Aller au contenu principal

SAML 2.0

SEI prend en charge l'intégration de l'authentification unique (SSO) uvia le protocole SAML 2.0. Cela permet une authentification sécurisée et unifiée avec les fournisseurs d’identité de votre organisation, et offre aux utilisateurs un accès fluide à SEI dans l’ensemble de l’environnement.

Pour plus de détails sur les claims SAML et la configuration avancée, consultez Personnaliser les claims des jetons SAML.

important

Pour des raisons de sécurité et de conformité :

  • Évitez les configurations multitenant – privilégiez le mode single‑tenant afin de réduire les risques d’accès inter‑locataires.
  • Évitez d’utiliser l’adresse e‑mail comme identifiant utilisateur – les e‑mails peuvent changer et ne sont pas toujours uniques. Préférez les claims tels que oid ou sub.
Méthode SSODescription
AzureConfigurez un SSO SAML sécurisé entre Azure Active Directory et SEI, permettant aux utilisateurs de se connecter avec leurs identifiants Microsoft.
OktaConfigurez une intégration SAML SSO avec Okta pour SEI et le complément Excel (Add‑in). Créez une application Okta distincte pour chaque composant.
OneLoginMettez en place un SSO SAML avec OneLogin pour offrir un accès centralisé à SEI et au complément Excel (Add‑in). Créez une application distincte pour chaque composant.

Authentification unique (SSO) Azure

Configurez le domaine Azure

  1. Connectez-vous au portail Microsoft Azure.
  2. Dans Services Azure, sélectionnez Applications d'entreprise. Cliquez sur Autres services si l’option n’apparaît pas.
  3. Cliquez sur Nouvelle application, puis sur Créer votre propre application.
  4. Saisissez un nom pour votre application et cliquez sur Créer.
  5. Sous Commencer, cliquez sur Configurer l'authentification unique.
  6. Sélectionnez SAML comme méthode SSO.
  7. Complétez les sections Configuration SAML de base et Attributs et claims utilisateur.

Configuration SAML de base

  1. Dans l'onglet Authentification unique, cliquez sur l'icône de crayon à côté de Configuration SAML de base.
  2. Dans le champ Identifiant (Entity ID), copiez l'URL Entity ID fournie par SEI.
    Exemple : pour une adresse serveur biwebserver.mycompany.com:444, utilisez l’identifiant unique indiqué par votre serveur ou certificat.
  3. Dans URL de réponse (URL du service de consommation d'assertions), copiez l'URL ACS (SAML2) depuis SEI — pour l’application et pour le complément Excel (Add‑in).
  4. Dans URL de connexion, saisissez l’URL de connexion directe à votre application Web (par exemple, https://yourserver:81).
  5. Cliquez sur Sauvegarder pour enregistrer.
  6. Allez dans l'onglet Utilisateurs et groupes.
  7. Cliquez sur Ajouter un utilisateur/groupe pour attribuer les utilisateurs et groupes autorisés à utiliser le SSO.

Attributs et claims utilisateur

  1. Dans l'onglet Authentification unique, cliquez sur l'icône crayon à côté de Attributs et claims utilisateur. La page Gérer les revendications s’affiche.
  2. Cliquez sur Ajouter une nouvelle revendication.
  3. Pour Nom, saisissez mailnickname.
  4. Dans Source, sélectionnez Attribut.
  5. Pour Attribut source, saisissez user.mailnickname.
  6. Cliquez sur Sauvegarder pour valider.

Télécharger le certificat

  1. Dans l'onglet Authentification unique, faites défiler jusqu'à Certificats SAML.
  2. Cliquez sur Télécharger à côté de Certificat (Base64).
  3. Connectez-vous à SEI et finalisez la configuration en ajoutant Azure comme fournisseur dans Authentification.
astuce

Pour un exemple complet, consultez Exemple de configuration Microsoft Azure.

Authentification unique (SSO) Okta

important

Si le message d’erreur Unable to find the user identifier in the claims apparaît, configurez manuellement les claims dans la section Attribute Statements d’Okta. Cela signifie généralement que l’attribut utilisateur requis n’a pas été inclus dans la réponse SAML.
Configurez les claims afin qu’ils correspondent à l’identifiant utilisateur défini dans la page Authentification.

Créez les applications SAML

Créez deux applications — une pour SEI et une pour le complément Excel (Add‑in).

  1. Créez un compte développeur sur Okta.
  2. Dans le tableau de bord Okta, cliquez sur Applications dans le menu principal.
  3. Cliquez sur Create App Integration.
  4. Choisissez SAML 2.0 comme méthode de connexion, puis cliquez sur Next.

Configurez les détails de l'application

Répétez les étapes suivantes pour chaque application :

  1. Dans App name, saisissez un nom, par exemple SAML 2 Web Server ou SAML 2 Excel Add-in.
  2. Cliquez sur Next.
  3. Dans Single Sign on URL, copiez l'URL ACS (SAML2) depuis SEI.
  4. Dans Audience URI (SP Entity ID), copiez l'URL Entity ID fournie par SEI.
  5. Cliquez sur Next, puis sur Finish.

Attribuer les utilisateurs et récupérer les informations du fournisseur d’identité

  1. Sous l'onglet Assignments, cliquez sur Assign pour ajouter les utilisateurs autorisés à utiliser le SSO.
  2. Téléchargez le certificat Okta associé à cette application.
  3. Allez dans l'onglet Sign On et sélectionnez View Setup Instructions.
  4. Notez les valeurs Single Sign-On URL et Identity Provider Issuer (Entity ID) — vous en aurez besoin pour la configuration SSO dans SEI.
  5. Connectez-vous à SEI et finalisez la configuration en ajoutant Okta comme fournisseur dans Authentification.
astuce

Pour un exemple complet, consultez Exemple de configuration Okta.

Authentification unique (SSO) OneLogin

Pour intégrer SEI avec OneLogin via SAML 2.0, créez deux applications — une pour SEI et une pour le complément Excel (Add‑in).

Créez les applications SAML

Répétez ces étapes pour chaque application :

  1. Connectez-vous à votre domaine OneLogin.
  2. Dans le menu, cliquez sur Applications, puis sur Add App.
  3. Recherchez et sélectionnez SAML Custom Connector (Advanced).
  4. Saisissez un nom d’application :
    • SAML 2 Web Server pour SEI.
    • SAML 2 Excel Add-in pour le complément Excel (Add‑in)
  5. Dans l'onglet Configuration, définissez les éléments suivants :
    • Audience (Entity ID) : saisissez l’ID du client (Entity ID) fourni par SEI.
    • ACS (Consumer) URL Validator : saisissez la valeur de validation pour l’URL ACS/Consumer.
    • ACS (Consumer) URL : saisissez l’URL ACS (SAML2) fournie par SEI.
  6. Ouvrez l'onglet SSO et vérifiez que SML Signature Algorithm est défini sur SHA-256.
  7. Copiez les valeurs Issuer URL, SAML 2.0 Endpoint (HTTP) et SLO Endpoint (HTTP) pour les utiliser dans la configuration SSO de SEI.
  8. Cliquez sur Save.
  9. Connectez-vous à SEI et finalisez la configuration en ajoutant OneLogin comme fournisseur dans *Authentification.
astuce

Pour un exemple complet, consultez Exemple de configuration OneLogin.