Configurer l'approvisionnement juste-à-temps dans OneLogin
Vous pouvez rationaliser l'intégration de vos utilisateurs en configurant l'approvisionnement juste-à-temps (JIT) dans OneLogin. Cette fonctionnalité automatise la création de compte et met à jour le moment où un utilisateur s'authentifie via un fournisseur d'identité de confiance (ITdP). En mappant les attributs principaux de la section Mappage d'attributs dans JIT ou en utilisant l'éditeur de transformation pour une logique personnalisée, vous pouvez vous assurer que les utilisateurs sont instantanément reconnus et affectés aux bons rôles sans intervention manuelle.
- Connectez-vous à OneLogin.
- Accédez à et cliquez sur New Trust.
- Dans le volet de gauche, accédez à la section JIT.
- Activez le paramètre d'approvisionnement juste-à-temps (JIT)
- Activez Définir le TIDP de l'utilisateur après la création de l'utilisateur.
- Mappez les attributs suivants : prénom, nom, et e-mail.
- Configurez des attributs supplémentaires selon vos besoins :
- Valeur du TIDP : saisissez le nom exact de l'attribut, sensible à la casse, tel que défini dans votre IdP. Vous pouvez donner la valeur TIDP de la manière suivante :
Pour E-mail, il devrait s'agir de {tidp. e-mail}
Pour Prénom, il devrait s'agir de {tidp.given_name}
Pour Nom, il devrait s'agir de {tidp. family_name}
- Champ utilisateur : sélectionnez le nom de l'attribut OneLogin auquel mapper la valeur de l'IdP.
- Obligatoire ? : cochez cette case si l'attribut est obligatoire.
- Peut être mis à jour ? (Facultatif) : cochez cette case pour permettre la mise à jour de l'enregistrement de l'utilisateur avec les nouvelles informations reçues de l'IdP.
- Transformer (facultatif) : ajoutez ou modifiez les détails de la transformation pour personnaliser les attributs et les paramètres d'accès.
- Valeur du TIDP : saisissez le nom exact de l'attribut, sensible à la casse, tel que défini dans votre IdP. Vous pouvez donner la valeur TIDP de la manière suivante :
Si les utilisateurs sont invités à se reconnecter après s'être connectés via l'IdP, cela signifie probablement qu'ils n'existent pas dans OneLogin. Cela indique généralement un approvisionnement JIT mal configuré. Pour éviter ce problème, vérifiez que vos mappages d'attributs JIT correspondent aux valeurs attendues par OneLogin pour la création de l'utilisateur.
Personnaliser les attributs utilisateur à l'aide de Transform Editor (facultatif)
Transform Editor vous aide à personnaliser les attributs utilisateur en utilisant un ensemble restreint de fonctionnalités JavaScript. Cela vous permet de configurer automatiquement les rôles ou attributs des utilisateurs en fonction des valeurs mappées depuis votre IdP. Par exemple, vous pouvez automatiquement affecter un rôle spécifique à un utilisateur, en fonction de son intitulé de poste tel que fourni par son compte IdP. L'éditeur fournit les paramètres et fonctions suivants :
| Paramètres/Fonctions | Description |
|---|---|
|
current_value |
La valeur actuelle de l'attribut pour lequel la transformation doit être ajoutée. |
|
tidp_attributes |
Les instructions d'attribut restantes de l'assertion SAML. Par exemple, tidp_attributes["User.Email"]. |
|
saml_response |
La chaîne qui contient la réponse SAML. |
|
setPameter_Name |
Utilisez cette fonction pour définir la valeur de l'attribut. Mettez en majuscules la première lettre du nom du paramètre et la première lettre après les traits de soulignement. Laissez le reste en minuscules. |
|
Rejeter |
Utilisez cette fonction pour rejeter la valeur de l'attribut et rejeter complètement l'assertion. Cette fonction déclenche un événement qui empêche la création de l'utilisateur et, par conséquent, l'empêche de se connecter. |
Transform Editor utilise un environnement sandbox pour empêcher les activités malveillantes. Les scripts sont séparés, limités aux paramètres précédemment définis et soumis aux restrictions de sécurité suivantes :
- Les deux sortes de types de paramètres peuvent appeler avec succès une fonction de sélecteur : les chaînes et les tableaux de chaînes.
- Le script se termine s'il dépasse l'utilisation des ressources allouées ou les limites de temps d'exécution.
- Les transformations ne s'exécutent pas si elles dépassent 8 000 caractères ASCII ou si elles contiennent des caractères non ASCII.
Script de transformation
Ce script de transformation de base analyse l'adresse e-mail d'un utilisateur et affecte le rôle Ventes à tout utilisateur au sein du domaine acmesales.com. Vous pouvez modifier ce script pour répondre aux besoins spécifiques de votre organisation.
var email = tidp_attributes["Email"].split("@"); var domain = email[1]; if (domain === "acmesales.com") { setRoles("Sales"); }Si un utilisateur reçoit une erreur « Accès refusé » immédiatement après s'être connecté à l'application, suivez les étapes ci-dessous pour résoudre le problème :
- Examinez le script de transformation JIT pour vérifier que les rôles nécessaires dans OneLogin sont correctement affectés.
- Vérifiez qu'aucune stratégie app n'est activée pour cette app spécifique qui pourrait bloquer accès.
Étape suivante
Vérifier l'authentification unique (SSO) initiée par fournisseur de service