Authentification centralisée
SINGLE SIGN-ON - SSO
Le Single Sign-On (SSO) permet à un utilisateur de se connecter une seule fois et pouvoir réutiliser ces mêmes identifiants pour se connecter à plusieurs services.
Exemple le plus connu : Facebook. J’ai un compte Facebook avec identifiant + mot de passe. Je peux les réutiliser pour me connecter à d’autres sites. Je n’ai donc pas à mémoriser plusieurs mots de passe, un seul suffit.
SSO : STEEPLE / GOOGLE WORKSPACE
Voici un guide détaillé concernant la mise en place du SSO entre Steeple et Google Workspace. Il faut que les applications « discutent », il faut donc paramétrer à la fois Steeple et Workspace.
Avant toute chose, il faut que l’annuaire Workspace dispose d’une application « Steeple » (ou autre nom de votre choix). Il faut donc configurer l'annuaire de la manière suivante :
Applications > Applications Web et Mobiles > Ajouter une application > Ajouter une application SAML personnalisée
Rentrez les différents paramètres quant au nom et à la description.
Téléchargez ensuite les métadonnées.
La suite se passe désormais sur Steeple:
Administration > Intégrations > Installer
Paramétrage du SSO sur Steeple :
Le nom du bouton de connexion SSO peut être paramétré. Si aucun nom n’est donné, « Connexion via SSO » s’affiche par défaut.
Les domaines réservés :
Il est possible de réserver des noms de domaine sur Steeple afin de le/les détecter sur la page login et afficher le bon bouton de connexion.
Exemple : il est possible de se connecter en SSO chez Steeple avec GSuite. Steeple a réservé le domaine steeple.fr et, de ce fait, lorsqu’une adresse @steeple.fr est entrée dans le champ e-mail du formulaire de login, le bouton « Se connecter avec GSuite » apparait automatiquement à la place du champ « Mot de passe ».
Cliquez ensuite sur Passer à l’étape suivante.
La suite de la configuration est composée de plusieurs « allers-retours » entre les interfaces de Steeple et de Workspace :
Accédez aux « métadonnées » dans Steeple. Il s’agit de liens fournis par Steeple à entrer dans Workspace.
Les champs sont bien définis dans Steeple et dans Workspace. Il faut donc copier-coller ces liens dans les champs appropriés.
Il faut ensuite paramétrer les Mappages d'attributs.
Pour cela, respectez précisément ces valeurs :
Pour les systèmes de communautés mère/filles (ou petites-filles) :
Il faut également indiquer un attribut de groupe en paramétrant ce dernier : sso_group_id
Il faut maintenant rentrer l'URL des métadonnées de Workspace dans Steeple.
Google Workspace ne permets d'obtenir un lien de métadonnées directement. Toutefois, vous pouvez transformer le fichier XML téléchargé un peu plus tôt en lien, via un outil externe.
File.io pourra vous être très utile ici !
Renseignez l'URL dans la case, puis Importer les métadonnées. Si l'opération est validée, vous devriez pouvoir cliquer sur "Lire le résultat de l'import" et vérifier ainsi que tout soit correct !
Configuration obligatoire en cas de communautés mère/filles et petites-filles :
Il faut associer les groupes Workspace correspondants à vos communautés filles dans l’interface Steeple :
Une fois toutes ces étapes validées, vous pouvez maintenant retourner dans l'application sur Google Workspace et gérer les accès à l'application.
Que se passe-t-il si je me connecte en SSO alors que je me connectais auparavant de manière classique ?
Mon adresse e-mail est la même que mon compte Google avec lequel je me connecte :
Rien ne se passe. Mon mode d’authentification change, mais mon compte n’est pas modifié, je peux continuer à utiliser Steeple comme je le faisais avant.
Mon adresse e-mail chez Steeple est différente de celle de mon compte Google avec lequel je souhaite me connecter en SSO :
Cela va me créer un autre compte. Il faut donc changer d’adresse email afin de bénéficier de ce type d’authentification.