Passer au contenu principal
Auth0 vous permet de créer des connexions de fournisseur d’identité ().

Prérequis

Avant de démarrer :
  • Enregistrez votre application avec Auth0.
    • Sélectionnez un type d’application approprié.
    • Ajoutez une URL de rappel autorisée de {https://yourApp/callback}.
    • Assurez-vous que les Types d’autorisation de votre application comprennent les flux appropriés.
  • Choisir le nom de cette connexion d’entreprise
    • L’URL de renvoi (également appelée URL du Service consommateur d’assertions) devient : https://{yourDomain}/login/callback?connection={yourConnectionName}
    • L’identité de l’entité devient : urn:auth0:{yourTenant}:{yourConnectionName}

Étapes

Pour connecter votre application à un fournisseur d’identité SAML, vous devez :
  1. Saisissez l’URL de renvoi et l’identité de l’entité auprès de l’IdP (pour en savoir plus, consultez Paramètres de configuration du fournisseur d’identités SAML).
  2. Obtenez le certificat de signature du fournisseur d’identité et convertissez-le en Base64.
  3. Créez une connexion d’entreprise dans Auth0.
  4. Activez la connexion d’entreprise pour votre application Auth0.
  5. Établissez des mappages (inutile dans la plupart des cas).
  6. Testez la connexion.

Obtenir le certificat de signature du fournisseur d’identité

Lorsque vous utilisez la connexion SAML, Auth0 joue le rôle de fournisseur de services. Vous devez donc récupérer un certificat de signature X.509 auprès du fournisseur d’identité SAML (au format PEM ou CER), que vous téléverserez par la suite sur Auth0. Il existe différentes méthodes pour récupérer ce certificat. Si vous avez besoin d’aide, reportez-vous à la documentation de votre fournisseur d’identité (IdP).

Convertir le certificat de signature en Base64

Vous pouvez utiliser ou le pour téléverser le certificat de signature X.509. Si vous utilisez Management API, vous devez convertir le fichier en Base64. Pour y parvenir, utilisez soit un outil en ligne simple à utiliser ou exécutez la commande suivante dans Bash : cat signing-cert.crt | base64.

Créer une connexion d’entreprise dans Auth0

Ensuite, vous devrez créer et configurer une connexion SAML Enterprise dans Auth0 et téléverser votre certificat de signature X.509. Cette tâche peut être effectuée à l’aide du Auth0 Dashboard (Tableau de bord Auth0) ou de Management API.

Créer une connexion entreprise à l’aide du Tableau de bord

  1. Naviguez vers Auth0 Dashboard > Authentification > Entreprise, trouvez SAML, et sélectionnez son +.
    Dashboard (Tableau de bord) - Connections (Connexions) - Enterprise (Entreprise)
  2. Saisissez les détails de votre connexion et sélectionnez Créer :
ChampDescription
Nom de la connexionIdentifiant logique pour votre connexion; il doit être unique pour votre locataire et le même nom que celui utilisé lors de la définition de l’URL de renvoi et de l’ID de l’entité à l’IdP. Une fois défini, ce nom ne peut être modifié.
URL de connexionURL de connexion unique SAML.
Certificat de signature X.509Certificat de signature (encodé au format PEM ou CER) que vous avez récupéré de l’IdP plus tôt dans ce processus.
Activer la déconnexionLorsqu’activé, une URLde déconnexion particulière peut être précisée. Autrement, l’URL de connexion par défaut est utilisée.
URL de déconnexion (facultatif)URL de déconnexion unique SAML.
Attribut de l’ID de l’utilisateur (facultatif)Attribut dans le jeton SAML qui sera mappé à la propriété user_id dans Auth0.
Mode de dépannageLorsque ce mode est activé, une journalisation plus détaillée sera effectuée au cours du processus d’authentification.
Requête de signatureLorsque cette option est activée, la requête d’authentification sera signée. (Assurez-vous de télécharger et de fournir le certificat fourni afin que le fournisseur SAML IdP puisse valider les assertions de la signature.)
Algorithme de requête de signatureL’algorithme utilisé par Auth0 pour signer les assertions SAML.
Algorithme de signature du résumé de la requêteL’algorithme qu’Auth0 utilisera pour le résumé de la requête de signature.
Liaison du protocoleLiaison HTTP prise en charge par l’IdP.
Modèle de requête (facultatif)Modèle qui formatte la requête SAML.
Configuration des paramètres SAML
  1. Dans l’affichage Provisioning (Fourniture), configurez comment les profils utilisateurs sont créés et mis à jour dans Auth0.
ChampDescription
Synchroniser les attributs du profil utilisateur à chaque connexionLorsqu’il est activé, Auth0 synchronise automatiquement les données du profil utilisateur avec chaque connexion utilisateur, garantissant ainsi que les modifications apportées à la source de connexion sont automatiquement mises à jour dans Auth0.
Synchroniser les profils utilisateur à l’aide du SCIMLorsqu’il est activé, Auth0 permet de synchroniser les données du profil utilisateur à l’aide de SCIM. Pour plus d’informations, veuillez consultez Configurer le SCIM entrant).
  1. Dans l’affichage Expérience de connexion, configurez la façon dont les utilisateurs se connectent avec cette connexion.
ChampDescription
Découverte du domaine d’origineCompare le domaine de l’adresse courriel de l’utilisateur avec les domaines du fournisseur d’identité fourni. Pour plus d’informations, lisez Configurer l’authentification Identifier First
Afficher le bouton de connexionCette option affiche les choix suivants pour personnaliser le bouton de connexion de votre application.
Nom d’affichage du bouton (Facultatif)Texte utilisé pour personnaliser le bouton de connexion pour la connexion universelle. Lorsque défini, le bouton affiche : Continuer avec {Nom d’affichage du bouton}.
Logo du bouton URL (Facultatif)URL de l’image utilisée pour personnaliser le bouton de connexion pour la connexion universelle. Lorsque défini, le bouton de connexion de la connexion universelle affiche l’image sous la forme d’un carré de 20 px sur 20 px.
Les champs optionnels ne sont disponibles qu’avec connexion universelle. Les clients utilisant la connexion classique ne verront pas le bouton Ajouter, le nom d’affichage du bouton ou l’URL du logo du bouton.
  1. Si vous disposez des autorisations administratives appropriées pour terminer l’intégration, cliquez sur Continuer pour en apprendre davantage sur les paramètres personnalisés nécessaires à la configuration de votre fournisseur d’identité. Autrement, fournissez l’URL donnée à votre administrateur pour lui permettre d’ajuster les paramètres requis.

Créer une connexion d’entreprise à l’aide de Management API

Vous pouvez également utiliser Management API pour créer votre connexion SAML. Pour ce faire, vous pouvez choisir de spécifier manuellement chaque champ de configuration SAML ou de spécifier un document de métadonnées SAML contenant les valeurs de configuration.

Créer une connexion avec les valeurs spécifiées

Faites un appel POST au point de terminaison Créer une connexion. Assurez-vous de remplacer les paramètres fictifs MGMT_API_ACCESS_TOKEN, CONNECTION_NAME, SIGN_IN_ENDPOINT_URL, SIGN_OUT_ENDPOINT_URL, et BASE64_SIGNING_CERT avec votre jeton d’accès à Management API, nom de connexion, URL de connexion, URL de déconnexion, et le certificat de connexion encodé Base64 (en format PEM ou CER), respectivement. 
curl --request POST \
  --url 'https://{yourDomain}/api/v2/connections' \
  --header 'authorization: Bearer MGMT_API_ACCESS_TOKEN' \
  --header 'cache-control: no-cache' \
  --header 'content-type: application/json' \
  --data '{ "strategy": "samlp", "name": "CONNECTION_NAME", "options": { "signInEndpoint": "SIGN_IN_ENDPOINT_URL", "signOutEndpoint": "SIGN_OUT_ENDPOINT_URL", "signatureAlgorithm": "rsa-sha256", "digestAlgorithm": "sha256", "fieldsMap": {}, "signingCert": "BASE64_SIGNING_CERT" } }'
ValeurDescription
MGMT_API_ACCESS_TOKENJeton d’accès à Management API avec la permission create:connections.
CONNECTION_NAME
SIGN_IN_ENDPONT_URLSAML single login URL (Connexion à authentifiant unique SAML) pour la connexion à créer.
SIGN_OUT_ENDPOINT_URLSAML single logout URL (Déconnexion à authentifiant unique SAML) pour la connexion à créer.
‘BASE64_SIGNING_CERT`Certificat de signature X.509 (encodé en PEM ou CER) que vous avez obtenue de l’IdP.
Ou, dans JSON : 
{
	"strategy": "samlp",
  	"name": "CONNECTION_NAME",
  	"options": {
    	"signInEndpoint": "SIGN_IN_ENDPOINT_URL",
    	"signOutEndpoint": "SIGN_OUT_ENDPOINT_URL",
    	"signatureAlgorithm": "rsa-sha256",
    	"digestAlgorithm": "sha256",
    	"fieldsMap": {
     		...
    	},
    	"signingCert": "BASE64_SIGNING_CERT"
  	}
}

Créer une connexion à l’aide des métadonnées SAML

Au lieu de spécifier chaque champ de configuration SAML, vous pouvez spécifier un document de métadonnées SAML qui contient les valeurs de configuration. Lorsque vous précisez un document de métadonnées SAML, vous pouvez fournir soit le contenu XML du document (metadataXml) ou l’URL du document (metadataUrl). Lorsque vous fournissez l’URL, le contenu ne sera téléchargé qu’une fois; la connexion ne se reconfigurera pas automatiquement si le contenu de l’URL change à l’avenir.
Fournir des métadonnées sur le contenu des documents
Utilisez l’option metadataXml pour fournir le contenu du document : 
curl --request POST \
  --url 'https://{yourDomain}/api/v2/connections' \
  --header 'authorization: Bearer MGMT_API_ACCESS_TOKEN' \
  --header 'cache-control: no-cache' \
  --header 'content-type: application/json' \
  --data '{ "strategy": "samlp", "name": "CONNECTION_NAME", "options": { "metadataXml": "<EntityDescriptor entityID='\''urn:saml-idp'\'' xmlns='\''urn:oasis:names:tc:SAML:2.0:metadata'\''>...</EntityDescriptor>" } }'
Fournir l’URL d’un document de métadonnées
Utilisez l’option metadataUrl pour fournir l’URL du document : 
curl --request POST \
  --url 'https://{yourDomain}/api/v2/connections' \
  --header 'authorization: Bearer MGMT_API_ACCESS_TOKEN' \
  --header 'cache-control: no-cache' \
  --header 'content-type: application/json' \
  --data '{ "strategy": "samlp", "name": "CONNECTION_NAME", "options": { "metadataUrl": "https://saml-idp/samlp/metadata/uarlU13n63e0feZNJxOCNZ1To3a9H7jX" } }'
Lorsque vous fournissez l’URL, le contenu ne sera téléchargé qu’une fois; la connexion ne se reconfigurera pas automatiquement si le contenu de l’URL change à l’avenir.
Actualiser les informations de connexion existantes avec l’URL des métadonnées
Ce processus ne fonctionne que si la connexion a été créée manuellement avec metadataUrl.
Si vous disposez d’une implémentation B2B et que la fédération vers Auth0 est assurée par votre propre fournisseur d’identité SAML, il vous faudra peut-être actualiser les informations de connexion stockées dans Auth0, par exemple en cas de modification du certificat de signature, de l’URL des points de terminaison ou des nouveaux champs d’assertion. Auth0 le fait automatiquement pour les connexions ADFS, mais pas pour les connexions SAML. Vous pouvez créer un processus de traitement par lots (tâche cron) pour effectuer une actualisation périodique. Le processus peut s’exécuter chaque quelques semaines et réalisez un appel PATCH au point de terminaison /api/v2/connections/CONNECTION_ID, passant un corps contenant {options: {metadataUrl: ’$URL’}}$URL est identique à l’URL de métadonnées avec laquelle vous avez créé la connexion. L’URL des métadonnées permet de créer une nouvelle connexion temporaire, puis de comparer les propriétés de l’ancienne et de la nouvelle connexion. Si vous constatez une différence, mettez à jour la nouvelle connexion, puis supprimez la connexion temporaire.
  1. Créez une connexion SAML avec options.metadataURL. L’objet de connexion sera alimenté par les informations contenues dans les métadonnées.
  2. Mettez à jour le contenu des métadonnées dans l’URL.
  3. Envoyez PATCH au point de terminaison /api/v2/connections/CONNECTION_ID avec {options: {metadataUrl: ’$URL’}}. L’objet de connexion est maintenant mis à jour avec le nouveau contenu des métadonnées.
Si vous utilisez le paramètre options, vous écrasez l’intégralité de l’objet options. Assurez-vous que tous les paramètres sont présents.

Spécifier un ID d’entité personnalisé

Pour préciser un ID d’entité personnalisé, utilisez Management API pour remplacer l’ID par défaut urn:auth0:YOUR_TENANT:YOUR_CONNECTION_NAME. Établissez la propriété connection.options.entityID au moment de créer la connexion ou lors de la mise à jour d’une connexion existante. Vous pouvez utiliser l’exemple JSON ci-dessous pour créer une nouvelle connexion SAML à l’aide de l’URL de métadonnées du fournisseur d’identité SAML, tout en spécifiant un identifiant d’entité personnalisé. L’ID de l’entité reste unique puisqu’il est créé avec le nom de la connexion. 
{
  "strategy": "samlp", 
  "name": "{yourConnectionName}", 
  "options": { 
    "metadataUrl": "https://saml-idp/samlp/metadata/uarlU13n63e0feZNJxOCNZ1To3a9H7jX",
    "entityId": "urn:your-custom-sp-name:{yourConnectionName}"
  }
}

Permettre une connexion entreprise pour votre application Auth0

Pour utiliser votre nouvelle connexion d’entreprise SAML, vous devez premièrement activer la connexion pour vos applications Auth0.

Établir des mappages

Si vous configurez une connexion SAML d’entreprise pour un serveur PingFederate non standard, vous devez mettre à jour les mappages d’attributs.
Sélectionnez l’affiihage Mappages, saisissez les mappages entre {}, et sélectionnez Enregistrer.
Configuration des mappages SAML
Mappages pour les serveurs PingFederate non standard : 
{
    "user_id": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier",
    "email": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier"
}
Mappages pour Circle 
{
  "email": "EmailAddress",
  "given_name": "FirstName",
  "family_name": "LastName"
}
Mettre en correspondance l’une des deux revendications avec un attribut d’utilisateur 
{
  "given_name": [
    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname",
    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name"
  ]
}
Comment mettre en correspondance un identifiant de nom avec un attribut d’utilisateur? 
{
  "user_id": [
    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier",
    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn",
    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name"
  ]
}

Tester la connexion

Vous êtes maintenant prêt à tester votre connexion.

Configurer la révocation globale des jetons

Ce type de connexion prend en charge un point de terminaison de révocation globale des jetons, qui permet à un fournisseur d’identité conforme de révoquer les sessions utilisateur Auth0, de révoquer les jetons d’actualisation et de déclencher la déconnexion du canal d’appui pour les applications utilisant un canal d’appui sécurisé. Cette fonctionnalité peut être utilisée avec Universal Logout dans Okta Workforce Identity Cloud. Pour plus d’informations et d’instructions de configuration, consultez Universal Logout.

En savoir plus

I