PARTIE I : AUTHENTIFICATION CENTRALISÉE

SINGLE SIGN-ON (SSO)

Le Single Sign-On (SSO) permet à un utilisateur de se connecter une seule fois et pouvoir réutiliser ces mêmes identifiants pour se connecter à plusieurs services.
Exemple le plus connu : Facebook. J’ai un compte Facebook avec identifiant + mot de passe. Je peux les réutiliser pour me connecter à d’autres sites. Je n’ai donc pas à mémoriser plusieurs mots de passes, un seul suffit.

SSO : STEEPLE / OKTA

NOTE : Okta n’autorise pas la mise en place du provisioning si le SSO n’est pas configuré. Ni la configuration d’Okta ni celle de Steeple ne le permettent.

Voici un guide détaillé concernant la mise en place du SSO entre Steeple et Okta. Il faut que les applications « discutent », il faut donc paramétrer à la fois Steeple et Okta.

Avant toute chose, il faut que l’annuaire Okta dispose d’une application « Steeple » (ou un autre nom). Ils font donc configurer l’annuaire de la façon suivante :



Okta Overview > Applications > Add Application > Create New App

Cliquez sur « Create New App » pour créer l’application :
Platform : Web



Sign on method : SAML 2.0



Après validation, il faut directement configurer SAML 2.0 :

Cliquer sur « Next ». Vous serez redirigé vers une interface de configuration de SAML 2.0.
Cependant, avant cela, il faut vous munir des Urls nécessaires ; vous les trouverez dans Steeple :

Administration > Paramètres > Configurer les méthodes d’accès





Méthodes d’accès > Choisir une autre méthode d’accès > Authentification Centralisée (SSO) et Provisioning



Cliquer sur « Configurer le SSO », puis confirmer

Paramétrage du SSO sur Steeple :

Le nom du bouton de connexion SSO peut être paramétré. Si aucun nom n’est donné, « Connexion via SSO » s’affiche par défaut.

Les domaines réservés :

Il est possible de réserver des noms de domaine sur Steeple (ex: steeple.fr, parker.com, etc) afin de le détecter sur la page login et afficher le bon bouton de connexion.
Exemple : il est possible de se connecter en SSO sur Steeple avec GSuite. Steeple a réservé le domaine steeple.fr et, de ce fait, lorsqu’une adresse @steeple.fr est entrée dans le champ e-mail du formulaire de login, le bouton « Se connecter avec GSuite » apparait automatiquement et fait disparaître le champ du mot de passe.



Il est évidemment possible de ne pas en réserver.
Il est aussi possible d’afficher un aperçu du bouton de connexion.

Configuration obligatoire si présence de communautés mère/filles :

Il faut associer les groupes Okta correspondant à vos communautés filles dans l’interface Steeple :



Pour Okta, il suffit d’entrer le nom du groupe en remplaçant les espaces par des underscores ( _ ).
Cette étape est primordial pour le bon fonctionnement du SSO avec Steeple.

La suite de la configuration est composée de plusieurs « allers-retours » entre les interfaces de Steeple et Okta :

Accédez aux « métadonnées » dans Steeple. Il s’agit de liens fournis par Steeple à entrer dans Okta.





Les champs sont bien définis dans Steeple et dans Okta. Il faut copier-coller ces liens et les entrer dans les champs associés dans Okta :

Il faut également modifier le champ « Name ID format » et choisir « Persistent » dans la liste déroulante.



Passez ensuite au « mapping » (capture d’écran ci-dessus). Veillez à bien respecter les champs présents sur la capture d’écran et le nommage.

Cliquez ensuite sur Next.

Okta demandera des feedbacks (probablement pour de la statistique interne); choisir « I’m an Okta customer adding an internal app » et cliquer sur « Finish » (laisser tous les champs vides).

Il faut maintenant entrer les métadonnées d’Okta présentes dans un lien, dans l’encart JAUNE « SAML 2.0 ». Conseils pour se procurer ce lien :
1) Clic droit sur le lien « Identity Provider metadata » et cliquez sur « copier l’adresse du lien » et copier l’adresse dans le champ approprié dans Steeple puis cliquez sur « Importer les métadonnées » ;
2) Clic sur le lien « Identity Provider metadata ». Un nouvel onglet s’ouvre avec un contenu de fichier en XML. Copiez l’adresse présente dans la barre de recherche Google. Collez cette adresse dans le champ approprié dans Steeple. Puis cliquez sur « Importez les métadonnées ».



Métadonnées de votre annuaire (Identity Provider) > Identity Provider



Validez la configuration du SSO.



Que se passe-t-il si je me connecte en SSO alors que je me connectais auparavant de manière classique ?

Mon adresse e-mail est la même que mon compte Okta avec lequel je me connecte :
Rien ne se passe. Mon mode d’authentification change, mais mon compte n’est pas modifié, je peux continuer à utiliser Steeple comme je le faisais avant.

Mon adresse e-mail chez Steeple est différente de celle de mon compte Okta avec lequel je souhaite me connecter en SSO :
Cela va me créer un autre compte. Il faut donc changer d’adresse email afin de bénéficier de ce type d’authentification.

PARTIE II : SYNCHRONISATION AUTOMATIQUE DES ANNUAIRES

Provisioning (protocole SCIM)

Le « provisioning » est un terme utilisé pour parler de la synchronisation des annuaires. Par exemple, Okta est un annuaire. D’autres termes sont utilisés; on dit également d’Okta qu’il est un « fournisseur d’identités » ou bien encore un « identity provider » en anglais (terme qui sera employé le plus souvent).

Exemple de comportements du provisioning :
Un utilisateur est assigné à l’application Steeple dans Okta : l’utilisateur est retrouvé ou bien créé dans Steeple
Un utilisateur est désactivé dans Okta : il n’existera plus dans Steeple

Le provisioning est un outil puissant qui permet d’éviter certaines activités chronophages pour les administrateurs de communautés, dont la gestion des identités fait partie.

SCIM dans tout ça ? :
SCIM est un protocole à suivre dans le cadre du développement d’une telle fonctionnalité. Pour que cela fonctionne bien, il faut être conforme à ce protocole.

PROVISIONING : STEEPLE / OKTA

RAPPEL : il est primordial d’avoir configuré le SSO avant de commencer la configuration du provisioning. Ni la configuration d’Okta ni celle de Steeple ne le permettent.

Dans Steeple :

Méthodes d’accès > Provisioning > « Configurer le Provisioning (SCIM) »



Appuyer sur configurer. Cette validation va générer deux paramètres nécessaires à la configuration du provisioning : le tenant URL et le Secret Token :



Dans Okta :

Okta App Overview > General > App Settings > Edit

Dans les paramètres généraux, le provisioning n’est pas activé par défaut. Il faut donc le faire manuellement et cliquer sur Save:



Après la sauvegarde de ces nouveaux paramètres, un onglet « Provisioning » apparaît plus haut à côté de « Sign On ». Cliquer sur Provisioning.

Cliquer ensuite sur Edit afin de modifier l’intégration du Provisioning sur Okta.

Cette étape est simple :
Copier le Tenant URL dans Steeple et le coller dans le champ « SCIM connector base URL » dans Okta
Dans Okta, dans le champ « Unique identifier Field for users », mettre : userName
Cocher toutes les cases
Dans le menu déroulant « Authentification Mode », sélectionner HTTP Header
Copier le Secret Token dans Steeple et le coller dans le champ « Authorization » dans Okta
Sauvegarder



Ne pas oublier de tester la connexion en cliquant sur « Test Connecter Configuration ». Cela va tester chacune des actions sélectionnées précédemment en envoyant une requête au serveur de Steeple pour vérifier qu’une connexion est bien établie entre les deux applications.

Toujours dans Okta :

App Okta Overview > Provisioning > Settings > To App > Edit :



Afin de récupérer la liste des profils dans Steeple, il faut assigner l’ensemble des utilisateurs une fois le provisioning mis en place ; c’est ainsi que fonctionne Okta.

App Overview > Assignments > Assign > Assign to People (ou Groups)








Une fois cette dernière action réalisée, une liste de profils est importée dans Steeple.
Contrairement à d’autres fournisseurs d’identité (identity providers), Okta opère de manière quasi-immédiate les changements effectués.

En tant qu’administrateur, vous avez également la possibilité de supprimer cette méthode d’accès pour revenir à un système d’authentification dit « classique », avec e-mail et mot de passe.

Pour cela :

Paramètres > Configurer les méthodes d’accès > Authentification centralisée (SSO) et Provisioning > Danger Zone > Supprimer cette méthode d’accès et revenir au mode d’authentification classique :

Cet article a-t-il répondu à vos questions ?
Annuler
Merci !