Dans un premier temps, vous devez discuter du sujet avec votre contact principal pour valider la mise en œuvre.
Données nécessaires pour la configuration
Le client doit être invité à fournir l'adresse où les métadonnées de son IdP sont hébergées. Les métadonnées SAML contiennent, entre autres
le certificat dont la clé privée associée sera utilisée pour signer les réponses du serveur d'identité
l'URL qui permettra à l'authentification unique d'envoyer une demande d'authentification à ce serveur d'identité
Normalement, le client devra fournir soit une URL, soit un XML prêt à l'emploi qui devra être examiné et utilisé pour remplir la configuration déléguée.
Génération du certificat de notre SP
Nous avons une chaîne de certification qui nous permet de créer des certificats, et pour chaque nouvelle authentification déléguée, nous devons créer un nouveau certificat.
La procédure est en dehors du champ d'application de ce document.
Configuration de l'authentification unique pour intégrer ce nouvel IdP
Aujourd'hui, la configuration est basique et se fait via un champ JSON qui est stocké dans le LDAP.
Ce fichier contient toute la configuration d'un connecteur SAML2. Prenez-le comme exemple pour un autre.
Remarquez les valeurs :
onelogin.saml2.idp.entityid: l'URL où l'IdP expose ses métadonnées.
C'est obligatoire, même si ces métadonnées sont inaccessibles au public. L'authentification unique tentera de se connecter à cette URL pour récupérer les métadonnées, sauf si la configuration inclut"braincube.metadata.fetch": "false"(pour les cas où les métadonnées sont fournies par email)onelogin.saml2.idp.single_sign_on_service.url: c'est l'URL vers laquelle un utilisateur sera redirigé quand il voudra s'identifier auprès de nous via ce délégué d'authentification. Idéalement, si les métadonnées sont disponibles via l'URL IdP, cette ligne peut être laissée vide et sera remplie automatiquement par l'authentification unique lorsqu'elle récupère les métadonnées.