SSO : SINGLE SIGN-ON
Le Single Sign-On (SSO) permet à un utilisateur de se connecter une seule fois et pouvoir réutiliser ces mêmes identifiants pour se connecter à plusieurs services.
Exemple le plus connu : Facebook. J’ai un compte Facebook avec identifiant + mot de passe. Je peux les réutiliser pour me connecter à d’autres sites. Je n’ai donc pas à mémoriser plusieurs mots de passe, un seul suffit.
SSO : STEEPLE / OKTA
NOTE : Okta n’autorise pas la mise en place du provisioning si le SSO n’est pas configuré. Ni la configuration d’Okta ni celle de Steeple ne le permettent.
Voici un guide détaillé concernant la mise en place du SSO entre Steeple et Okta. Il faut que les applications « discutent », il faut donc paramétrer à la fois Steeple et Okta.
Avant toute chose, il faut que l’annuaire Okta dispose d’une application « Steeple » (ou un autre nom). Ils font donc configurer l’annuaire de la façon suivante :
Applications > Applications > Create App Integration
Cliquez sur « Create App Integration » pour créer l’application.
Sign on method : SAML 2.0
Après validation, il faut directement configurer SAML 2.0 :
Cliquer sur « Next ». Vous serez redirigé vers une interface de configuration de SAML 2.0.
Cependant, avant cela, il faut vous munir des Urls nécessaires ; vous les trouverez dans Steeple :
Administration > Intégrations > Installer
Paramétrage du SSO sur Steeple :
Le nom du bouton de connexion SSO peut être paramétré. Si aucun nom n’est donné, « Connexion via SSO » s’affiche par défaut.
Les domaines réservés :
Il est possible de réserver des noms de domaine sur Steeple afin de le/les détecter sur la page login et afficher le bon bouton de connexion.
Exemple : il est possible de se connecter en SSO chez Steeple avec GSuite. Steeple a réservé le domaine steeple.fr et, de ce fait, lorsqu’une adresse @steeple.fr est entrée dans le champ e-mail du formulaire de login, le bouton « Se connecter avec GSuite » apparaît automatiquement à la place du champ « Mot de passe ».
Cliquez ensuite sur Passer à l’étape suivante.
___________________________________________________________________________________
La suite de la configuration est composée de plusieurs « allers-retours » entre les interfaces de Steeple et Okta :
Accédez aux « métadonnées » dans Steeple. Il s’agit de liens fournis par Steeple à entrer dans Okta.
Les champs sont bien définis dans Steeple et dans Okta. Il faut copier-coller ces liens et les entrer dans les champs associés dans Okta.
Il faut également modifier le champ « Name ID format » et choisir « EmailAddress » dans la liste déroulante :
Passez ensuite au « mapping » (capture d’écran ci-dessous). Veillez à bien respecter les champs présents sur la capture d’écran et le nommage.
La capture d'écran ci-dessous décrit la dernière étape pour les communautés mère/filles ou petites-filles :
Okta demandera des feedbacks (probablement pour de la statistique interne); choisir « I'm a software vendor. I'd like to integrate my app with Okta » et cliquer sur « Finish ».
Il faut maintenant entrer les métadonnées d’Okta présentes dans un lien, dans l’encart JAUNE « SAML 2.0 ». Conseils pour se procurer ce lien :
1) Clic droit sur le lien « Identity Provider metadata » et cliquez sur « copier l’adresse du lien » et copier l’adresse dans le champ approprié dans Steeple puis cliquez sur « Importer les métadonnées » ;
2) Clic sur le lien « Identity Provider metadata ». Un nouvel onglet s’ouvre avec un contenu de fichier en XML. Copiez l’adresse présente dans la barre de recherche Google. Collez cette adresse dans le champ approprié dans Steeple. Puis cliquez sur « Importez les métadonnées ».
Métadonnées de votre annuaire (Identity Provider) > Identity Provider
Configuration obligatoire si présence de communautés mère/filles ou petites-filles :
Il faut associer les groupes Okta correspondant à vos communautés filles dans l’interface Steeple :
Pour Okta, il suffit d’entrer le nom du groupe en remplaçant les espaces par des underscores ( _ ).
Cette étape est primordiale pour le bon fonctionnement du SSO avec Steeple.
La configuration SSO est maintenant terminée. Il faut maintenant Enregistrer la configuration.
Que se passe-t-il si je me connecte en SSO alors que je me connectais auparavant de manière classique ?
Mon adresse e-mail est la même que mon compte Okta avec lequel je me connecte :
Rien ne se passe. Mon mode d’authentification change, mais mon compte n’est pas modifié, je peux continuer à utiliser Steeple comme je le faisais avant.
Mon adresse e-mail chez Steeple est différente de celle de mon compte Okta avec lequel je souhaite me connecter en SSO :
Cela va me créer un autre compte. Il faut donc changer d’adresse email afin de bénéficier de ce type d’authentification.