Passer au contenu principal

Comment paramétrer et utiliser le SAML ?

Ce document décrit la configuration, la fonctionnalité, le processus d'intégration et les fonctionnalités de SAML SSO pour l'authentification et la gestion des utilisateurs

C
Écrit par CX Enablement
Mis à jour il y a plus de 5 mois

Principaux avantages du produit

  1. Authentification simplifiée

    • Permet aux clients de se connecter via leur fournisseur d'identité d'entreprise.

    • Prise en charge des flux initiés par le fournisseur de services (SP) et par le fournisseur d'identité (IdP).

  2. Provisionnement et gestion des utilisateurs

    • Provisionnement automatisé des utilisateurs, mise à jour et déprovisionnement utilisant SCIM.

    • Provisionnement Just-In-Time pour les utilisateurs qui ne souhaitent pas configurer SCIM.

    • Prise en charge de la cartographie des attributs pour des rôles et équipes d'utilisateurs personnalisés.

    • Les utilisateurs provisionnés via SAML n'auront plus besoin de passer par le processus traditionnel d'approbation des demandes d'utilisateurs, ce qui réduit considérablement la charge administrative.

  3. Sécurité renforcée

    • Gestion sécurisée de l'ID de nom, des attributs et des contextes d'authentification.

    • Authentification de domaine associée pour garantir que les utilisateurs appartiennent à la bonne organisation.

Description et configuration de la fonctionnalité

  • Cette mise à jour cible principalement les grandes organisations.

  • Les exemples ci-dessous utilisent Okta comme fournisseur d'identité, cependant, l'intégration SAML fonctionne avec tout fournisseur d'identité qui prend en charge SAML 2.0.

    Chaque IdP peut avoir une interface légèrement différente pour la configuration, mais le processus de configuration de base reste le même :

    1. Créez une application au sein de l'IdP.

    2. Configurez l'URL ACS et l'ID d'entité SP fournis par le fournisseur de services (CisionOne/Streem).

    3. Mappez des attributs comme email, first_name, last_name et des rôles personnalisés.

Configuration SAML (côté Okta - requis)

1. Créez une nouvelle intégration d'application dans Okta

Accédez au tableau de bord d'administration de votre fournisseur d'identité et créez une nouvelle intégration d'application. Assurez-vous de sélectionner SAML 2.0 si vous êtes invité à choisir une méthode de connexion.

2. Copier et coller l'URL ACS et l'ID d'entité SP depuis CisionOne

  • Accédez à la page d'intégration SAML en allant sur Organisation → Intégrations → SAML.

  • Copiez l'URL ACS et l'ID d'entité SP.

Collez l'URL ACS et l'ID d'identité SP dans les champs appropriés. Utilisez l'adresse e-mail comme format d'ID de nom et utilisez l'e-mail comme nom d'utilisateur de l'application.

3. Configurer les Attributs

  1. Configurez les déclarations d'attributs via la section des déclarations d'attributs de votre fournisseur d'identité. Nous avons actuellement besoin de :

    1. email

    2. first_name

    3. last_name

    4. primary_team (optional)

    5. monitoring_user_role (optional)

    6. social_user_role (optional)

    7. outreach_user_role (optional)

Dans Okta, faites défiler vers le bas depuis l'intégration SAML pour atteindre la section des déclarations d'attributs. Ajoutez les attributs suivants.

  • Assurez-vous que les attributs requis et les attributs optionnels souhaités sont configurés dans l'éditeur de profil d'Okta.

Configuration SAML (CisionOne - Requis)

1. Copier & Coller l'ACS & l'ID d'entité SP depuis Okta

  • Après avoir créé l'application, copiez l'URL SSO, l'émetteur du fournisseur d'identité (ID d'identité) et le certificat X.509 de votre fournisseur d'identité et collez-le sur la page d'intégration dans CisionOne pour établir la connexion.

2. Configurer des domaines associés

  • Si vous avez des utilisateurs répartis sur plusieurs domaines ou organisations, veuillez configurer l'authentification des domaines et utiliser la clé générée pour l'ajouter à vos enregistrements DNS. Assurez-vous de cliquer sur « Vérifier les domaines » pour établir correctement la connexion.

  • Si les utilisateurs font partie de plusieurs organisations ou comptes, assurez-vous d'une vérification correcte des domaines entre les deux comptes. Cela aide à éviter les conflits de routage et garantit que les utilisateurs sont authentifiés correctement. Si cela n'est pas configuré, l'utilisateur ne pourra pas voir ses autres organisations dans le menu déroulant des organisations en haut à gauche et devra se connecter à ses autres comptes séparément sans SAML SSO.

3. Configuration de la correspondance des valeurs des attributs personnalisés

  • Pour que l'attribut de rôle d'équipe et d'utilisateur fonctionne, l'administrateur doit mapper les valeurs des attributs personnalisés à l'intérieur de CisionOne.

  • Faites défiler vers le bas dans l'intégration SAML de CisionOne et ouvrez l'accordéon “Attributs personnalisés (facultatif)”.

Remarque : si l'organisation n'a pas configuré les attributs facultatifs, elle se verra attribuer des équipes et des rôles par défaut tels que définis dans le CRM. Si elle n'a pas d'équipe par défaut, elle ne sera affectée à aucune équipe.

Configuration SCIM (Okta & Cision)

  • SCIM est indépendant de SAML, Okta nous permet d'utiliser cette spécification pour provisionner, déprovisionner et mettre à jour les utilisateurs.

  • Si SCIM n'est pas configuré, le provisionnement sera toujours disponible via le provisionnement Just-In-Time, mais les mises à jour et le déprovisionnement des utilisateurs ne seront pas disponibles.

Formulaire SCIM

  • Accédez au formulaire SCIM en allant dans Intégration d'application → Provisionnement → Connexion SCIM.

  • Remplissez le formulaire comme démontré ci-dessous, assurez-vous que le chemin URL de base du connecteur SCIM est /scim/v2 URL : http://cc04-203-220-231-177.ngrok-free.app/scim/v2 (il s'agit d'une URL de test temporaire, les vraies URLs sont ci-dessous)

  • URL CisionOne : [https://identity.cision.one](<https://identity.cision.one/>)/scim/v2

  • Lorsque vous atteignez la section HTTP Head → Authorisation, reportez-vous à la page d'intégration dans CisionOne.

  • Faites défiler jusqu'en bas de la page pour générer et copier un token. Collez ce token dans le champ Authorisation à l'intérieur de l'IDP.

Après avoir saisi tous les détails dans le formulaire Okta SCIM, cliquez sur “Test Connector Configuration”. Après avoir testé la connexion, vous devriez voir l'écran suivant :

Activez les actions push pour permettre à l'IDP de créer, mettre à jour et désactiver automatiquement les utilisateurs dans Cision.

  • Maintenant, lorsque vous ajoutez, supprimez ou apportez des modifications à un utilisateur à l'intérieur de l'IDP, ils seront synchronisés avec le profil utilisateur à l'intérieur de Cision.

  • Le jeton d'autorisation à utiliser est celui généré sur le modal d'intégration SAML.

    Attributs pour SCIM

    • Lors de l'attribution d'attributs pour SCIM, veuillez ajouter le champ « Espace de noms externe » comme indiqué dans la capture d'écran ci-dessous.

    • Remarque : L'espace de noms externe pour les équipes doit être urn:ietf:params:scim:schemas:extension:teams:2.0:User et le nom externe primary_team

    • Pour les rôles, l'espace de noms externe doit être urn:ietf:params:scim:schemas:extension:roles:2.0:User

      et les noms externes doivent être l'un des suivants en fonction du type de rôle utilisateur souhaité : monitoring_user_role, social_user_role, outreach_user_role

    • Ensuite, lorsque vous ajoutez un utilisateur à l'application, le supprimez ou apportez des modifications à l'utilisateur, ils seront synchronisés avec l'API et le service d'identité.

Flux de connexion

L'intégration permet des flux d'authentification à la fois initiés par le SP et initiés par l'IdP.

  1. Depuis l'IdP

    1. Après la configuration, vous devriez pouvoir voir l'application créée dans les tableaux de bord des utilisateurs de votre fournisseur d'identité. En cliquant sur la tuile, le navigateur redirigera vers CisionOne et connectera l'utilisateur. La tuile provisionnera également l'utilisateur si son compte n'existe pas encore sur Cision.

  1. De CisionOne

    1. Pour se connecter depuis CisionOne, sélectionnez le bouton « Se connecter avec SAML ». L'utilisateur doit saisir son adresse e-mail professionnelle et sélectionner « Authentification unique ». Après s'être connecté, l'utilisateur peut être brièvement redirigé vers son fournisseur d'identité et sera redirigé vers Cision.

Si l'email de l'utilisateur n'existe pas ou s'il y a un problème avec sa connexion, le message d'erreur suivant s'affichera.

Avez-vous trouvé la réponse à votre question ?