Description :

Dans ce guide, nous vous montrerons comment intégrer l'authentification unique (SSO) Microsoft Entra ID ( Azure AD ) avec OneSpan Sign

 

Prérequis

Pour commencer, vous avez besoin des éléments suivants :

• Un abonnement Microsoft Azure .
• OneSpan Sign Compte, Sandbox ou production.

Étape 1:

Configurer Microsoft Entra ID ( Azure AD ) en tant que fournisseur d'identité SAML pour OneSpan Sign :

 

1. Connectez-vous à portail Azure en tant qu'administrateur d'applications cloud ou administrateur d'applications pour votre locataire Microsoft Entra ID.
2. Sélectionnez Applications d'entreprise.
3. Cliquez sur « Nouvelle application », puis choisissez « Créer votre propre application ».
4. Saisissez un nom, par exemple « OneSpan », assurez-vous que l'option « Intégrer toute autre application que vous ne trouvez pas dans la galerie (hors galerie) » est sélectionnée, puis cliquez sur Créer.

 

 

Étape 2 :

Terminez la configuration et testez l'authentification unique pour OneSpan sign.

Maintenant que vous avez créé l'application, vous devez terminer la configuration. Vous vous trouvez actuellement dans la présentation de l'application nouvellement créée.

1. Sous « Configurer l'authentification unique », cliquez sur « Commencer ».
2. Cliquez sur SAML sous 'Sélectionner une méthode d'authentification unique'
3. Cliquez sur le bouton Modifier dans la section "Configuration SAML de base" 
4. Remplissez les deux champs obligatoires pour 'Identifiant (ID d'entité)' et 'URL de réponse requise (URL du service consommateur d'assertion)'

 

 

Configuration SAML de base :

 

Dans cette section, vous devrez configurer les paramètres de configuration SAML de base qui varieront en fonction de votre instance OneSpan Sign et selon que vous configurerez l'authentification unique (SSO) pour être initiée par l'IDP ou initiée par le SP.

Dans ce guide, nous allons configurer SAML pour le compte OneSpan Sign dans notre instance US2 Sandbox ; https://sandbox.esignlive.com et pour le SSO initié par l'IDP et le SP.

Pour plus d'informations sur les paramètres SAML et leur relation avec le modèle SSO, SP ou IDP, veuillez consulter le tableau « Paramètres de configuration SAML » à la fin de ce guide.

 

 

• OPTION A : configurer SAML pour un SP initié SSO pour un compte OneSpan Sign dans l'instance US2 Sandbox :

 

• identifiant (ID d'entité) :

Veuillez vous rendre sur notre documentation ; et téléchargez les métadonnées SAML en fonction de votre instance, comme mentionné ci-dessus. Nous allons configurer SAML pour le compte US2 Sandbox dans ce guide, nous allons donc cliquer sur :

sandbox.esignlive.com et téléchargez le fichier de métadonnées, ouvrez le fichier à l'aide du bloc-notes, copiez l'ID de l'entité et collez-le dans le champ : identifiant (ID de l'entité).

Remarque : le tableau ci-dessous indique l'ID d'entité pour différents environnements OneSpan Sign.

SANDBOX

		PRODUCTION
US2 Sandbox	urn:saml:sso:sandbox:esignlive:com		US2 Production	urn:saml:sso:apps:esignlive:com
Sandbox US1	urn:saml:sso:sandbox:e-signlive:com		US1 Production	urn:saml:sso:apps:e-signlive:com
Sandbox CA	urn:saml:sso:sandbox:e-signlive:ca		Production CA	urn:saml:sso:apps:e-signlive:ca
			Production UE	urn:saml:sso:apps:esignlive:eu
			Production AU	urn:saml:sso:apps:esignlive:com:au

 

• URL de réponse :

L'URL de réponse est l'URL de notre service SSO :

https://<OneSpan Instance>/sso/saml/SSO/alias/e-signlive:

 

Dans notre exemple, l'instance est US2 Sandbox ; l'URL sera donc :

https://sandbox.esignlive.com/sso/saml/SSO/alias/e-signlive

 

 

• URL d'inscription :

Ce champ ne doit être rempli que pour le SSO initié par le SP. Il doit être laissé vide pour le SSO initié par l'IDP.

https://<server:port>/sso/saml/login/alias/e-signlive?idp=[entityId d'un IdP]

Dans l'URL ci-dessus, nous devrons remplacer :

 

• <server:port> avec votre instance, dans notre exemple, il s'agit de US2 SBX ; https://sandbox.esignlive.com
• [entityId d'un IdP] vous pouvez obtenir cette valeur en téléchargeant le fichier XML des métadonnées de la fédération, dans la section Certificat de signature SAML, puis en l'ouvrant avec le Bloc-notes et en recherchant entityID. Vous devrez également envoyer ce fichier par e-mail à l'équipe d'assistance OneSpan afin que nous puissions terminer la configuration de notre côté. Dans ce guide, nous traitons d'un compte dans l'instance US2 SBX et l'entityID de notre exemple est :

https://sts.windows.net/0d09406e-5389-481d-913b-ab712ed9c0a2/

 

 

 

• En remplaçant les deux valeurs dans le lien ci-dessus, nous pouvons obtenir le lien SSO initié par SP :

 

Votre configuration SAML de base ressemblerait finalement à ceci :

 

Étape 3 :

Configurer les attributs utilisateur et les revendications

1. Dans les paramètres de votre application sous Gérer, authentification unique, cliquez sur le crayon ( Modifier ) pour ajouter des attributs utilisateur.
2. Supprimez toute revendication existante et ajoutez trois revendications :

• user.givenname
• user.mail
• user.surname

 

 

Les trois revendications de base ajoutées, voir ci-dessous

 

 

Étape 4 :

Ajoutez des utilisateurs et des groupes à l'application.

Sous l'application, allez dans "Attribuer des utilisateurs et des groupes" -> Ajouter des utilisateurs/groupes -> puis cliquez sur 'Aucun sélectionné' sous Utilisateurs, choisissez les utilisateurs à ajouter à l'application et cliquez sur 'Attribuer »

 

 

 

 

Étape 5 :

Testez le SSO initié par SP

Cliquez simplement sur « Test », puis sur « Tester la connexion » pour vous connecter en tant qu'utilisateur actuel.

 

 

 

Une fois les étapes précédentes terminées, votre configuration pour le SSO initié par SP est terminée et vos utilisateurs peuvent désormais commencer à utiliser l'application en cliquant simplement sur le lien SSO, car OneSpan prend en charge l'approvisionnement automatique pour les nouveaux utilisateurs.

 

 

• OPTION B : configurer SAML pour un IDP initié SSO pour un compte OneSpan Sign dans l'instance US2 Sandbox :

Pour configurer le SSO pour le SSO initié par l'IDP, toutes les étapes ci-dessus restent les mêmes, à l'exception de l'étape 2, sous Configuration SAML, effacez la valeur sous URL de connexion, cliquez sur Enregistrer, puis testez à nouveau de la même manière que nous avons testé le SSO instancié par le SP.

 

 

 

Votre lien IDP sera :

https://account.activedirectory.windowsazure.com/r#/applications

 

Et à partir du lien ci-dessus, les utilisateurs peuvent choisir l'application.

 

 

 

 

Description des paramètres de configuration SAML Tableau :

 

Paramètres de configuration SAML de base	SP-Initiated	idP-Initiated	Description
Identifiant (ID d'entité)	Requis pour certaines applications	Requis pour certaines applications	Identifie de manière unique l'application. Azure AD envoie l'identifiant à l'application en tant que paramètre Audience du jeton SAML. L'application est censée le valider. Cette valeur apparaît également en tant qu'ID d'entité dans toutes les métadonnées SAML fournies par l'application. Vous pouvez trouver cette valeur en tant qu'élément Issuer dans la requête AuthnRequest (requête SAML) envoyée par l'application.
URL de réponse	Facultatif	Obligatoire	Spécifie où l'application s'attend à recevoir le jeton SAML. L'URL de réponse est également appelée URL du service consommateur d'assertions (ACS). Vous pouvez utiliser les champs d'URL de réponse supplémentaires pour spécifier plusieurs URL de réponse. Par exemple, vous pouvez avoir besoin d'URL de réponse supplémentaires pour plusieurs sous-domaines. Ou, à des fins de test, vous pouvez spécifier plusieurs URL de réponse (hôte local et URL publiques) à la fois.
URL d'inscription	Obligatoire	Pas besoin d'en spécifier un	Lorsqu'un utilisateur ouvre cette URL, le fournisseur de services redirige vers Azure AD pour authentifier et connecter l'utilisateur. Azure AD utilise l'URL pour démarrer l'application à partir d'Office 365 ou du panneau d'accès Azure AD. Si ce champ est vide, Azure AD effectue une connexion initiée par l'IdP lorsqu'un utilisateur lance l'application à partir d'Office 365, du panneau d'accès Azure AD ou de l'URL SSO Azure AD.
État du relais	Facultatif	Facultatif	Indique à l'application où rediriger l'utilisateur une fois l'authentification terminée. En général, la valeur est une URL valide pour l'application. Cependant, certaines applications utilisent ce champ différemment. Pour plus d'informations, contactez le fournisseur de l'application.
URL de déconnexion	Facultatif	Facultatif	Utilisé pour renvoyer les réponses de déconnexion SAML à l'application.

FIN du guide.