Profil requis : Superutilisateur
Security Assertion Markup Language (SAML) est un format de données standard ouvert pour l'échange de données d'authentification et d'autorisation entre un fournisseur d'identité IdP (client) et un fournisseur de services SP (Boréalis). Ce processus standard permet de connecter des utilisateurs à des applications basées sur des sessions dans un autre contexte. Avec SAML, le client gère tous les aspects de l'authentification, y compris le nom d'utilisateur, le mot de passe, la force du mot de passe, etc.
Activer SAML pour votre organisation
- Dans le menu de navigation, accédez à Utilisateurs > Paramètres d'authentification.
- Dans le menu d'enregistrement, sélectionnez SAML > Configuration de connexion. Si vous ne voyez pas la section SAML, contactez notre service d'assistance.
- Cliquez sur l'icône Modifier qui apparaît en haut à droite.
- Cochez la case Activer SAML. Téléchargez votre certificat de IdP (fichier .cer) et entrez le Point d'entrée (SingleSignOnService URL) de votre IdP.
REMARQUE : Ceci basculera tous les utilisateurs actuels vers SAML dès que vous sauvegardez. - Validez les options supplémentaires disponibles :
- Autoriser la création d'utilisateurs non SAML : cochez cette case uniquement s'il y aura des utilisateurs, comme des sous-traitants, qui devront se connecter à Boréalis en utilisant un login Boréalis au lieu de passer par SAML.
- Activer la déconnexion unique initiée par le SP : la déconnexion unique (SLO) initiée par le SP permet à Borealis d'envoyer une demande de déconnexion au IdP lorsqu'un utilisateur se déconnecte de Borealis. Si vous souhaitez activer la déconnexion unique initiée par le SP, cochez la case et saisissez l'URL de déconnexion unique du IdP.
- Cliquez sur Enregistrer.
- Si vous avez besoin du certificat du SP, cliquez sur le bouton Actions puis sur Télécharger service_provider.cer. Vous devrez le télécharger sur votre IdP.
- Copiez cette information sur votre IdP
- Issuer (Entity ID)
- SAML login URL
- SAML logout URL
Ou bien cliquez sur le bouton Actions pour télécharger le fichier service_provider.xml afin de le télécharger à votre IdP.
Configuration avancée
Cette section permet de configurer un contexte d'authentification. Si vous avez besoin de configurer un contexte d'authentification, décochez la case et confirmez que le contexte est le bon dans le champ Contexte d'authentification (Authn context). Pour le moment, le seul algorithme de signature pris en charge est sha256.
Configuration de l'utilisateur
Cette section sera automatiquement remplie avec les claims que Boréalis attendra pour l'ID utilisateur, le prénom, le nom et l'email. Vous pouvez changer cela s'ils ne correspondent pas à votre structure.
Par défaut, l'option Auto créer utilisateur est activée. Cela signifie que si un utilisateur essaie de se connecter à Boréalis pour la première fois, son utilisateur sera créé automatiquement. Cependant, il n'aura accès à aucune donnée. Il faut donc lui attribuer des profils et des projets.
Test de votre configuration SAML
Gardez votre session ouverte et utilisez un nouveau navigateur ou une fenêtre incognito/privée pour vous connecter à Boréalis. Vous devriez être redirigé vers la page de connexion de votre fédération, puis de nouveau vers Boréalis avec votre accès normal.
Problèmes fréquents
Problème |
Ce qu'il faut faire? |
Je ne suis pas redirigé vers ma page de connexion à la fédération. |
Vérifiez que l'option Activer SAML est cochée et que le Point d'entrée est correct. |
Je suis envoyé vers Boréalis mais je n'ai accès à rien. |
Cela signifie qu'un nouvel utilisateur a été créé. Consultez la section Configuration de l'utilisateur pour confirmer que les claims sont correctement configurés. Vous devez ensuite supprimer ou désactiver le nouvel utilisateur qui a été créé et tester à nouveau. |
Après m'être connecté avec ma fédération, j'obtiens cette erreur : "Erreur d'authentification L'authentification SAML a échoué, veuillez contacter le support Borealis" |
- Vérifiez que le certificat du IdP téléchargé est le bon. - Vérifiez auprès de votre IdP que l'utilisateur a bien accès à Borealis. |
Si vous ne pouvez pas le faire fonctionner, décochez l'option Activer SAML et enregistrez. Cela ramènera tous les utilisateurs à une connexion normale et leur ancien mot de passe fonctionnera.
Si vous êtes bloqué ou avez besoin de plus d'informations, n'hésitez pas à nous contacter à helpdesk@boreal-is.com.