SAML 2.0
SEI prend en charge l'intégration de Single sign-on (SSO) via le protocole SAML 2.0. Cela permet une authentification sécurisée et unifiée avec les fournisseurs d'identité d'entreprise et permet aux utilisateurs d'accéder de manière transparente à SEI dans votre organisation.
Pour des détails sur les revendications de jeton SAML et la configuration avancée, voir Personnaliser les revendications de jeton SAML.
| Méthode SSO | Description |
|---|---|
| Azure | Configurez un SSO SAML sécurisé entre Azure Active Directory et SEI, permettant aux utilisateurs de se connecter avec leurs identifiants Microsoft. |
| Okta | Configurez l'intégration SSO SAML avec Okta pour SEI et l'Excel Add-in. Créez une application Okta séparée pour chacune. |
| OneLogin | Implémentez SSO SAML en utilisant OneLogin pour un accès utilisateur centralisé à SEI et l'Excel Add-in. Créez une application séparée pour chaque composant. |
SSO Azure
Configurer le domaine Azure
- Connectez-vous au portail Microsoft Azure.
- Dans Services Azure, sélectionnez Applications d'entreprise. Cliquez sur Plus de services si vous ne le voyez pas.
- Cliquez sur Nouvelle application, puis sur Créez votre propre application.
- Entrez un nom pour votre application et cliquez sur Créer.
- Sous Commencer, cliquez sur Configurer le SSO.
- Sélectionnez SAML comme méthode SSO.
- Complétez les sections Configuration de base SAML et Attributs et revendications utilisateur.
Configuration de base SAML
- Dans l'onglet Single sign-on, cliquez sur l'icône de crayon à côté de Configuration de base SAML.
- Dans le champ Identifiant (Entity ID), copiez la valeur URL de l'Entity ID provenant de SEI.
Exemple: Pour l'adresse du serveurbiwebserver.mycompany.com:444, utilisez l'identifiant unique de votre serveur ou certificat. - Dans URL de réponse (URL de service consommateur d'assertion), copiez l'URL ACS (SAML2) provenant de SEI pour l'application et l'Excel Add-in.
- Dans URL de connexion, entrez l'URL de connexion directe pour votre application web (par exemple,
https://yourserver:81). - Cliquez sur Enregistrer pour appliquer les changements.
- Allez à l'onglet Utilisateurs et groupes.
- Cliquez sur Ajouter un utilisateur/groupe pour assigner des utilisateurs et des groupes pour l'accès SSO.
Attributs et revendications utilisateur
- Dans l'onglet Single sign-on, cliquez sur l'icône de crayon à côté de Attributs et revendications utilisateur. La page Gérer la revendication apparaît.
- Cliquez sur Ajouter une nouvelle revendication.
- Pour Nom, entrez
mailnickname. - Dans Source, sélectionnez Attribut.
- Pour Attribut source, entrez
user.mailnickname. - Cliquez sur Enregistrer pour finir.
Télécharger le certificat
- Dans l'onglet Single sign-on, faites défiler jusqu'à Certificats SAML.
- Cliquez sur Télécharger à côté de Certificat (Base64).
- Connectez-vous à SEI et complétez la configuration en ajoutant Azure comme fournisseur dans Authentification.
Pour un exemple complet de configuration, voir Exemple de configuration Microsoft Azure.
SSO Okta
Si vous voyez l'erreur Impossible de trouver l'identifiant utilisateur dans les revendications, définissez manuellement les revendications sous la section Attributs de déclaration dans Okta. Cela signifie généralement que l'attribut utilisateur requis n'a pas été inclus dans la réponse SAML.
Configurez les revendications pour correspondre à l'identifiant utilisateur défini sur la page Authentification.
Créer des applications SAML
Créez deux applications—une pour SEI et une pour l'Excel Add-in.
- Inscrivez-vous pour un compte développeur sur Okta.
- Dans le tableau de bord Okta, cliquez sur Applications dans le menu principal.
- Cliquez sur Créer une intégration d'application.
- Choisissez SAML 2.0 comme méthode de connexion et cliquez sur Suivant.
Configurer les détails de l'application
Répétez les étapes suivantes pour chaque application :
- Dans Nom de l'application, entrez un nom, tel que
SAML 2 Web ServeretSAML 2 Excel Add-in. - Cliquez sur Suivant.
- Dans URL de connexion unique, copiez l'URL ACS (SAML2) provenant de SEI.
- Dans URI de l'audience (ID d'entité SP), copiez l'Entity ID provenant de SEI.
- Cliquez sur Suivant, puis sur Terminer.
Assigner des utilisateurs et récupérer les détails du fournisseur d'identité
- Sous l'onglet Attributions, cliquez sur Attribuer pour ajouter des utilisateurs qui devraient avoir accès SSO.
- Téléchargez le certificat Okta pour cette application.
- Allez à l'onglet Se connecter et sélectionnez Voir les instructions de configuration.
- Notez l'URL de connexion unique et l'Émetteur de fournisseur d'identité (Entity ID)—vous aurez besoin de ces informations pour la configuration SSO de SEI.
- Connectez-vous à SEI et complétez la configuration en ajoutant Okta comme fournisseur dans Authentification.
Pour un exemple complet de configuration, voir Exemple de configuration Okta.
SSO OneLogin
Pour intégrer SEI avec OneLogin en utilisant SAML 2.0, créez deux applications—une pour SEI et une pour l'Excel Add-in.
Créer des applications SAML
Répétez ces étapes pour chaque application :
- Connectez-vous à votre domaine OneLogin.
- Cliquez sur Applications dans le menu, puis choisissez Ajouter une application.
- Recherchez et sélectionnez Connecteur SAML personnalisé (Avancé).
- Entrez un nom d'application :
- Utilisez
SAML 2 Web Serverpour SEI. - Utilisez
SAML 2 Excel Add-inpour l'Excel Add-in.
- Utilisez
- Dans l'onglet Configuration, définissez les éléments suivants :
- Audience (Entity ID): Entrez l'Entity ID provenant de SEI.
- Valideurs d'URL ACS (Consumer): Entrez la valeur validateur pour votre URL ACS/Consumer.
- URL ACS (Consumer): Entrez l'URL ACS (SAML2) provenant de SEI.
- Allez à l'onglet SSO et assurez-vous que Algorithme de signature SAML est défini sur
SHA-256. - Copiez l'URL de l'émetteur, le point de terminaison SAML 2.0 (HTTP) et le point de terminaison SLO (HTTP) pour l'utilisation dans la configuration SSO de SEI.
- Cliquez sur Enregistrer.
- Connectez-vous à SEI et complétez la configuration en ajoutant OneLogin comme fournisseur dans Authentification.
Pour un exemple complet de configuration, voir Exemple de configuration OneLogin.