Passer au contenu principal

Avant de commencer

Vous pouvez configurer Auth0 pour qu’il autorise les membres locataires à utiliser votre propre fournisseur d’identité Enterprise () pour s’authentifier auprès de via l’authentification unique ().

Fonctionnement

Pour configurer l’authentification unique pour le Dashboard, vous devez utiliser Auth0 Support pour ajouter une connexion Enterprise à la RTA (autorité du locataire racine), qui gère les méthodes d’authentification que peut utiliser un membre locataire pour se connecter au Dashboard. L’ajout de cette connexion SSO n’empêche pas les membres locataires de se connecter à l’aide des méthodes d’authentification existantes (comme courriel/mot de passe, LinkedIn, Microsoft, GitHub ou Google). Configurer SSO pour le Dashboard permet d’autre part d’activer la SSO pour tous les sites Auth0 publics, par exemple :

Expérience utilisateur

Lorsqu’un utilisateur autorisé veut se connecter au Dashboard, il saisit l’adresse courriel d’un domaine enregistré (par exemple user@example.com) dans la page Connexion universelle Auth0, puis est redirigé vers votre IdP pour finaliser l’authentification.

Limites

Avant toute configuration de la SSO pour le Dashboard, veuillez réfléchir à ce qui suit :
  • La SSO ne peut pas se limiter à des locataires spécifiques.
  • La SSO ne prend pas en charge les flux d’authentification initiés par IdP.
  • Les invitations de membres locataires ne peuvent ni être automatisées, ni être envoyées en masse avec Auth0 .
  • L’accès des membres locataires ne peut pas être géré par vos appartenances au groupe IdP.
  • La ne peut pas être appliquée à tous les membres d’un locataire.

Considérations

Accès au répertoire complet vers le Dashboard

Lorsque vous ajoutez votre IdP en tant que connexion disponible pour les membres locataires, tous les utilisateurs de votre répertoire IdP peuvent accéder au Dashboard, mais seuls les membres locataires qui ont été invités par un locataire donné peuvent accéder à celui-ci. Lorsque les utilisateurs tentent d’accéder à un locataire dans le Dashboard sans invitation, le système refuse l’opération. Si les utilisateurs n’appartiennent à aucun locataire, le système les invite à remplir leur profil utilisateur et à créer un nouveau locataire d’essai. La création d’un nouveau locataire d’essai ne l’associe pas à votre plan Enterprise.

Identités de membres locataires résiduelles

Si un membre locataire a été invité (et donc a accès) à un locataire du Dashboard en utilisant une autre identité que celle créée sur la nouvelle connexion, il pourra toujours se servir de cette identité pour accéder au locataire (techniquement en tout cas). Vous devrez décider si vous voulez supprimer son ancienne identité, ou la garder comme potentielle méthode d’authentification alternative.

Configurer SSO pour le Dashboard

Configurer SSO pour le Dashboard nécessite une série d’étapes partagées entre vous et Auth0 Support.

Partager les données de configuration IdP

Ouvrez un ticket auprès de l’équipe Auth0 Support pour partager vos données de configuration IdP pour qu’elles puissent configurer SSO. Donnez les informations suivantes lorsque vous envoyez votre ticket :
  • Le ou les domaines de messagerie que vous souhaitez associer à la configuration SSO
  • Le nom de l’IdP
  • Le protocole d’authentification
  • Autres informations spécifiques à IdP
D’autres étapes de configuration sont nécessaires, selon l’IdP et le protocole d’authentification que vous souhaitez utiliser :

ADFS (SAML)

  1. Créez une Partie de confiance dotée des propriétés suivantes :
PropriétéValeurs
ID entitéurn:auth0:auth0:{assignedConnectionName}
Point de terminaison de rappelhttps://auth0.auth0.com/login/callback
  1. Ajoutez une description de demande pour chacune des demandes suivantes :
DemandeIdentifiant de la demandeValeur
Identifiant du nomhttp://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifierE-Mail-Addresses ou User-Principal-Name
Adresse courrielhttp://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddressN/A
Nomhttp://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameN/A
  1. Activez les point de terminaison SAML 2.0.
  2. Communiquez les informations suivantes à Auth0 Support :
    • Point de terminaison de la connexion (par exemple : https://{yourServer}/adfs/ls)
    • Certificat de signature, ou fichier XML de métadonnées SAML

Azure AD (OIDC)

  1. Créez une nouvelle inscription App.
  2. Définissez le type de URI de redirection sur Web, et sa valeur sur https://auth0.auth0.com/login/callback.
  3. Sélectionnez Inscrire.
  4. Activez l’octroi implicite pour le jeton d’ID.
  5. Ajoutez la demande de courriel au jeton d’ID.
  6. Communiquez les informations suivantes à Auth0 Support :
    • L’ID de l’application (client)
    • Le point de terminaison des métadonnées OIDC (par exemple, https://login. microsoftonline.com/{yourAzureAdTenantId}/v2.0/.well-known/openid-configuratio)

Azure AD (SAML)

  1. Créez une nouvelle application Enterprise.
  2. Configurez l’authentification unique pour SAML avec les propriétés suivantes (vous aurez peut-être besoin d’utiliser des valeurs d’espaces réservés jusqu’à ce que Auth0 Support vous communique le nom de la connexion SSO) :
PropriétéValeur
Identifiant (ID entité)urn:auth0:auth0:{assignedConnectionName}
URL (ACS) de réponsehttps://auth0.auth0.com/login/callback
URL de connexionhttps://manage.auth0.com/login?connection={assignedConnectionName}
  1. Ne modifiez pas la section Attributes & Attributs et demandes, notamment Email, Unique User Identifier et éventuellement name -  ; laissez les suggestions Azure.
  2. Communiquez à Auth0 Support les données XML des métadonnées SAML. Vous avez le choix entre ce qui suit :
    • Partager l’URL des métadonnées de la fédération des applications (par exemple, https://login.microsoftonline.com/{azureAdTenantId}/federationmetadata /2007-06/federationmetadata.xml?appid={appId}).
    • Télécharger le document XML des métadonnées de la fédération et le joindre au ticket.

Google (SAML)

Auth0 prend en charge la configuration de SSO pour le Dashboard avec un IdP Google, mais nous recommandons de diriger les utilisateurs vers une méthode d’authentification de type Google. Lorsque qu’un utiisateur se connecte à l’IdP Google SAML, Auth0 lui crée une nouvelle identité utilisateur (autre que son identité d’utilisateur Google existante), ce qui pourrait prêter à confusion. Si vous souhaitez configurer SSO pour le Dashboard avec un IdP Google SAML, lisez IdP générique (SAML) pour des instructions.

Okta (SAML)

  1. Créez une application SAML avec les propriétés suivantes (vous aurez peut-être besoin d’utiliser des valeurs d’espaces réservés jusqu’à ce que Auth0 Support vous communique le nom de la connexion SSO) :
PropriétéValeur
ID entitéurn:auth0:auth0:{assignedConnectionName}
Point de terminaison de rappel (URL ACS)https://auth0.auth0.com/login/callback
  1. Définissez le Name Identifier (Identifiant de nom) pour qu’il envoie l’adresse courriel de l’utilisateur.
  2. Communiquez à Auth0 Support les données XML des métadonnées SAML. Vous avez le choix entre ce qui suit :
    • Partager l’URL XML des métadonnées SAML :
      1. Localisez la section Certificats de signature SAML.
      2. Sélectionnez le menu Actions.
      3. Sélectionnez Afficher les métadonnées IdP, puis sélectionnez Copier l’adresse du lien. Elle aura le format suivant : https://{org}.okta.com/app/{appId}/sso/saml/metadata.
    • Télécharger le fichier XML des métadonnées de la fédération et le joindre au ticket.
Flux d’authentification initiés par IdP
La SSO pour le Dashboard ne prend pas en charge les flux d’authentification initiés par IdP. Si vous voulez que les utilisateurs puissent sélectionner un chiclet pour se connecter au Dashboard, vous devez :
  1. Masquer l’application SAML aux utilisateurs.
  2. Créer une application Bookmark qui pointe sur https://manage.auth0.com/login?connection={assignedConnectionName}. Il s’agit de l’application que les utilisateurs pourront sélectionner pour se connecter.
Veillez à activer à la fois l’application SAML et l’application Bookmark pour que le même ensemble d’utilisateurs puisse utiliser l’application.

OneLogin (SAML)

  1. Créez un connecteur de test SAML (SP) doté des propriétés suivantes (vous devrez peut-être utiliser des valeurs d’espaces réservés jusqu’à ce que Auth0 Support vous communique le nom de la connexion SSO) :
PropriétéValeur
ID entitéurn:auth0:auth0:{assignedConnectionName}
Point de terminaison de rappel (URL ACS)https://auth0.auth0.com/login/callback
URL de connexionhttps://manage.auth0.com/login?connection={assignedConnectionName}
  1. Transmettez à Auth0 Support le fichier XML des métadonnées SAML.

IdP générique (OIDC)

  1. Enregistrez une application (client) avec l’IdP et les propriétés suivantes :
PropriétéValeur
URL de rappelhttps://auth0.auth0.com/login/callback
  1. Ajoutez la demande de courriel au jeton d’ID.
  2. Transmettez à Auth0 Support ce qui suit :
    • ID Application (client)
    • URL de l’émetteur ou point de terminaison de métadonnées OIDC (p. ex., https://{idpDomain}/[...]/.well-known/openid-configuration)
Auth0 Support utilisera le mode Implicit avec le flux Form Post, si disponible. Si votre IdP ne le prend pas en charge, vous aurez alors besoin de lui fournir le secret client de votre application.

IdP générique (SAML)

  1. Auth0 Support vous fournira le nom de la connexion SSO.
  2. Créez une application SAML avec les propriétés suivantes :
PropriétéValeur
ID entitéurn:auth0:auth0:{assignedConnectionName}
Point de terminaison de rappelhttps://auth0.auth0.com/login/callback
  1. Veillez à ce que les assertions SAML contiennent les demandes suivantes :
DemandeIdentifiant de la demandeValeur
Identifiant du nomhttp://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifierupn ou emailaddress
Adresse courrielhttp://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddressN/A
Nomhttp://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameN/A
  1. Transmettez à Auth0 Support l’un des deux éléments suivants :
    • URL et certificat de connexion
    • Fichier XML de métadonnées SAML

Configurer la connexion SSO

L’équipe Auth0 Support utilise les données de configuration que vous avez fournies pour terminer l’installation de la connexion SSO. HRD n’est pas configurée lors de l’installation initiale.

Tester la connexion SSO

Une fois l’installation initiale de SSO réalisée, l’équipe Auth0 Support va vous faire tester la connexion SSO pour valider les données de configuration et vérifier que les membres locataires peuvent s’authentifier sur la connexion SSO de la manière que vous souhaitez. L’équipe Auth0 Support vous fournit une URL de connexion directe que vous pouvez utiliser pour demander l’authentification des nouvelles connexions SSO. Par exemple : https://manage.auth0.com/login?connection={assignedConnectionName}

Imposer la SSO avec Auth0 Teams

Si vous utilisez Auth0 Teams avec votre locataire Enterprise, vous pouvez imposer l’authentification SSO aux locataires qui appartiennent au compte Teams. Pour en savoir plus sur l’administration et la gestion des locataires, lisez Auth0 Teams.
  1. Ouvrez une nouvelle fenêtre du navigateur et saisissez l’identifiant de votre compte Teams : https://accounts.auth0.com/teams/{team-identifier}.
    Vous trouverez l’identifiant Teams dans l’URL ou dans les Paramètres de Teams.
  2. Naviguez vers la page Sécurité.
  3. Configurez les politiques de sécurité en sélectionnant Imposer la connexion unique.

Activer Home Realm Discovery (facultatif)

Si vous utilisez (Connexion universelle) ou Classic Login (Connexion classique), vous pouvez demander à activer HRD afin que la page de connexion reconnaisse le domaine de l’adresse courriel que saisit le membre locataire, puis dirige celui-ci vers la nouvelle connexion SSO.

Quand activer HRD

Si HRD est activée, les membres locataires qui ont précédemment utilisé une identité courriel/mot de passe (avec une adresse électronique correspondant au domaine HRD configuré) ne pourront pas se connecter via la page de connexion. En raison de ce changement de comportement, ne demandez l’activation de HRD qu’après que certains membres locataires soient conscients de ce changement et qu’ils :
  • reçoivent une invitation à rejoindre les locataires sous leur nouvelle identité, ou
  • ont besoin de se ré-inviter sous leur nouvelle identité.

Comment ignorer HRD

Si un membre locataire a besoin de se connecter avec son identité courriel/mot de passe, vous pouvez lui donner une URL de connexion directe : https://manage.auth0.com/login?connection=auth0 Cette URL ignorera HRD et permettra au membre de se connecter avec son identité courriel/mot de passe.

Exemple de comportement de connexion HRD

Voici un exemple d’une liste de membres locataires :
LocataireMembre du locataireConnexionAffecté?
fabrikam@ususer1@example.comcourriel/mot de passeOui
fabrikam@ususer1@gmail.comgoogle-oauth2Non
fabrikam@ususer2@example.comgithubNon
fabrikam@ususer3@acme.comcourriel/mot de passeNon
fabrikam@ususer4@example.comcourriel/mot de passeOui
fabrikam-dev@ususer5@example.comcourriel/mot de passeOui
fabrikam-dev@ususer1@example.comcourriel/mot de passeOui
Si nous associons le domaine example.com à la nouvelle connexion, les membres locataires user1@gmail.com, user2@example.com et user3@acme.com peuvent se connecter comme auparavant, car ils utilisent soit un réseau social, soit une adresse électronique avec domaine non associé. Inversement, les membres locataires user1@example.com, user4@example.com et user5@example.com ne peuvent pas se connecter comme ils le faisaient auparavant car leurs adresses électroniques sont associées au domaine configuré pour HRD.

Migrer des membres locataires existants

La procédure de migration de membres locataires existants dépend de l’activation de HRD.

Comment migrer avec HRD désactivée

Pour migrer des membres locataires avec la HRD désactivée, vous devez partager l’URL de connexion directe pour la nouvelle connexion SSO : https://manage.auth0.com/login?connection={assignedConnectionName}
  1. Créez une invitation de membre locataire pour le membre locataire.
  2. Indiquez au membre locataire d’effectuer ce qui suit :
    1. Se connecter à la nouvelle connexion SSO en utilisant l’URL de connexion directe avant d’accepter l’invitation.
      S’il s’agit de la première fois que vous vous connectez à la nouvelle connexion SSO, il est possible qu’une page d’enrichissement de profil s’affiche (à l’adresse https://auth.com/profile). Ne remplissez aucun champ et sélectionnez Next (Suivant). Suivez plutôt la prochaine étape.
    2. Copier et coller l’URL d’invitation reçue dans le courriel d’invitation dans le même navigateur auquel il s’est connecté sur la nouvelle connexion SSO. Les utilisateurs ne doivent pas sélectionner Créer un compte.
    3. Accepter l’invitation.
    4. Si l’utilisateur a des invitations pour d’autres locataires, il peut les utiliser pour le moment.

Comment migrer avec HRD activée

Pour migrer des membres locataires avec la HDR activée, vous devez effectuer des étapes similaires à l’ajout de membres locataires :
  1. Créez une invitation de membre locataire pour le membre locataire.
  2. Indiquez au membre locataire d’effectuer ce qui suit :
    1. Se déconnecter du Dashboard (s’il s’était connecté avec une ancienne identité).
      S’il s’agit de la première invitation que vous acceptez, vous pouvez voir une page « Create a new tenant » (Créer un nouveau locataire) ou « Create a new account » (Créer un nouveau compte). Ne sélectionnez pas Next (Suivant). Suivez plutôt la prochaine étape.
    2. Suivre le lien d’invitation inclus dans le courriel d’invitation qu’il a reçu.
    3. Se connecter à la nouvelle connexion.
    4. Accepter l’invitation.