Single Sign-On (SSO) - Okta

SSO : SINGLE SIGN-ON

Le Single Sign-On (SSO) permet à un utilisateur de se connecter une seule fois et pouvoir réutiliser ces mêmes identifiants pour se connecter à plusieurs services.
Exemple le plus connu : Facebook. J’ai un compte Facebook avec identifiant + mot de passe. Je peux les réutiliser pour me connecter à d’autres sites. Je n’ai donc pas à mémoriser plusieurs mots de passe, un seul suffit.

SSO : STEEPLE / OKTA

NOTE : Okta n’autorise pas la mise en place du provisioning si le SSO n’est pas configuré. Ni la configuration d’Okta ni celle de Steeple ne le permettent.


Voici un guide détaillé concernant la mise en place du SSO entre Steeple et Okta. Il faut que les applications « discutent », il faut donc paramétrer à la fois Steeple et Okta.

 

Dans Okta

Avant toute chose, il faut que l’annuaire Okta dispose d’une application « Steeple » (ou un autre nom). Ils font donc la créer de la façon suivante :


Applications > Applications > Create App Integration

Cliquez sur « Create App Integration » pour créer l’application.

okta creation app


Choisissez la méthode Sign on method : SAML 2.0



Après validation, nommez votre application :

okta new_app

Puis cliquer sur « Next » pour accéder à l'interface de configuration de SAML 2.0.

 

Dans Steeple

Cependant, avant cela, il faut vous munir des Urls nécessaires ; vous les trouverez dans Steeple :


Administration > Intégrations Okta SAML > Installer


Paramétrage du SSO sur Steeple :

Le nom du bouton de connexion SSO peut être paramétré. Si aucun nom n’est donné, « Connexion via SSO » s’affiche par défaut.

Les domaines réservés : il est possible de réserver des noms de domaine sur Steeple afin de le(s) détecter sur la page login et afficher le bon bouton de connexion.

Exemple : il est possible de se connecter en SSO chez Steeple avec GSuite. Steeple a réservé le domaine steeple.fr et, de ce fait, lorsqu’une adresse @steeple.fr est entrée dans le champ e-mail du formulaire de login, le bouton « Se connecter avec GSuite » apparaît automatiquement à la place du champ « Mot de passe ».

Cliquez ensuite sur Passer à l’étape suivante.

___________________________________________________________________________________

La suite de la configuration est composée de plusieurs « allers-retours » entre les interfaces de Steeple et Okta :

Accédez aux « métadonnées » dans Steeple. Il s’agit de liens fournis par Steeple à entrer dans Okta.

okta  steeple url



 

Dans Okta

Il faut copier-coller ces liens et les entrer dans les champs associés dans Okta.

saml conf 2

Il faut également modifier le champ « Name ID format » et choisir « EmailAddress » dans la liste déroulante.


Passez ensuite au « mapping » (capture d’écran ci-dessous). Veillez à bien respecter les champs présents sur la capture d’écran et le nommage.

okta mapping


La capture d'écran ci-dessous décrit la dernière étape pour les communautés mère/filles ou petites-filles :

okta groups

Okta demandera des feedbacks (probablement pour de la statistique interne); choisir « This is an internal ap that we have created » et cliquer sur « Finish ».

okta feedbacks

Il faut maintenant entrer les métadonnées d’Okta présentes dans un lien, dans l’encart « SAML 2.0 ». Pour se procurer ce lien, allez dans l'onglet "Sign on" de l'application, puis cliquez sur « copy » du la "Metadata URL".

 

okta metadata

Dans Steeple

Collez l’adresse dans le champ approprié dans Steeple puis cliquez sur « Importer les métadonnées »

 

Configuration obligatoire si présence de communautés mère/filles ou petites-filles :

Il faut associer les groupes Okta correspondant à vos communautés filles dans l’interface Steeple :

okta  steeple conf-1

Pour Okta, il suffit d’entrer le nom du groupe en remplaçant les espaces par des underscores ( _ ).
Cette étape est primordiale pour le bon fonctionnement du SSO avec Steeple.


La configuration SSO est maintenant terminée. Il faut maintenant Enregistrer la configuration.

 

Questions complémentaires

Que se passe-t-il si je me connecte en SSO alors que je me connectais auparavant de manière classique ?

Mon adresse e-mail est la même que mon compte Okta avec lequel je me connecte :
Rien ne se passe. Mon mode d’authentification change, mais mon compte n’est pas modifié, je peux continuer à utiliser Steeple comme je le faisais avant.

Mon adresse e-mail chez Steeple est différente de celle de mon compte Okta avec lequel je souhaite me connecter en SSO :
Cela va me créer un autre compte. Il faut donc changer d’adresse email afin de bénéficier de ce type d’authentification.