Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Configuration du type d'authentification standard
Pour Standard (par défaut), fédérez votre fournisseur d'identité SAML 2.0 tiers (tel qu'Okta ou Ping) directement avec votre portail.
Le type d'identité standard peut prendre en charge les flux de connexion service-provider-initiated (initiés par le SP) et identity-provider-initiated (initiés par l'IdP) avec votre IdP conforme à SAML 2.0.
Étape 1 : Commencez à configurer votre fournisseur d'identité sur WorkSpaces Secure Browser
Procédez comme suit pour configurer votre fournisseur d'identité :
-
Sur la page Configurer le fournisseur d’identité de l’assistant de création, sélectionnez Standard.
-
Choisissez Continuer avec un IdP standard.
-
Téléchargez le fichier de métadonnées SP et laissez l'onglet ouvert pour les valeurs de métadonnées individuelles.
-
Si le fichier de métadonnées SP est disponible, choisissez Télécharger le fichier de métadonnées pour télécharger le document de métadonnées du fournisseur de services (SP), puis téléchargez le fichier de métadonnées du fournisseur de services sur votre IdP à l'étape suivante. Sans cela, les utilisateurs ne pourront pas se connecter.
-
Si votre fournisseur ne télécharge pas les fichiers de métadonnées SP, entrez manuellement les valeurs des métadonnées.
-
-
Sous Choisir le type de connexion SAML, choisissez entre les assertions SAML initiées par le SP et l'IDP, ou les assertions SAML initiées par le SP uniquement.
-
Les assertions SAML initiées par le SP et par l'IdP permettent à votre portail de prendre en charge les deux types de flux de connexion. Les portails qui prennent en charge les flux initiés par l'IdP vous permettent de présenter des assertions SAML au point de terminaison de fédération des identités de service sans obliger les utilisateurs à lancer une session en accédant à l'URL du portail.
-
Choisissez cette option pour autoriser le portail à accepter les assertions SAML non sollicitées initiées par un IdP.
-
Cette option nécessite la configuration d'un état de relais par défaut dans votre fournisseur d'identité SAML 2.0. Le paramètre d'état du relais pour votre portail se trouve dans la console lors de la connexion SAML initiée par l'IdP, ou vous pouvez le copier à partir du fichier de métadonnées SP situé sous.
<md:IdPInitRelayState>
-
Remarque
-
Voici le format de l'état du relais :
redirect_uri=https%3A%2F%2Fportal-id.workspaces-web.com%2Fsso&response_type=code&client_id=1example23456789&identity_provider=Example-Identity-Provider
. -
Si vous copiez et collez la valeur à partir du fichier de métadonnées SP, assurez-vous de passer
&
à&
.&
est un caractère d'échappement XML.
-
-
-
Choisissez les assertions SAML initiées par le SP uniquement pour que le portail ne prenne en charge que les flux de connexion initiés par le SP. Cette option rejettera les assertions SAML non sollicitées provenant des flux de connexion initiés par l'IdP.
Note
Certains tiers vous IdPs permettent de créer une application SAML personnalisée capable de fournir des expériences d'authentification initiées par l'IdP en tirant parti des flux initiés par le SP. Pour voir un exemple, consultez Add an Okta bookmark application
. -
-
Choisissez si vous souhaitez activer les demandes de signature SAML adressées à ce fournisseur. L'authentification initiée par le SP permet à votre IdP de valider que la demande d'authentification provient du portail, ce qui empêche d'accepter d'autres demandes de tiers.
-
Téléchargez le certificat de signature et chargez-le sur votre IdP. Le même certificat de signature peut être utilisé pour une déconnexion unique.
-
Activez la demande signée dans votre IdP. Le nom peut être différent en fonction de l'IdP.
Note
RSA-SHA256 est le seul algorithme de demande et de signature de demande par défaut pris en charge.
-
-
Choisissez si vous souhaitez activer Exiger des assertions SAML chiffrées. Cela vous permet de chiffrer l'assertion SAML provenant de votre IdP. Cela peut empêcher les données d'être interceptées dans les assertions SAML entre l'IdP et Secure Browser. WorkSpaces
Note
Le certificat de chiffrement n'est pas disponible à cette étape. Il sera créé après le lancement de votre portail. Après avoir lancé le portail, téléchargez le certificat de chiffrement et chargez-le sur votre IdP. Activez ensuite le chiffrement des assertions dans votre IdP (le nom peut être différent en fonction de l'IdP).
-
Choisissez si vous souhaitez activer la déconnexion unique. La déconnexion unique permet à vos utilisateurs finaux de se déconnecter à la fois de leur IdP WorkSpaces et de leur session Secure Browser en une seule action.
-
Téléchargez le certificat de signature depuis WorkSpaces Secure Browser et chargez-le sur votre IdP. Il s'agit du même certificat de signature que celui utilisé pour la signature des demandes à l'étape précédente.
-
L'utilisation de la déconnexion unique vous oblige à configurer une URL de déconnexion unique dans votre fournisseur d'identité SAML 2.0. Vous trouverez l'URL de déconnexion unique de votre portail dans la console sous Détails du fournisseur de services (SP) - Afficher les valeurs de métadonnées individuelles, ou dans le fichier de métadonnées SP sous
<md:SingleLogoutService>
. -
Activez la déconnexion unique dans votre IdP. Le nom peut être différent en fonction de l'IdP.
-
Étape 2 : configurer votre fournisseur d'identité sur votre propre IdP
Ouvrez un nouvel onglet dans votre navigateur. Effectuez ensuite les étapes suivantes auprès de votre IdP :
-
Ajoutez les métadonnées de votre portail à votre IdP SAML.
Téléchargez le document de métadonnées SP que vous avez téléchargé à l'étape précédente sur votre IdP, ou copiez et collez les valeurs des métadonnées dans les champs appropriés de votre IdP. Certains fournisseurs n'autorisent pas le téléchargement de fichiers.
Les détails de ce processus peuvent varier d'un fournisseur à l'autre. Consultez la documentation de votre fournisseur Conseils pour des questions spécifiques IdPs pour obtenir de l'aide sur la façon d'ajouter les détails du portail à la configuration de votre IdP.
-
Confirmez le NameID de votre assertion SAML.
Assurez-vous que votre IdP SAML renseigne NameID dans l'assertion SAML avec le champ e-mail de l'utilisateur. Le NameID et l'adresse e-mail de l'utilisateur sont utilisés pour identifier de manière unique votre utilisateur fédéré SAML auprès du portail. Utilisez le format d'identifiant de nom SAML persistant.
-
Facultatif : configurez l'état du relais pour l'authentification initiée par l'IDP.
Si vous avez choisi Accepter les assertions SAML initiées par le SP et par l'IdP à l'étape précédente, suivez les étapes de l'étape 2 pour définir l'état du Étape 1 : Commencez à configurer votre fournisseur d'identité sur WorkSpaces Secure Browser relais par défaut pour votre application IdP.
-
Facultatif : configurez la signature des demandes. Si vous avez choisi Signer les demandes SAML à ce fournisseur à l'étape précédente, suivez les étapes de l'étape 3 Étape 1 : Commencez à configurer votre fournisseur d'identité sur WorkSpaces Secure Browser pour télécharger le certificat de signature sur votre IdP et activer la signature des demandes. Certains IdPs , comme Okta, peuvent exiger que votre NameID appartienne au type « persistant » pour utiliser la signature des demandes. Assurez-vous de confirmer votre NameID pour votre assertion SAML en suivant les étapes ci-dessus.
-
Facultatif : configurez le chiffrement des assertions. Si vous avez choisi Exiger des assertions SAML chiffrées auprès de ce fournisseur, attendez que la création du portail soit terminée, puis suivez l'étape 4 de la section « Charger les métadonnées » ci-dessous pour télécharger le certificat de chiffrement sur votre IdP et activer le chiffrement des assertions.
-
Facultatif : configurez une déconnexion unique. Si vous avez choisi Single Logout, suivez les étapes de l'étape 5 Étape 1 : Commencez à configurer votre fournisseur d'identité sur WorkSpaces Secure Browser pour télécharger le certificat de signature sur votre IdP, renseigner l'URL de déconnexion unique et activer la déconnexion unique.
-
Accordez l'accès à vos utilisateurs dans votre IdP pour utiliser WorkSpaces Secure Browser.
-
Téléchargez un fichier d’échange de métadonnées auprès de votre IdP. Vous téléchargerez ces métadonnées dans WorkSpaces Secure Browser à l'étape suivante.
Étape 3 : Terminez la configuration de votre fournisseur d'identité sur WorkSpaces Secure Browser
Retournez à la console WorkSpaces Secure Browserconsole. Sur la page Configurer le fournisseur d'identité de l'assistant de création, sous Métadonnées de l'IdP, téléchargez un fichier de métadonnées ou entrez une URL de métadonnées depuis votre IdP. Le portail utilise ces métadonnées provenant de votre IdP pour établir la confiance.
-
Pour télécharger un fichier de métadonnées, sous Document de métadonnées IdP, sélectionnez Choisir un fichier. Chargez le fichier de métadonnées au format XML que vous avez téléchargé auprès de votre IdP à l’étape précédente.
-
Pour utiliser une URL de métadonnées, accédez à votre IdP que vous avez configuré à l'étape précédente et obtenez son URL de métadonnées. Revenez à la console WorkSpaces Secure Browser et, sous URL des métadonnées de l'IdP, entrez l'URL des métadonnées que vous avez obtenue auprès de votre IdP.
-
Lorsque vous avez terminé, cliquez sur Next.
-
Pour les portails sur lesquels vous avez activé l'option Exiger des assertions SAML cryptées auprès de ce fournisseur, vous devez télécharger le certificat de chiffrement depuis la section des détails de l'IdP du portail et le télécharger sur votre IdP. Ensuite, vous pouvez activer l'option ici.
Note
WorkSpaces Secure Browser nécessite que le sujet ou le NameID soit mappé et défini dans l'assertion SAML dans les paramètres de votre IdP. Votre IdP peut créer ces mappages automatiquement. Si ces mappages ne sont pas configurés correctement, vos utilisateurs ne peuvent pas se connecter au portail web et démarrer une session.
WorkSpaces Secure Browser nécessite que les affirmations suivantes soient présentes dans la réponse SAML. Vous pouvez trouver
<Your SP Entity ID>et consulter les <Your SP ACS URL>informations
du fournisseur de services ou le document de métadonnées de votre portail, via la console ou la CLI.
-
Une
AudienceRestriction
réclamation dontAudience
la valeur définit votre ID d'entité SP comme cible de la réponse. Exemple :<saml:AudienceRestriction> <saml:Audience><Your SP Entity ID></saml:Audience> </saml:AudienceRestriction>
-
Un champ standard
Response
avec une valeurInResponseTo
de l'ID de demande SAML d'origine. Exemple :<samlp:Response ... InResponseTo="<originalSAMLrequestId>">
-
Une
SubjectConfirmationData
réclamation avecRecipient
la valeur de votre URL SP ACS et uneInResponseTo
valeur correspondant à l'ID de demande SAML d'origine. Exemple :<saml:SubjectConfirmation> <saml:SubjectConfirmationData ... Recipient="<Your SP ACS URL>" InResponseTo="<originalSAMLrequestId>" /> </saml:SubjectConfirmation>
WorkSpaces Secure Browser valide les paramètres de votre demande et vos assertions SAML. Pour les assertions SAML initiées par l'IdP, les détails de votre demande doivent être formatés en tant que
RelayState
paramètre dans le corps d'une requête HTTP POST. Le corps de la demande doit également contenir votre assertion SAML en tant queSAMLResponse
paramètre. Ces deux éléments devraient être présents si vous avez suivi l'étape précédente.Voici un exemple de
POST
corps pour un fournisseur SAML initié par un IDP.SAMLResponse=<Base64-encoded SAML assertion>&RelayState=<RelayState>
-
Conseils pour des questions spécifiques IdPs
Pour vous assurer de configurer correctement la fédération SAML pour votre portail, consultez les liens ci-dessous pour accéder à la documentation couramment utilisée IdPs.