Configurer PingFederate comme fournisseur d’identité SAML

PingFederate est un serveur de fédération qui assure la gestion des identités, l’authentification unique et la sécurité des API pour l’entreprise. Voir les instructions détaillées de PingFederate pour configurer PingFederate en tant que fournisseur d’identité.

Pour configurer Auth0 pour qu’il puisse utiliser PingFederate comme fournisseur d’identité, vous utiliserez principalement les valeurs par défaut et le fichier de métadonnées de votre locataire Auth0 pour télécharger les valeurs des paramètres de configuration requis pour ce locataire. En cas d’échec du téléversement des métadonnées pour quelque raison que ce soit, voici les paramètres de configuration les plus importants :

  • EntityID :urn:auth0:{yourTenant}:{yourConnectionName}

  • URL du Service consommateur d'assertions (ACS) :https://{yourDomain}/login/callback

  • URL de déconnexion :https://{yourDomain}/logout

  • Liaison HTTP-Redirect pour les requêtes SAML

  • Liaison HTTP- POST pour les assertions SAML

  1. Téléchargez votre fichier de métadonnées Auth0 à partir de https://YOUR_DOMAIN/samlp/metadata?connection=YOUR_CONNECTION_NAME. Veillez à utiliser votre domaine personnalisé si vous en avez configuré un. Vous téléverserez ce fichier pour importer les informations de votre locataire Auth0 dans la configuration de PingFederate.

  2. Connectez-vous à votre compte PingFederated et sélectionnezCréer nouveau dans la section Connexions des fournisseur de services

  3. Configurez la Connexion des fournisseurs de service.

    • Sélectionnez les Profils d’authentification unique du navigateur comme Type de connexion.

    • Sélectionnez les Authentification unique du navigateur comme Option de connexion.

  4. Téléversez le fichier de métadonées que vous avez téléchargé à l’étape 1 L’ID de l’entité, Nom de la connexion et la URL Base seront alimentés automatiquement d’après les informations tirées du fichier de métadonnées.

  5. Configurez Authentification unique du navigateur.

    • Sélectionnez Authentification unique initiée par le fournisseur de services et Déconnexion unique initiée par le fournisseur de services dans Profils SAML.

    • Accédez à la section Création de l’assertion et cliquez sur Configurer l’assertion. Acceptez toutes les paramètres par défaut des deux écrans suivants.

  6. Accédez à la section IdP Adapter Mapping (Mappage de l’adaptateur IdP). C’est là que les utilisateurs seront authentifiés. Il est probable que vous en avez déjà un configuré dans votre installation PingFederate. Sélectionnez-en un, ou ajoutez-en un nouveau. Auth0 n’exige que la demande NameIdentifier. Tous les autres attributs seront transmis à l’application finale.

  7. Configurez les Paramètres de protocole. Les valeur des Paramètres de protocole sont importées à partir du fichier de métadonnées. Vous verrez ensuite s’afficher l’URL du Service consommateur d'assertions (ACS) et les URL de déconnexion. Cliquez sur Suivant pour accéder à la section Liaisons SAML admisibles.

  8. Laissez POST et Redirige activés. Assurez-vous que Assertion SAML est toujours signée.

  9. Configurez les Identifiants. Dans les Paramètres de signature numérique, sélectionnez votre certificat de signature et cochez l’option pour l’inclure dans l’élément <KeyInfo>.

  10. Configurez le certificat utilisé pour signer les requêtes entrantes. Vous pouvez télécharger le certificat Auth0 (utilisez https://{yourTenant}.auth0.com/pem) et le téléverser ici. Auth0 signe les SAMLRequests par défaut; vous pouvez changer ce paramètre lorsque vous configurez la connexion.

  11. Passez en revue vos paramètres et attribuez-leur le statut Activé ou Désactivé.

  12. Cliquez sur Enregistrer en bas de l’écran. La nouvelles connexion au SP devrait s’afficher sur l’écran Principal.

Authentification unique initiée par IdP

Lorsque vous utilisez l’authentification unique initiée par IdP, assurez-vous d’inclure le paramètre de connection dans l’URL du Service consommateur d'assertions (ACS) : https://{yourDomain}/login/callback?connection={yourConnectionName}.

Pour savoir comment configurer Auth0 pour acheminer des assertions SAML entrantes, lisez Configurer l’authentification unique initiée par le fournisseur d’identité.