Passer au contenu principal
Le Single Sign-On (SSO) est une fonctionnalité qui permet aux utilisateurs de se connecter à plusieurs applications en utilisant les mêmes identifiants, sans avoir à ressaisir leur nom d’utilisateur et mot de passe Paradigm.
Pour le moment, Paradigm n’est compatible qu’avec le format SAML (Security Assertion Markup Language).
Dans cet article, nous expliquerons comment activer la fonctionnalité SSO dans Paradigm pour une instance globale et par entreprise via l’administration Paradigm. Il y a 4 étapes pour configurer le SSO :
  1. Activer le service SSO pour toute l’instance Paradigm
  2. Récupérer les informations du Fournisseur d’Identité (IdP)
  3. Configuration SSO du côté Fournisseur de Service (SP) Paradigm
  4. Configuration SSO du côté fournisseur d’identité

Étape 1: Activer le SSO pour toute l’instance Paradigm

Pour activer le SSO, vous devez aller à la page Clé de Configuration de l’administration et configurer les deux champs suivants :
  1. is_sso_on: True
    Pour que le SSO soit actif, la valeur de ce champ doit être égale à True (attention à la casse). Si cette valeur est False, le SSO est désactivé pour toute l’instance.
  2. default_sso_permissions_for_company_admins : Ce champ vous permet de définir si par défaut les utilisateurs de type “Administrateur d’entreprise” peuvent configurer le SSO de leur entreprise ou non. Si la valeur est True (attention à la casse), alors par défaut l‘“administrateur d’entreprise” peut configurer le SSO. Si cette case est False, alors par défaut l‘“administrateur d’entreprise” ne peut pas configurer le SSO de son entreprise.
Note importante : default_sso_permissions_for_company_admins affecte le champ “Autoriser les administrateurs d’entreprise à gérer le sso” disponible sur la page Entreprise pour les entreprises nouvellement créées.Si default_sso_permissions_for_company_admins est à True, le champ “Autoriser les administrateurs d’entreprise à gérer le sso” sera activé par défaut pour les nouvelles entreprises.Si default_sso_permissions_for_company_admins est à False, le champ “Autoriser les administrateurs d’entreprise à gérer le sso” sera désactivé par défaut pour les nouvelles entreprises. Les entreprises existantes ne sont pas affectées par ce paramètre, leur configuration SSO restera inchangée.

Étape 2: Récupérer les Informations du Fournisseur d’Identité

Pour continuer, les informations suivantes de votre fournisseur d’identité sont requises :
  • Entity ID : L’ID utilisé pour identifier votre fournisseur d’identité.
Vous pouvez ensuite soit récupérer :
  • URL SSO : L’URL de votre fournisseur d’identité vers laquelle Paradigm devrait envoyer ses requêtes SAML.
  • Certificat : Le certificat permettant un échange sécurisé d’informations entre le SP et l’IdP.
Ou :
  • URL Metadata : url redirigeant vers la configuration de votre Fournisseur d’Identité incluant l’URL SSO et le Certificat.

Étape 3: Configuration SSO Côté Fournisseur de Service Paradigm

Pour chaque entreprise, l’implémentation du SSO nécessite la création d’une Application Sociale. Pour créer une nouvelle configuration SSO, allez dans Administration Paradigm > Authentification > Applications Sociales. Enfin cliquez sur ajouter et remplissez les champs avec les informations suivantes :
  • Fournisseur : SAML
  • ID Fournisseur : Vous devriez entrer l’Entity ID de votre Fournisseur d’Identité récupéré à l’étape 2.
    (ex: https://accounts.google.com/o/saml2?idpid=F482izkcy)
  • Nom : Nom qui apparaîtra dans l’admin.
    (ex: Ma Configuration SAML)
  • ID Client : Identifiant unique de la configuration SAML à travers Paradigm.
    Ce champ est automatiquement peuplé avec un UUID.
    Ne peut pas être modifié par les administrateurs d’entreprise.
    (ex: 3fde0dd3-6457-489a-88e3-cdf413c48a62)
  • Paramètres : Informations supplémentaires au format json.
    Les structures acceptées sont montrées ci-dessous.
  • Entreprise : Vous permet de définir à quelle entreprise vous souhaitez lier cette configuration SSO.

Paramètres d’application sociale - Avec URL SSO et Certificat

{
  "sp": {
    "entity_id": "paradigm-monentreprise-config-saml"
  }, 
  "idp": {
    "entity_id": "<idp_entity_id>",
    "sso_url": "<idp_sso_url>", 
    "x509cert": "<idp_certificate>"
  }
}

Paramètres d’application sociale - Avec URL Metadata

{
  "sp": {
    "entity_id": "paradigm-monentreprise-config-saml"
  }, 
  "idp": {
    "entity_id": "<idp_entity_id>",
    "metadata_url": "<idp_metadata_url>"
  }
}

Étape 4: Configurer le SSO du Côté du Fournisseur d’Identité

Pour configurer le SSO pour Paradigm du côté de votre fournisseur d’identité, 2 moyens sont possibles :

Configuration via fichier XML de métadonnées

Si votre fournisseur d’identité nécessite qu’un fichier XML de métadonnées soit configuré, vous pouvez récupérer ce fichier à l’URL suivante : https://<nom_de_domaine>/auth/saml/<client_id>/metadata/ avec :
  • <nom_de_domaine> le nom de domaine de l’instance Paradigm que vous utilisez.
    Pour notre offre SaaS, ce champ sera donc paradigm.lighton.ai.
  • <client_id> l’ID défini dans Paradigm et permettant de savoir quelle configuration SAML utiliser (car il peut y avoir une configuration SAML par entreprise)
Un exemple de métadonnées pourrait être : https://paradigm.lighton.ai/auth/saml/3fde0dd3-6457-489a-88e3-cdf413c48a62/metadata/

Configuration manuelle

Si votre Fournisseur d’Identité nécessite une configuration manuelle, vous pouvez utiliser les informations suivantes :
  • URL ACS : https://<nom_de_domaine>/auth/saml/<id_client>/acs/
    Exemple d’URL ACS : https://paradigm.lighton.ai/auth/saml/3fde0dd3-6457-489a-88e3-cdf413c48a62/acs/
  • Entity ID : Entity ID du fournisseur de service défini dans les paramètres de configuration SAML
    (ex: paradigm-monentreprise-config-saml)
  • Name ID : Définissez ce champ sur “Primary Email”
Assurez-vous de définir un NameID dans votre configuration.Paradigm devrait pouvoir trouver l’email utilisateur dans <saml:Subject><saml:NameID>
Correspondance d’attributs L’adresse email de vos utilisateurs doit être incluse dans les attributs de vos réponses SAML. Les attributs d’application suivants sont supportés par défaut dans Paradigm pour mapper l’email utilisateur :
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
  • urn:oid:0.9.2342.19200300.100.1.3
Si ces clés par défaut ne correspondent pas à la configuration de votre Fournisseur d’Identité, vous pouvez entrer n’importe quelle clé qui correspond à vos besoins et la spécifier dans les paramètres de l’Application Sociale comme montré ci-dessous : 
{
  "sp": {
    ...
  }, 
  "idp": {
    ...
  },
  "attribute_mapping": {
    "email": "<votre_cle_email>"
  }
}
La valeur de <votre_cle_email> dans vos réponses SAML sera alors mappée à l’email des utilisateurs Paradigm. Accès utilisateur Vous pouvez ensuite assigner cette configuration SAML au groupe d’utilisateurs de votre choix.

Parcours utilisateur pour se connecter via SSO

  1. L’utilisateur doit aller à la page d’authentification https://paradigm.lighton.ai/login.
  2. L’utilisateur doit entrer son adresse email et cliquer sur “Se connecter” et suivre le parcours de son fournisseur (si l’utilisateur veut passer en mode login/mot de passe, il peut cliquer sur le bouton dédié).
Si l’email utilisé pour se connecter via SSO n’existe pas du côté du Fournisseur d’Identité ou si le compte utilisateur est désactivé, ils peuvent être redirigés vers une page d’erreur de leur fournisseur.

Aide pour configurer votre SSO depuis votre fournisseur

À titre d’exemple, voici différents guides pour configurer votre SSO :

Conseils de débogage

Si vous deviez faire face à des problèmes avec votre configuration SSO, nous conseillons d’utiliser un outil de débogage tel que SAML-tracer qui peut vous donner des informations sur les requêtes et réponses SAML entre Paradigm et votre Fournisseur d’Identité. Liens d’extension SAML-tracer :
  1. D’abord, assurez-vous que vos requêtes SAML sont envoyées à votre Fournisseur d’Identité
  2. Ensuite, vous pouvez vérifier que la réponse SAML inclut un NameID dans le Subject
  3. Enfin, vérifiez que l’email utilisateur est correctement inclus dans la réponse SAML avec un nom d’attribut attendu (soit les par défaut soit celui que vous avez défini dans le paramètre “attribute_mapping”)
Nous espérons que cet article vous a aidé à comprendre comment activer la fonctionnalité SSO dans Paradigm. Si vous avez des questions ou des problèmes, n’hésitez pas à nous contacter.
I