Intégrations d'apps SAML

Security Assertion Markup Language (SAML) est un protocole basé sur XML. Il est utilisé pour l'authentification unique (SSO) et pour l'échange de données d'authentification et d'autorisation entre apps. Au sein du workflow SAML, Okta peut agir en tant que fournisseur d'identité (IdP) ou en tant que fournisseur de services (SP) en fonction de votre cas d'utilisation.

SAML est le protocole que la plupart des organisations utilisent pour la SSO et la sécurité de l'entreprise. Le principal attrait de SAML est que SAML contribue à réduire la surface d'attaque des organisations et améliore l'expérience de connexion des clients.

Lorsqu'un utilisateur se connecte à une app à l'aide de SAML, l'IdP envoie une assertion SAML à son navigateur qui est ensuite transmise au SP. Dans bien des cas, l'IdP vérifie l'utilisateur (à l'aide de l'authentification multifacteur [MFA], par exemple), avant d'émettre l'assertion SAML.

L'assertion SAML est un fichier XML qui contient trois types d'instructions : l'authentification, l'attribution et l'autorisation. L'instruction d'authentification concerne le moment et la manière dont le sujet est authentifié. L'instruction d'attribution offre des détails sur l'utilisateur tels que son appartenance à un groupe ou son rôle au sein d'une hiérarchie. Enfin, l'instruction d'autorisation informe le SP du niveau d'autorisation dont bénéficie l'utilisateur pour les différentes ressources. Ainsi, SAML ne se limite pas à la simple authentification et accorde de nombreux privilèges à l'utilisateur, protégeant ainsi votre app dans le processus.

Les administrateurs peuvent parcourir le catalogue OIN et configurer les filtres pour chercher les intégrations d'app qui utilisent SAML comme fonctionnalité. Lorsqu'elle est ajoutée à une org et affectée à un utilisateur par un administrateur, l'intégration d'app activée par SAML apparaît sous la forme d'une nouvelle icône dans le End-user dashboard.

Okta en tant que fournisseur d'identité

Okta peut être intégré aux apps SAML 2.0 en tant qu'IdP qui offre un accès à la SSO aux apps externes. Par ailleurs, Okta prend en charge les invites MFA pour améliorer la sécurité de votre app.

Lorsque les utilisateurs demandent l'accès à une app externe enregistrée dans Okta, ils sont redirigés vers Okta. En tant qu'IdP, Okta fournit ensuite une assertion SAML au navigateur. Le navigateur utilise l'assertion pour authentifier l'utilisateur dans le SP.

Okta fait office de fournisseur d'identité SAML

  1. L'utilisateur tente d'accéder aux apps protégées par Okta à l'aide du protocole SAML pour la SSO.
  2. Les apps client font office de fournisseurs de service SAML et délèguent l'authentification de l'utilisateur à Okta. Les apps client envoient une assertion SAML à Okta pour établir la session utilisateur.
  3. Okta fait office d'IdP SAML et utilise la SSO et la MFA pour authentifier l'utilisateur.
  4. Okta renvoie une assertion aux apps client par le navigateur de l'utilisateur final.
  5. Les apps client valident l'assertion renvoyée et autorisent l'utilisateur à accéder à l'app client.

Okta fait office de fournisseur de services

Okta peut également faire office de SP qui utilise l'authentification unique par le biais d'autres solutions de SSO comme IBM Tivoli Access Manager, Oracle Access Manager ou CA SiteMinder.

Dans ce cas, si un utilisateur tente de se connecter à Okta, il sera redirigé vers un IdP externe pour l'authentification. Une fois que l'utilisateur s'est authentifié avec succès, l'IdP externe renvoie l'assertion SAML, qui est ensuite transmise par le navigateur de l'utilisateur pour accéder aux services Okta.

Okta fait office de fournisseur de services SAML

  1. L'utilisateur ouvre Okta dans un navigateur pour se connecter au cloud ou aux intégrations d'app locales.
  2. Okta fait office de SP et délègue l'authentification de l'utilisateur à l'IdP externe.
  3. L'IdP externe authentifie l'utilisateur.
  4. L'IdP renvoie une assertion SAML à Okta.
  5. Okta valide l'assertion SAML depuis l'IdP externe et, si nécessaire, applique la MFA. Si nécessaire, les utilisateurs peuvent être créés dans Okta à l'aide de l'approvisionnement juste-à-temps.

Les utilisateurs, les apps client et les Idp externes peuvent tous se trouver sur votre intranet et derrière un pare-feu, tant que l'utilisateur final peut se connecter à Okta via Internet.

Rubriques liées

Créer des intégrations d'app SAML

Comprendre SAML : développeur Okta

Beginner's Guide to SAML - Okta Support (Guide du débutant sur SAML - Assistance Okta)

SAML : les dessous de la SSO – Blog Okta