Se connecter à SDMC via un fournisseur d'identité
Grâce au protocole SAML, SDMC peut s'appuyer sur un fournisseur d'identité (IdP) pour authentifier les administrateurs.
Pour mettre en place ce mode de connexion, vous devez :
-
Mettre à disposition de SDMC un well-known indiquant l'IdP à contacter,
-
Configurer l'IdP de votre choix pour qu'il fournisse à SDMC les informations attendues pour l'authentification. L'IdP doit être accessible sur Internet et vous devez posséder son certificat.
Mettre à disposition le well-known
Le well-known est un dossier de configuration contenant le fichier de configuration sdmc-configuration. Mis à disposition par un serveur, il doit être accessible en HTTPS depuis tous les réseaux. Le serveur hôte du well-known doit approuver le certificat SDMC pour que la communication entre les deux soit possible.
Le fichier sdmc-configuration est au format .JSON. Il doit contenir les informations suivantes concernant l'IdP à contacter :
-
idpCertificate : Adresse URL du certificat affecté à l'IdP,
-
idpUrl : Adresse URL de l'IdP à contacter.
Pour être joint par SDMC, le fichier doit être accessible à l'URL suivante :
https://sdmc.[domaine-entreprise]/.well-known/sdmc-configuration
Où :
-
https est obligatoire,
-
sdmc. est un sous-domaine nécessaire au client pour exposer le fichier well-known,
-
[domaine-entreprise] est remplacé par le domaine du compte d'entreprise contenu dans l'adresse e-mail de l'administrateur tentant une connexion,
-
.well-known est le dossier contenant tous les fichiers well-known,
-
sdmc-configuration est le fichier dédié à SDMC permettant de récupérer les informations de connexion SAML telles que l'URL de l'IdP.
Pour des raisons de performances, les informations idpUrl et idpCertificate sont conservées en cache durant 24 heures à partir de la première connexion. Les modifications du fichier sdmc-configuration peuvent donc ne pas être immédiatement propagées sur SDMC. Cela peut prendre jusqu'à 24 heures.
EXEMPLE
Pour le nom de domaine example.com, le well-known doit être accessible à l'URL https://sdmc.example.com/.well-known/sdmc-configuration et doit avoir la forme suivante :
{
"idpCertificate":"https://example.com/assets/certificate.pem",
"idpUrl":"https://example.com/saml/login"
}
Configurer le fournisseur d'identité
Configurez les paramètres suivants sur l'IdP afin qu'il envoie le format d'informations attendu à SDMC lorsqu'un administrateur tente de se connecter :
| Paramètre | Type | Valeur | Statut |
|---|---|---|---|
| "email" | Chaîne de caractères | Adresse e-mail, sous la forme : http://schemas.xmlsoap.org/ws/2005/05/identity/claims/ emailaddress |
Obligatoire |
| "firstName" | Chaîne de caractères |
Prénom, sous la forme : http://schemas.xmlsoap.org/ws/2005/05/identity/claims/ |
Optionnel |
| "lastName" | Chaîne de caractères |
Nom de famille, sous la forme : http://schemas.xmlsoap.org/ws/2005/05/identity/claims/ |
Optionnel |
Chiffrer les communications avec le certificat SDMC
Certains IdP proposent le chiffrement des communications SAML 2.0. Pour le mettre en oeuvre, ajoutez la clé publique suivante, extraite du certificat SDMC, dans la configuration de l'IdP associée au chiffrement des communications :
-----BEGIN PUBLIC KEY-----
MIICIjANBgkqhkiG9w0BAQEFAAOCAg8AMIICCgKCAgEAu5nGaYFmaHGk6fu6+H5b
qo/JBUvbuZQlhWE7Ybocns4YIEKVSi6B9QtxasLN4BhZuh6autZmhLqQtZtxV8S4
4BkU44KXNeKPGGhD1izp2mJ8iE6Z3lhUCYRxrRebZQ2Fmu8Z/rKpUDMxwhjOskkQ
LVHWflUIT8heRQuUNqN3nqF7049Fe3rQQvI07NOokmPnwO5EpptopOCRj0b2FSGx
KdTk/RNm/QKBuirF/7w8JremeG6W+HIC6810cN/Lf88aHoL9NKm0A9eknJyzcKy3
wH0TTBF3N4n521psttg22hOZjQXMqSjkXUPHEMBq6br9Tixg53Q8rJhthS+Ahosb
qsxRkAOUiaEPmOR8Kx6AlJ6gdGJe0PAqiZTOiYKEFx1yU6kEbpnU7KkKJwsmOZVg
VQMFIVOQiv/1wRLx49ybviZqyNgFuZx4+4pGQt3ETkDQhK10s0xO7/UUMYEKu59C
YSAyJNVYVjujC2QqaP8YXcJNndEbSPH58PxFDZ8SmBa9uSzxcO2o+Zg2972dxUXW
fIZpWifdkDw6ktor9LhaqDYUw6KLmHh8phRzg49Kt7JaJUtBc9x0YgaXJ23ZfaP9
ndOaWK4loycCS4yyA6Uqupqp5oJV/pyPEAIzrYAVHHBtyxcv2uCXWFlmBZeN6RDZ
Y6tY9gfqqoatDT32PfH4Xs0CAwEAAQ==
-----END PUBLIC KEY-----
Résoudre les problèmes
L'authentification d'un administrateur de SDMC échoue et un code d'erreur s'affiche. Demandez à l'administrateur de vous fournir le code. Les erreurs peuvent être les suivantes :
| 4001 | Le well-known n'est pas disponible. |
| 4002 | Le fournisseur d'identité n'envoie pas les bonnes informations. Vérifiez sa configuration. |
| 4003 | L'URL du certificat n'est pas accessible. Erreur interne. Transmettez le code d'erreur à Stormshield. |
| 4004 | Le well-known n'est pas configuré correctement. Vérifiez sa configuration. |
| 4006 | Erreur interne. Veuillez contacter Stormshield et transmettre le code d'erreur. |