Exigences en Matière d'Authentification Unique (SSO)
1. Description
Cet article décrit les informations de base sur la méthode d'authentification Single Sign On (SSO) et les conditions requises pour la déployer sur votre domaine.
La méthode d'authentification par signature unique (SSO) permet aux utilisateurs d'Aether de se connecter en toute sécurité, en utilisant votre propre fournisseur d'identité d'entreprise.
Les utilisateurs d'Aether pourront utiliser leurs informations d'indentification d'entreprise.
2. Comment cela fonctionne-t-il?
Dans Aether, le SSO est configuré par domaine et il n'y a aucun "role mapping" effecturé avec le fournisseur d'identité d'entreprise (IDP), ce qui signifie que les utilisateurs sur l'IDP d'entreprise n'ont pas d'accès par défaut.
Les utilisateurs ayant des droits de "Manager" peuvent toujours accorder l'accès à d'autres utilisateurs, par invitation électronique, et définir quels rôles, organisations, entreprises et projets sont disponibles pour chaque utilisateur.
Aether délègue l'authentification au fournisseur d'identité de l'entreprise (IDP), il n'y a donc pas de page de connexion pré-authentifiée.
3. Protocoles et exigences IDP supportés
Le fournisseur d'identité d'entreprise (IDP) doit supporter:
- Le protocole Open ID Connect (OIDC).
- Les revendications pour le prénom, le nom et l'email - Correspondant aux champs d'application de base de l'OIDP "openID profile email".
4. Configuration de la solution avec Open ID Connect (OIDC)
Il y a deux étapes requises pour configurer le SSO avec le protocole Open ID Connect (OIDC):
-
Du côté du système basé sur Alteia:
- Les instances avec les modules/composants SSO supplémentaires déployés et configurés.
- Le point de terminaison "Redirect URI" ou URL de réponse configuré sur les domaines permettant le SSO (à configurer du côté de l'IDP d'entreprise).
-
Du côté de l'IDP d'entreprise (comme sortie, à configurer du côté du système basé sur Alteia):
- L'ID du client
- Le secret du client*
- Les points de terminaison OAuth2/OIDC**
- Deux points de terminaison sont nécessaires : le point de terminaison d'autorisation "Open ID Connect" et le point de terminaison "token".
- Le champ d'application " OpenID profile email" doit être activé sur les deux types de tokens (tokens d'accès et tokens d'identification) - pour récupérer au minimum les détails suivants sur l'utilisateur: prénom, nom et e-mail.
- D'autres points de terminaison et champs d'application existent et peuvent être envisagés pour des configurations plus avancées.