Exigences en Matière d'Authentification Unique (SSO)

1. Description

Cet article décrit les informations de base sur la méthode d'authentification Single Sign On (SSO) et les conditions requises pour la déployer sur votre domaine.

La méthode d'authentification par signature unique (SSO) permet aux utilisateurs d'Aether de se connecter en toute sécurité, en utilisant votre propre fournisseur d'identité d'entreprise.

Les utilisateurs d'Aether pourront utiliser leurs informations d'indentification d'entreprise.

2. Comment cela fonctionne-t-il?

Dans Aether, le SSO est configuré par domaine et il n'y a aucun "role mapping" effecturé avec le fournisseur d'identité d'entreprise (IDP), ce qui signifie que les utilisateurs sur l'IDP d'entreprise n'ont pas d'accès par défaut.

Les utilisateurs ayant des droits de "Manager" peuvent toujours accorder l'accès à d'autres utilisateurs, par invitation électronique, et définir quels rôles, organisations, entreprises et projets sont disponibles pour chaque utilisateur.

Aether délègue l'authentification au fournisseur d'identité de l'entreprise (IDP), il n'y a donc pas de page de connexion pré-authentifiée.

3. Protocoles et exigences IDP supportés

Le fournisseur d'identité d'entreprise (IDP) doit supporter:

  • Le protocole Open ID Connect (OIDC).
  • Les revendications pour le prénom, le nom et l'email - Correspondant aux champs d'application de base de l'OIDP "openID profile email".
Delete

Exemples d'IDP conformes:

  • Google Workspace Enterprise (anciennement Gmail pour Entreprises)
  • Microsoft Azure Active Directory
Delete

Aether ne supporte pas actuellement le "Back-channel logout".

4. Configuration de la solution avec Open ID Connect (OIDC)

Il y a deux étapes requises pour configurer le SSO avec le protocole Open ID Connect (OIDC):

  • Du côté du système basé sur Alteia:
    • Les instances avec les modules/composants SSO supplémentaires déployés et configurés.
    • Le point de terminaison "Redirect URI" ou URL de réponse configuré sur les domaines permettant le SSO (à configurer du côté de l'IDP d'entreprise).
  • Du côté de l'IDP d'entreprise (comme sortie, à configurer du côté du système basé sur Alteia):
    • L'ID du client
    • Le secret du client*
    • Les points de terminaison OAuth2/OIDC**
Delete

Info

*Pour la configuration de départ et les vérifications d'interopérabilité:

  • Nous utilisons la méthode d'authentification simple "Post with Client's ID and Client's secret".
  • Il existe plusieurs méthodes d'authentification plus avancées qui peuvent être étudiées après une interopérabilité réussie (par exemple, JWT, les certificats, etc…).
  • Les secrets ont une date d'expiration - veuillez commencer avec une configuration initiale décente (par exemple annuelle) - Le renouvellement des secrets n'est pas abordé ici.
** Pour les contrôles d'interopérabilité:
  • Deux points de terminaison sont nécessaires : le point de terminaison d'autorisation "Open ID Connect" et le point de terminaison "token".
  • Le champ d'application " OpenID profile email" doit être activé sur les deux types de tokens (tokens d'accès et tokens d'identification) - pour récupérer au minimum les détails suivants sur l'utilisateur: prénom, nom et e-mail.
  • D'autres points de terminaison et champs d'application existent et peuvent être envisagés pour des configurations plus avancées.


Cet article a-t-il répondu à vos questions ?

Cet article a-t-il répondu à vos questions ?


Knowledge Base Software powered by Helpjuice