui seront autorisés à utiliser le connecteur.
Étape 4 : Vérifier la connexion
Une fois ces étapes réalisées, vous allez pouvoir tester le connecteur :
- Etape 1 : Afin de pouvoir tester correctement, ouvrez une navigation privée et rendez-vous sur l'URL de votre infrastructure (https://FQDN/?sso). Si vous utilisez l'extension navigateur, cliquez sur la roue crantée, puis sur « Vider le cache ».
- Etape 2 : Sur l'onglet SSO, renseignez votre email dans le champ affiché ou cliquez directement sur le bouton « Me connecter ».
- Si cela ne fonctionne pas, sur la page de connexion, cliquez sur les roues crantées en haut à droite, et vérifiez que dans le champs URL API, il y a bien d'inscrit /api/ à la fin du nom de domaine dédié. Par exemple : https://votreentreprise.lockself-cloud.com/api/, https://lockself.votreentreprise.com/api/, etc ...
- Si cela ne fonctionne pas, sur la page de connexion, cliquez sur les roues crantées en haut à droite, et vérifiez que dans le champs URL API, il y a bien d'inscrit /api/ à la fin du nom de domaine dédié. Par exemple : https://votreentreprise.lockself-cloud.com/api/, https://lockself.votreentreprise.com/api/, etc ...
- Etape 3 : Vous allez à cette étape être redirigé sur le portail SSO Okta de votre organisation où vous pourrez vous authentifier.
- Etape 4 : Une fois authentifié, vous serez redirigé sur LockSelf, qui vous demandera de créer le code PIN associé à votre compte.
Consultez cette documentation si besoin : La connexion SSO (Single Sign-On).
Étape 5 : Mettre à jour le connecteur
Une mise à jour des certificats de signature/chiffrement de jetons doit parfois être effectuée sur le connecteur Okta.
Dans ce cas, il faudra mettre à jour le nouveau fichier metadatas de l'IDP, dans l'onglet Paramètres du compte Administrateur, sur le module SSO. Pour cela, consultez cette documentation : Configuration de l'interconnexion SSO.
Mise à jour