Configuration SAML

Les applications, en particulier les applications personnalisées, peuvent authentifier les utilisateurs par rapport à un IdP externe à l’aide de protocoles comme OpenID Connect (OIDC) ou OAuth 2.0. Toutefois, il se peut que vous souhaitiez utiliser un fournisseur SAML d’entreprise pour l’authentification, même si votre application a été conçue pour utiliser l’un des deux protocoles.

Certaines applications (comme Salesforce, Box et Workday) permettent aux utilisateurs de s’authentifier auprès d’un IdP externe à l’aide du protocole SAML. Vous pouvez alors intégrer l’application à Auth0, qui sert de fournisseur d’identité SAML pour l’application. Les utilisateurs seront redirigés vers Auth0 pour se connecter, et Auth0 sera en mesure de les authentifier à l’aide de n’importe quelle connexion d’authentification dorsale, comme un répertoire LDAP, une base de données, un autre IdP SAML ou un fournisseur social. Une fois l’utilisateur authentifié, Auth0 renvoie une assertion SAML à l’application qui l’indique.

Voici une liste de services IdP connus pour prendre en charge le protocole SAML. Il peut exister d’autres services que ceux indiqués ci-dessous. Les fournisseurs suivants ont participé à un test d’interopérabilité Kantara et sont donc susceptibles de se conformer à la spécification SAML.

• adAS

• ADFS

• Dot Net Workflow

• Elastic SSO Team & Enterprise

• Entrust GetAccess & IdentityGuard (vérifier le protocole pris en charge)

• EIC (vérifier le protocole pris en charge)

• Ilex Sign&go

• iWelcome

• NetIQ Access Manager

• OpenAM

• RCDevs Open SAMPL IdP

• Optimal IdM VIS Federation Services

• Oracle Access Manager (Oracle Identity Federation a fusionné avec celui-ci)

• PingFederate (IDP Light)

• RSA Federated Identity (IDP Light)

• SecureAuth

• Symplified

• Tivoli Federated Identity Manager

• TrustBuilder

• Ubisecure SSO

• WSO2 Identity Server

Auth0 fournit des instructions spécifiques permettant de configurer les fournisseurs d’identité SAML suivants avec Auth0 :

• ADFS

• Okta

• OneLogin

• PingFederate 7

• Salesforce

• SiteMinder

• SSOCircle

Si Auth0 sert de fournisseur de services dans une fédération SAML, Auth0 peut acheminer les demandes d’authentification vers un fournisseur d’identité sans avoir créé au préalable un compte pour un utilisateur spécifique. En utilisant l’assertion renvoyée par le fournisseur d’identité, Auth0 peut capturer les informations nécessaires pour créer un profil utilisateur pour l’utilisateur (ce processus est parfois appelé provisionnement juste-à-temps). Pour en apprendre davantage, lisez Sélectionner parmi plusieurs options de connexion.

Même si Auth0 n’exige pas de comptes utilisateurs précréés préalablement au processus d’authentification, l’application intégrée à Auth0 pourrait l’exiger. Si c’est le cas, plusieurs options s’offrent à vous :

• Une fois que le fournisseur d’identité a créé l’utilisateur, vous pouvez utiliser un processus hors bande pour créer l’utilisateur correspondant dans l’application (ou Auth0) et ajouter tous les attributs du profil utilisateur requis par l’application. Après authentification, si des attributs manquent dans le profil, l’application peut les obtenir auprès de la source appropriée et les stocker dans le profil utilisateur Auth0. Les attributs supplémentaires sont alors envoyés à l’application (en plus de ceux ajoutés par le fournisseur d’identité) la prochaine fois que l’utilisateur se connecte.

• Vous pouvez utiliser une règle Auth0 pour appeler une API afin de récupérer les informations manquantes et de les ajouter dynamiquement au profil Auth0 (qui est ensuite renvoyé à l’application). Les règles s’exécutent après une authentification réussie, ce qui permet à votre application de récupérer les attributs du profil à chaque fois ou d’enregistrer les attributs dans le profil Auth0.

• Auth0 peut transmettre les informations de profil de base du fournisseur d’identité à l’application, qui récupère ensuite les informations manquantes auprès d’une autre source. Avec ces deux ensembles d’informations, l’application crée un profil utilisateur local.

Vous pouvez spécifier des domaines de courrier électronique dans le cadre de la configuration de la connexion SAMLP Auth0 afin de contrôler le fournisseur d’identité qui gère un groupe sélectionné d’utilisateurs. Par exemple, si vous ajoutez le nom de domaine courriel exemple.com à la configuration de connexion SAMLP Auth0 pour l’Entreprise X, tous les utilisateurs avec des courriels du domaine exemple.com seront traités par l’IdP spécifique pour l’Entreprise X.

Si Auth0 sert de fournisseur d’identité dans une fédération SAML, vous pouvez créer des comptes d’utilisateur de plusieurs façons :

• En utilisant un système d’authentification principal, comme un annuaire LDAP, une base de données ou un autre fournisseur d’identité SAML.

• En utilisant le Auth0 Dashboard.

• En appelant l’Auth0 Management API.

• En implémentant l’inscription des utilisateurs en libre-service.

Si votre application est écrite de manière à récupérer des informations sur le profil utilisateur à partir d’un magasin local, vous devrez créer le profil local après que les comptes ont été créés dans Auth0. Vous pouvez procéder de différentes manières :

• Un processus hors bande créant des profils utilisateurs dans l’application;

• Une règle Auth0 qui s’exécute lors de la première connexion et qui appelle une API d’application pour créer le profil utilisateur dans l’application;

• Modifier l’application pour créer des profils utilisateurs de manière dynamique, sur la base des informations contenues dans l’assertion SAML.

Vous pouvez utiliser Auth0 comme fournisseur de service SAML et fournisseur d’identité SAML à des fins de test.

• Intégrations SAML d’authentification unique
• Configurer Auth0 en tant que fournisseur de services SAML
• Configurer Auth0 en tant que fournisseur d'identité SAML
• Tester SAML SSO avec Auth0 comme fournisseur de service et fournisseur d’identité
• Paramètres de configuration du fournisseur d’identités SAML
• Personnaliser les assertions SAML