Se connecter à SDMC via un fournisseur d'identité

Le well-known est un dossier de configuration contenant le fichier de configuration sdmc-configuration. Mis à disposition par un serveur, il doit être accessible en HTTPS depuis tous les réseaux. Le serveur hôte du well-known doit approuver le certificat SDMC pour que la communication entre les deux soit possible.

Le fichier sdmc-configuration est au format JSON. Il doit contenir les informations suivantes concernant l'IdP à contacter :

• idpCertificate : Adresse URL du certificat affecté à l'IdP,

• idpUrl : Adresse URL de l'IdP à contacter.

Pour être joint par SDMC, le fichier doit être accessible à l'URL suivante :

https://sdmc.[domaine-entreprise]/.well-known/sdmc-configuration

Où :

• https est obligatoire,

• sdmc. est un sous-domaine nécessaire au client pour exposer le fichier well-known,

• [domaine-entreprise] est remplacé par le domaine du compte d'entreprise contenu dans l'adresse e-mail de l'administrateur tentant une connexion,

• .well-known est le dossier contenant tous les fichiers well-known,

• sdmc-configuration est le fichier dédié à SDMC permettant de récupérer les informations de connexion SAML telles que l'URL de l'IdP.

Pour des raisons de performances, les informations idpUrl et idpCertificate sont conservées en cache durant 24 heures à partir de la première connexion. Les modifications du fichier sdmc-configuration peuvent donc ne pas être immédiatement propagées sur SDMC. Cela peut prendre jusqu'à 24 heures.

EXEMPLE
Pour le nom de domaine example.com, le well-known doit être accessible à l'URL https://sdmc.example.com/.well-known/sdmc-configuration et doit avoir la forme suivante :

{

"idpCertificate":"https://example.com/assets/certificate.pem",

"idpUrl":"https://example.com/saml/login"

}

Configurez les paramètres suivants sur l'IdP afin qu'il envoie le format d'informations attendu à SDMC lorsqu'un administrateur tente de se connecter :

Paramètre	Type	Valeur	Statut
"email"	Chaîne de caractères	Adresse e-mail, sous la forme : http://schemas.xmlsoap.org/ws/2005/05/identity/claims/ emailaddress	Obligatoire
"firstName"	Chaîne de caractères	Prénom, sous la forme : http://schemas.xmlsoap.org/ws/2005/05/identity/claims/ givenname	Optionnel
"lastName"	Chaîne de caractères	Nom de famille, sous la forme : http://schemas.xmlsoap.org/ws/2005/05/identity/claims/ surname	Optionnel

Certains IdP proposent le chiffrement des communications SAML 2.0. Pour le mettre en oeuvre, ajoutez la clé publique suivante, extraite du certificat SDMC, dans la configuration de l'IdP associé au chiffrement des communications :

-----BEGIN PUBLIC KEY-----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-----END PUBLIC KEY-----

L'authentification d'un administrateur de SDMC échoue et un code d'erreur s'affiche. Demandez à l'administrateur de vous fournir le code. Les erreurs peuvent être les suivantes :

4001	Le well-known n'est pas disponible.
4002	Le fournisseur d'identité n'envoie pas les bonnes informations. Vérifiez sa configuration.
4003	L'URL du certificat n'est pas accessible. Erreur interne. Transmettez le code d'erreur à Stormshield.
4004	Le well-known n'est pas configuré correctement. Vérifiez sa configuration.
4006	Erreur interne. Veuillez contacter Stormshield et transmettre le code d'erreur.