Exemple de configuration SAML avec Okta

Cette page décrit les étapes pour activer l’authentification SAML dans Cyberwatch en utilisant Okta comme fournisseur d’identité.

Elle présente une configuration minimale pour le fonctionnement du service SAML.

Prérequis

La procédure suppose que vous disposez d’un accès à la console d’administration Okta avec les droits suffisants pour la création d’une application SAML, ainsi que pour la gestion des rôles et des groupes d’utilisateurs dans le cas d’une configuration avancée.

Création de l’application SAML dans Okta

Dans la console d’administration Okta, allez dans Applications > Applications. Ensuite, vous devrez :

• Cliquer sur Create App Integration.
• Sélectionner SAML 2.0.
• Cliquer sur Next.
• Spécifier les informations générales de l’application puis cliquer sur Next.
• Spécifier les informations de configuration SAML suivantes :
  • Nom d’application : mettre Cyberwatch
  • Single sign-on URL : URL de l’ACS dans Cyberwatch (laisser la case « Use this for Recipient URL and Destination URL » cochée)
  • Audience URI (SP Entity ID) : Entity ID dans Cyberwatch
  • Response : sélectionner Signed
  • Attribute Statements :
    • firstName / Basic / user.firstName
    • lastName / Basic / user.lastName
    • email / Basic / user.email

Pour plus d’informations sur la création de l’application, veuillez vous référer à la documentation Okta https://help.okta.com/oie/en-us/content/topics/apps/apps_app_integration_wizard_saml.htm

Configuration du Service Provider et Fournisseur d’identité dans Cyberwatch

Commencer par configurer la partie SAML dans Cyberwatch, depuis le menu Administration > Fournisseur d’identité.

1. Dans le champ « Format du nom d’identification » renseigner urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
2. Dans le champ « Texte du bouton de connexion », renseigner la valeur souhaitée, par exemple « Connexion SAML Okta ». Celle-ci sera utilisée pour le libellé du bouton de connexion SAML sur la page d’authentification de Cyberwatch
3. Dans le champ « SP Entity ID », nommer l’identificateur d’approbation de partie de confiance de votre IDP, par exemple « ID de Cyberwatch »
4. Pour « URL des métadonnées de l’IDP », renseigner la valeur « Metadata URL » depuis la config SAML Okta
5. Appliquer pour récupérer automatiquement le certificat de l’IDP
6. Dans le champ « IDP Entity ID », renseigner la valeur « Issuer » depuis la config SAML Okta
7. Dans le champ « URL cible SSO IDP », renseigner la valeur « Sign On URL » depuis la config SAML Okta
8. Cocher « Demander le Single Logout »
9. Dans le champ « URL cible Single Logout IDP ». renseigner la valeur « Sign Out URL » depuis la config SAML Okta
10. Sauvegarder

Optionnel - Configuration avancée

Afficher les détails de configuration avancée

Pour configurer les rôles, groupes et autres attributs dans Cyberwatch :

1. Définir les groupes dans Okta > Directory > Groups > Add Group.

Ajouter les utilisateurs au groupe.

Note : Ces groupes doivent être créés dans Cyberwatch pour que le mapping soit fonctionnel.

1. Mettre les rôles dans Okta > Directory > Profile Editor > Cyberwatch User > Add Attribute :
   • DisplayName : Role
   • Cocher « Attribute Required »
   • Attribute Type : Group
   • Spécifier les Attribute Members

Assigner les groupes d’utilisateurs dans l’application SAML :

• Okta > Applications > nom de l’app SAML
• Onglet Assignments > Assign > Assign to Groups

Ajouter les revendications de rôles et de groupes dans l’application :

• Okta > Applications > Nom de l’app SAML > Onglet General > SAML Settings > Edit
• Configure SAML > Attribute Statements :
  • Description / Basic / user.title
  • Role / Basic / appuser.role
• Group Attribute Statements :
  • memberOf / Unspecified / Matches regex .*
• Cliquer sur Next > Finish

Pour plus d’informations sur la création des rôles et des groupes, veuillez vous référer à la documentation Okta :

• Rôles : https://help.okta.com/oie/en-us/content/topics/apps/define-attribute-statements.htm

• Groupes : https://help.okta.com/oie/en-us/content/topics/apps/define-group-attribute-statements.htm

Effectuer les configurations nécessaires dans Cyberwatch au niveau du fournisseur d’identité. La connexion devrait s’effectuer correctement, en récupérant les attributs configurés dans Cyberwatch.

Vérification du fonctionnement

Accéder à la page d’authentification de Cyberwatch, un bouton « Connexion SAML Okta » devrait être affiché.

Cliquer dessus, le navigateur redirige vers la page d’authentification d’Okta si les configurations sont valides.

S’authentifier avec vos identifiants, le navigateur vous redirige et vous authentifie sur Cyberwatch.

Vérifier l’absence d’un compte local/LDAP existant dans Cyberwatch utilisant la même adresse email pour éviter une erreur lors de la connexion.

Troubleshooting

N’hésitez pas à contacter le support Cyberwatch pour tout accompagnement technique.