Authentification
Pour authentifier les utilisateurs dans SEI, vous devez configurer un fournisseur d'authentification et mapper les utilisateurs à ce fournisseur. Avant de commencer, assurez-vous que SEI a été enregistré auprès de votre fournisseur d'authentification pour obtenir les paramètres requis pour les protocoles OAuth ou SAML2.
Activez Paramètres de connexion pour activer l'authentification avec un fournisseur externe. Vous pouvez ensuite configurer un ou plusieurs fournisseurs dans la section Sécurité.
| Protocole | Description |
|---|---|
| OAuth | Prend en charge l'authentification via OAuth 2.0, permettant aux utilisateurs de se connecter avec des identifiants gérés par un fournisseur d'identité externe. |
| SAML2 | Prend en charge l'authentification utilisant SAML 2.0, ce qui permet l'intégration avec des fournisseurs d'identité tels que Microsoft Azure, Okta et OneLogin. |
Ajouter un fournisseur
- Dans le panneau de navigation, cliquez sur l'icône en forme de rouage en bas. La page Administration s'ouvre.
- Sélectionnez Sécurité, puis Authentification.
- Cliquez sur l'icône + pour ajouter un nouveau fournisseur.
- Sélectionnez le protocole entre OAuth et SAML2.
- Cliquez sur Créer.
Le nouveau fournisseur apparaît dans la liste Fournisseurs et ouvre un formulaire vide pour la configuration. - Sous l'onglet Général, remplissez le champ requis.
- Cliquez sur Enregistrer.
- Sélectionnez l'onglet Utilisateurs, cliquez sur l'icône +, et mappez les utilisateurs de SEI au nouveau fournisseur. Sélectionnez tous les utilisateurs applicables et cliquez sur Ajouter.
Les utilisateurs sélectionnés apparaissent dans la liste Utilisateurs. - Cliquez sur Enregistrer.
important
Si un utilisateur n'est pas répertorié ou si les valeurs de mappage ne sont pas définies correctement, cet utilisateur ne pourra pas se connecter à SEI.
Onglet Général
Propriétés générales OAuth
| Champ | Description |
|---|---|
| Activer | Basculer pour rendre le fournisseur disponible sur la page de connexion. Lorsqu'il est activé, un nouveau bouton apparaît pour les utilisateurs sous Comptes externes. |
| Description | Spécifiez l'étiquette affichée pour le fournisseur sur la page de connexion. Changez de Nouveau fournisseur par défaut à quelque chose de significatif pour vos utilisateurs. |
| ID client | Entrez l'identifiant public unique fourni par le serveur d'autorisation. |
| Secret client | Entrez le secret attribué par le serveur d'autorisation. Cette valeur est masquée après l'enregistrement pour des raisons de sécurité. |
| Point de terminaison de découverte | (Optionnel) Entrez le point de terminaison pour auto-populer les champs OAuth à partir des métadonnées du fournisseur (/.well-known/openid-configuration). Après avoir rempli cela, cliquez sur Découvrir pour récupérer les points de terminaison d'Autorisation, de Token et d'Infos utilisateur, et charger les portées et revendications disponibles. |
| Point de terminaison d'autorisation | Entrez l'URL vers laquelle les utilisateurs sont redirigés pour s'authentifier (/authorize). |
| Point de terminaison de token | Entrez l'URL utilisée pour obtenir des tokens d'accès (/token). |
| Portée | Définissez les portées de permission pour le Serveur Web. Les valeurs typiques sont openid, email, offline_access, mais les portées requises dépendent de votre fournisseur. |
| URLs de redirection | Listez les URLs pour le Serveur Web et l'Excel Add-in vers lesquelles le serveur d'authentification redirige après la connexion. Pour l'Excel Add-in, spécifiez le bon port local. |
| Point de terminaison d'Infos utilisateur | Entrez l'URL pour récupérer les informations de profil utilisateur (/userinfo). |
| Identifiant de l'utilisateur | Entrez la revendication - comme email - utilisée pour mapper les utilisateurs externes à SEI. |
| Invite | Spécifiez le comportement de l'invite d'authentification. Les options incluent :
|
| Forcer la réauthentification | Activez pour exiger que les utilisateurs ressaisissent leurs identifiants à chaque fois ou après une période définie (en secondes). Par exemple, un délai de 0 exige des identifiants à chaque fois ; 21600 exige tous les 6 heures. La valeur maximale est de 86400 secondes. Tous les fournisseurs ne le prennent pas en charge. |
| Autoriser se souvenir de moi | Activez pour permettre aux navigateurs de se souvenir de l'authentification et de garder les utilisateurs connectés. |
Pour un exemple, voir l'Exemple OAuth.
Propriétés générales SAML2
| Champ | Description |
|---|---|
| Activer | Basculer pour rendre le fournisseur SAML2 disponible sur la page de connexion. Lorsqu'il est activé, un nouveau bouton apparaît sous Comptes externes. |
| Description | Spécifiez l'étiquette affichée pour le fournisseur sur la page de connexion. Changez de Nouveau fournisseur par défaut à quelque chose de significatif pour vos utilisateurs. |
| Point de terminaison de découverte | (Optionnel) Spécifiez le point de terminaison pour auto-populer les champs SAML2 en utilisant les métadonnées du fournisseur. Cliquez sur Découvrir pour récupérer et remplir l'ID de l'entité du fournisseur, le point de terminaison de connexion du fournisseur et le point de terminaison de déconnexion du fournisseur. |
| ID de l'entité | Entrez l'identifiant unique pour SEI. Doit correspondre à l'Identifiant (ID de l'entité) ou à l'URI d'Audience utilisé dans votre fournisseur SAML2 (par exemple, Azure ou Okta). Ce champ est pré-rempli si disponible. |
| ID de l'entité du fournisseur | Entrez l'ID de l'application fourni par le fournisseur SAML2. Cela identifie quelle application est utilisée pour se connecter à SEI. Doit correspondre à l'Identifiant de l'ID Azure ou à l'Émetteur de l'ID Okta. Ce champ peut être pré-rempli par Découvrir. |
| Point de terminaison de connexion du fournisseur | Entrez l'URL de connexion de votre fournisseur SAML2 (correspond à la configuration Azure/Okta). Peut être pré-rempli par Découvrir. |
| Point de terminaison de déconnexion du fournisseur | (Optionnel) Si fourni, les utilisateurs sont déconnectés à la fois de SEI et du fournisseur SAML2. Peut être pré-rempli par Découvrir. |
| URL ACS SAML2 | Spécifiez l'URL de retour qui redirige les utilisateurs vers le Serveur Web ou l'Excel Add-in après une connexion réussie. Doit correspondre à l'URL de réponse du fournisseur SAML2/URL de consommateur de déclaration. Pré-remplie pour le Serveur Web. Pour l'Excel Add-in, spécifiez le bon port local. |
| URL de déconnexion | (Optionnel) URL de retour qui redirige les utilisateurs vers la page de connexion après la déconnexion. Contrairement au Point de terminaison de déconnexion du fournisseur, la session du fournisseur SAML2 reste active. Pré-remplie pour le Serveur Web. |
| Certificat | Téléchargez le certificat SAML2 (doit utiliser SHA-256). Faites glisser et déposez le fichier créé/téléchargé depuis Azure ou Okta. |
| Identifiant de l'utilisateur | Entrez la revendication utilisateur utilisée pour le mappage (comme email). Cela détermine quelle valeur de la réponse SAML2 correspond à l'utilisateur SEI. |
| Forcer la réauthentification | Activez pour exiger que les utilisateurs ressaisissent leurs identifiants à chaque fois ou après une période définie (en secondes). Par exemple, un délai de 0 exige des identifiants à chaque fois ; 21600 exige tous les 6 heures. La valeur maximale est de 86400 secondes. Tous les fournisseurs ne le prennent pas en charge. |
| Autoriser se souvenir de moi | Activez pour permettre aux navigateurs de se souvenir de l'authentification et de garder les utilisateurs connectés. |
Pour un exemple, voir l'Exemple SAML2.
Onglet Utilisateurs
Dans l'onglet Utilisateurs, vous pouvez mapper, gérer et examiner les utilisateurs de SEI dont les identifiants de connexion sont validés par le fournisseur d'authentification. Utilisez cette zone pour vous assurer que les identifiants des utilisateurs sont corrects pour une authentification réussie. Pour des instructions sur la création d'utilisateurs, voir Utilisateurs.
| Champ | Description |
|---|---|
| Nom d'utilisateur | Affiche le nom d'utilisateur SEI utilisé pour se connecter. |
| Nom | Affiche le nom d'affichage de l'utilisateur SEI associé au nom d'utilisateur. |
| Affiche l'adresse email de l'utilisateur SEI. | |
| Identifiant de l'utilisateur | Spécifie la valeur attendue du fournisseur OAuth ou SAML2 pour le mappage des utilisateurs. C'est le seul champ éditable. Par exemple, si la revendication Identifiant de l'utilisateur (définie sous l'onglet Général) est email, entrez l'adresse email de l'utilisateur que le fournisseur renverra pour la revendication. |