Exemple de configuration SAML 2.0
Cette section explique comment configurer des fournisseurs SAML 2.0 pour Microsoft Azure, Okta et OneLogin, avec des exemples à titre de référence. Pour plus de détails sur chaque paramètre, consultez la page Authentification.
Pour configurer correctement l’authentification SAML2 dans SEI, vous devez suivre trois étapes principales :
- Récupérer les informations du fournisseur (Microsoft Azure, Okta ou OneLogin : Entity ID, endpoints, certificat, etc.).
- Saisir ces valeurs dans SEI dans le formulaire de configuration SAML (section Authentification).
- Associer vos utilisateurs afin que SEI puisse faire correspondre les identités externes aux comptes internes.
Microsoft Azure
Étape 1 — Informations du fournisseur (depuis Azure AD)
Dans Azure AD, récupérez les métadonnées de votre Applications d'entreprise. Ces métadonnées définissent la manière dont Azure AD émet les assertions SAML, incluant les identifiants et points d’accès utilisés par SEI pour valider l’authentification.
| Paramètre | Exemple |
|---|---|
| Federation Metadata URL | (Discovery Endpoint - URL de découverte automatique)https://login.microsoftonline.com/c2c50f21-66a7-41b4-9e9b-d401358e19e6/federationmetadata/2007-06/federationmetadata.xml?appid=458ee5eb-e22d-4dd1-a4e5-5d473c79e133 |
| SP Entity ID | (Entity ID - Émetteur) https://yourserver/biwebserver |
| Azure AD Identifier | (Provider Entity ID - Émetteur autorisé)https://sts.windows.net/yourentityID/ |
| Provider Login Endpoint | https://login.microsoftonline.com/yourentityID/saml2 |
| Provider Logout Endpoint | https://login.microsoftonline.com/yourentityID/saml2 |
| SAML2 ACS URL |
|
| Logout URL | https://yourserver/Logout/LoggedOut |
| Certificate | SAML2Certificate.cer |
| User Identifier | Claim utilisé pour associer les utilisateurs. Préférez sub ou oid pour les environnements multitenant."sub": "bf38b88a-5c16-4f58-bf5a-87ccd8e5ad09" |
Étape 2 — Exemple de configuration d’authentification dans SEI
Saisissez dans SEI les métadonnées Azure AD pour établir une relation de confiance SAML sécurisée. Cette configuration permet à SEI de valider les réponses SAML envoyées par Azure AD lors de la connexion.
| Champ | Exemple |
|---|---|
| Activer | Désactivé |
| Description | Connexion avec Azure[SAML2] |
| URL de découverte automatique | (Federation Metadata URL) https://login.microsoftonline.com/c2c50f21-66a7-4b4-9e9b-d401358e19e6/federationmetadata/2007-06/federationmetadata.xml?appid=458ee5eb-e22d-4dd1-a4e |
| Émetteur | (SP Entity ID) https://[your_domain]/biwebclient |
| Émetteur autorisé | (Azure AD Identifier) https://sts.windows.net/c2c50f21-66a7-4b4-9e9b-d401358e19e6/ |
| URL d'authentification unique | (Provider Login Endpoint) https://login.microsoftonline.com/c2c50f21-.../saml2 |
| Point de terminaison de déconnexion unique | (Provider Logout Endpoint) https://login.microsoftonline.com/c2c50f21-.../saml2 |
| URL ACS Saml2 | (SAML2 ACS URL)
|
| URL de déconnexion | (Logout URL) http://[your-webclient-domain]:82/Logout/LoggedOut |
| Certificat | (Certificate) SAML2 Certificate.cer |
| Identifiant de l'utilisateur | (User Identifier) Claim utilisé pour associer les utilisateurs. Préférez sub ou oid pour les environnements multitenant."sub": "bf38b88a-5c16-4f58-bf5a-87ccd8e5ad09" |
| Forcer la réauthentification | Désactivé |
| Permettre la réauthentification | Désactivé |
Étape 3 — Associer les utilisateurs
Après la configuration SAML, associez chaque identité Azure AD à son utilisateur SEI.
| Champ | Exemple |
|---|---|
| Code d'utilisateur | ADMIN |
| Nom | ADMIN |
| Courriel | admin@companyname.com |
| L'identifiant de l'utilisateur | "sub": "bf38b88a-5c16-4f58-bf5a-87ccd8e5ad09" |
Okta
Étape 1 — Informations du fournisseur (depuis Okta)
Dans la console d’administration Okta, récupérez les métadonnées de votre application SAML. Ces informations définissent comment Okta authentifie les utilisateurs et émet des assertions SAML à destination de SEI.
| Paramètre | Exemple |
|---|---|
| Metadata URL | (Discovery Endpoint - URL de découverte automatique)https://login.microsoftonline.com/c2c50f21-.../federationmetadata.xml?appid= ... |
| SP Entity ID | (Entity ID - Émetteur)
|
| Okta IdP Identifier | (Provider Entity ID - Émetteur autorisé)http://www.okta.com/yourentityID |
| Okta SSO URL | (Provider Login Endpoint - URL d'authentification unique)https://dev-40198417.okta.com/app/dev-40198417_saml2_1/yourentityID/sso/saml |
| Provider Logout Endpoint | https://dev-40198417.okta.com/app/dev-40198417_saml2_1/yourentityID/sso/saml |
| SAML2 ACS URL |
|
| Logout URL | https://yourserver/Logout/LoggedOut |
| Certificate | okta.cert |
| User Identifier | Claim utilisé pour associer les utilisateurs. Préférez sub ou oid pour les environnements multitenant."sub": "bf38b88a-5c16-4f58-bf5a-87ccd8e5ad09" |
Étape 2 — Exemple de configuration d’authentification dans SEI
Utilisez les métadonnées Okta pour configurer les paramètres SAML dans SEI. Cette étape permet d’établir la confiance entre SEI et Okta.
| Champ | Exemple |
|---|---|
| Activer | Désactivé |
| Description | Connexion avec Okta |
| URL de découverte automatique | (Metadata URL) https://login.microsoftonline.com/c2c50f21-.../federationmetadata.xml?appid= ... |
| Émetteur | (SP Entity ID) https://[your_domain]:82/biwebclient |
| Émetteur autorisé | (Okta IdP Identifier) http://www.okta.com/...[your_EntityId] |
| URL d'authentification unique | (Okta SSO URL) https://dev- <oktaID>.okta.com/app/dev-<oktaID>_saml2/1.../sso/saml |
| Point de terminaison de déconnexion unique | (Provider Logout Endpoint) https://dev- <oktaID>.okta.com/app/dev-<oktaID>_saml2/1.../slo/saml |
| URL ACS Saml2 | (SAML2 ACS URL)
|
| URL de déconnexion | (Logout URL) https://[your_domain]:82/Logout/LoggedOut |
| Certificat | (Certificate) SAML2 Certificate.cer |
| Identifiant de l'utilisateur | (User Identifier) Claim utilisé pour associer les utilisateurs. Préférez sub ou oid pour les environnements multitenant."sub": "bf38b88a-5c16-4f58-bf5a-87ccd8e5ad09" |
| Forcer la réauthentification | Désactivé |
| Permettre la réauthentification | Désactivé |
Étape 3 — Associer les utilisateurs
Choisissez le claim renvoyé par Okta (généralement sub, email ou nameid) qui servira d’identifiant. Associez cette valeur à l’utilisateur SEI correspondant pour garantir une authentification fluide.
| Champ | Exemple |
|---|---|
| Code d'utilisateur | ADMIN |
| Nom | ADMIN |
| Courriel | admin@companyname.com |
| L'identifiant de l'utilisateur | "sub": "bf38b88a-5c16-4f58-bf5a-87ccd8e5ad09" |
OneLogin
Étape 1 — Informations du fournisseur (depuis OneLogin)
Dans le portail d’administration OneLogin, récupérez les métadonnées de votre application SAML. Elles contiennent les informations nécessaires pour authentifier les utilisateurs via OneLogin et envoyer les assertions SAML à SEI.
| Paramètre | Exemple |
|---|---|
| Metadata URL | (Discovery Endpoint - URL de découverte automatique)https://app.onelogin.com/saml/metadata/cbfbba1c-baf4-4b65-a97c-d2706d631a36 |
| SP Entity ID | (Entity ID - Émetteur) https://yourserver/biwebserver |
| OneLogin Issuer | (Provider Entity ID - Émetteur autorisé)https://app.onelogin.com/saml/metadata/yourentityID/ |
| SSO URL | (Provider Login Endpoint - URL d'authentification unique)https://your-onelogin-server/trust/saml2/http-redirect/sso/yourentityID/ |
| SLO URL | (Provider Logout Endpoint - Point de terminaison de déconnexion unique)https://your-onelogin-server/trust/saml2/http-redirect/slo/yourentityID/ |
| SAML2 ACS URL |
|
| Logout URL | https://yourserver/Logout/LoggedOut |
| Certificate | SAML2Certificate.cer |
| User Identifier | Claim utilisé pour associer les utilisateurs. Préférez sub ou oid pour les environnements multitenant."sub": "bf38b88a-5c16-4f58-bf5a-87ccd8e5ad09" |
Étape 2 — Exemple de configuration d’authentification dans SEI
Saisissez les métadonnées OneLogin dans SEI pour établir une relation de confiance SAML. Cela permet à SEI de valider les réponses SAML envoyées par OneLogin lors de la connexion.
| Champ | Exemple |
|---|---|
| Activer | Désactivé |
| Description | Connexion avec OneLogin |
| URL de découverte automatique | (Metadata URL) https://app.onelogin.com/saml/metadata/[attributes-and-entityID] |
| Émetteur | (SP Entity ID) https://yourserver/biwebclient |
| Émetteur autorisé | (OneLogin Issuer) https://app.onelogin.com/saml/metadata/yourentityID |
| URL d'authentification unique | (SSO URL) https://your-onelogin-server/trust/saml2/http-redirect/sso/yourentityID |
| Point de terminaison de déconnexion unique | (SLO URL) https://your-onelogin-server/trust/saml2/http-redirect/slo/yourentityID |
| URL ACS Saml2 | (SAML2 ACS URL)
|
| URL de déconnexion | (Logout URL) http://[your-server]/Logout/LoggedOut |
| Certificat | (Certificate) SAML2 Certificate.cer |
| Identifiant d'utilisateur | (User Identifier) Claim utilisé pour associer les utilisateurs. Préférez sub ou oid pour les environnements multitenant."sub": "bf38b88a-5c16-4f58-bf5a-87ccd8e5ad09" |
| Forcer la réauthentification | Désactivé |
| Permettre la réauthentification | Désactivé |
Étape 3 — Associer les utilisateurs
Sélectionnez le claim renvoyé par OneLogin (par exemple sub, email, uid ou nameid) et associez‑le aux utilisateurs SEI. Cela garantit que les utilisateurs qui se connectent via OneLogin sont associés au bon compte interne.
| Champ | Exemple |
|---|---|
| Code d'utilisateur | ADMIN |
| Nom | ADMIN |
| Courriel | admin@companyname.com |
| L'identifiant de l'utilisateur | "sub": "bf38b88a-5c16-4f58-bf5a-87ccd8e5ad09" |