Ajouter un fournisseur d'identité SAML

Pour configurer un flux SAML entrant, commencez par ajouter un fournisseur d'identité (IdP) SAML.

Commencer cette tâche

  1. Dans l'Admin Console, accédez à SécuritéFournisseurs d'identité.

  2. Cliquez sur Ajouter un fournisseur d'identité, puis sélectionnez IdP SAML 2.0.
  3. Cliquez sur Suivant.
  4. Configurez les options dans la section Paramètres généraux. Si un lien Voir les instructions de configuration s'affiche, commencez par cliquer sur ce lien. Certains fournisseurs ont leurs propres instructions détaillées.
    NomSaisissez un nom pour cet IdP.
  5. Configurez les options dans les Paramètres d'authentification.
    Utilisation de l'IdP

    Sélectionnez une option :

    • SSO uniquement : utilisez cet IdP uniquement pour l'authentification unique.
    • Facteur uniquement : utilisez cet IdP uniquement pour l'authentification multifacteur.
    Demandes

    Cette option vous permet d'utiliser les mêmes déclarations pour la connexion via un fournisseur d'identité (IdP) et pour l'authentification auprès d'un fournisseur de services. Cela permet d'éliminer les déclarations d'authentification en double lors de la connexion des utilisateurs. Lorsque cette fonctionnalité est activée, un administrateur n'a besoin de s'authentifier que lorsqu'il se connecte à Okta. Il n'a pas besoin de s'authentifier une seconde fois lorsqu'il accède à une application dans l'org du fournisseur de services qui exige la MFA dans le cadre de ses politiques de connexion aux applications.

    • Faire confiance aux demandes provenant de ce Fournisseur d'identité : sélectionnez cette option pour utiliser les mêmes déclarations d'une org Okta à une autre. Activer la fonctionnalité Partagez les demandes Okta-to-Okta.

    Consultez Configurer le partage des déclarations pour obtenir des instructions sur la configuration du partage et du mappage des déclarations.

    Compte correspondant à un ID de nom persistantSélectionnez Utiliser un identifiant de nom persistant (sécurité renforcée) pour identifier le compte utilisateur associé en faisant correspondre l'identifiant du nom avec l'identifiant externe. Si aucune correspondance n'est trouvée, Okta se base sur la valeur Nom d'utilisateur de l'IdP pour identifier le compte. L'assertion entrante doit utiliser ce format pour l'identifiant de nom : urn:oasis:names:tc:SAML:2.0:nameid-format:persistent. Consultez Lier un utilisateur à un IdP.
  6. Configurez les options Compte correspondant au nom d'utilisateur de l'IdP.
    Nom d'utilisateur de l'IdPSélectionnez l'entité dans l'assertion SAML qui contient le nom d'utilisateur.

    Vous pouvez saisir une expression pour modifier le format de la valeur. Par exemple, si le nom d'utilisateur dans l'assertion SAML est john.doe@mycompany.okta.com, vous pouvez spécifier le remplacement de mycompany.okta par endpointA.mycompany. Cela transforme le nom d'utilisateur en john.doe@endpointA.mycompany.com.

    Si vous souhaitez saisir une expression, utilisez la syntaxe Okta Expression Language.

    FiltreSélectionnez Autoriser uniquement les noms d'utilisateur qui correspondent au modèle d'expression régulière si vous souhaitez saisir une expression en tant que filtre pour les noms d'utilisateur. La définition d'un filtre limite la sélection des noms d'utilisateur avant l'authentification."
    Comparer àDans Okta, sélectionnez le champ à comparer au nom d'utilisateur transformé pour authentification.
    Politique de liaison de compte

    Sélectionnez Activer la liaison automatique pour associer automatiquement le compte IdP de l'utilisateur à un compte Okta correspondant. Consultez Liaison de compte.

    Pour renforcer la sécurité, activez Compte correspondant à un ID de nom persistant. Consultez Bonnes pratiques en matière de sécurité.

    Filtres de liaison automatique

    Ces options apparaissent lorsque vous sélectionnez Activer la liaison automatique :

    • Inclure des groupes spécifiques : incluez les utilisateurs de ces groupes dans la liaison de compte.
    • Exclure des utilisateurs spécifiques : excluez ces utilisateurs de l'association de compte.
    • Exclure des administrateurs : excluez les utilisateurs ayant un rôle d'administrateur de la liaison des comptes.
    Si aucune correspondance n'est trouvée

    Indiquez si vous souhaitez créer un nouveau compte utilisateur avec l'approvisionnement juste-à-temps (JIT) ou rediriger l'utilisateur vers la page de connexion d'Okta.

    • Créer un utilisateur (JIT) : créez des comptes utilisateur avec JIT. Si vous sélectionnez cette option, vous devez également aller dans ParamètresPersonnalisationApprovisionnement Just In Time et cliquez sur Activer l'approvisionnement Just In Time.
    • Rediriger vers la page de connexion Okta : redirige l'utilisateur vers la page de connexion Okta pour créer son compte.

  7. Configurez les options dans les Paramètres JIT.

    Source de profil

    Sélectionnez Modifier les attributs d'utilisateurs existants pour mettre à jour les comptes utilisateur avec les informations de cette assertion SAML. Les informations du profil ne sont pas transférées si vous ne cochez pas cette case.
    Affectations de groupe Sélectionnez une option pour définir les groupes auxquels vous souhaitez ajouter les utilisateurs figurant dans l'assertion SAML :
    • Aucun : n'affecter les utilisateurs authentifiés à aucun groupe. Aucune autre information n'est requise.
    • Affecter à des groupes spécifiques : affectez des utilisateurs à des groupes. Le champ Groupes spécifiques s'affiche. Saisissez le nom du groupe auquel vous souhaitez ajouter les utilisateurs. Okta affiche les noms de groupes qui correspondent à votre texte. Sélectionnez le groupe que vous souhaitez ajouter. Répétez ces étapes pour ajouter d'autres groupes.
    • Ajouter un utilisateur aux groupes manquants : ajoutez les utilisateurs à tous les groupes figurant dans l'assertion SAML auxquels ils n'appartiennent pas encore. Les utilisateurs ne sont retirés d'aucun groupe auquel ils appartiennent déjà. Le champ Nom d'attribut SAML s'affiche. Saisissez le nom de l'attribut SAML contenant les valeurs correspondant aux groupes de l'utilisateur. Ces valeurs apparaissent dans les instructions d'attribut de l'assertion SAML. Ces valeurs sont comparées à celles du champ Filtre de groupe. Les valeurs correspondantes déterminent les groupes auxquels l'utilisateur est affecté lors de l'approvisionnement JIT. Le champ Filtre de groupe sert de liste blanche de sécurité. Saisissez le nom du groupe auquel vous souhaitez ajouter les utilisateurs. Okta affiche les noms de groupes qui correspondent à votre texte. Sélectionnez le groupe que vous souhaitez ajouter. Répétez ces étapes pour ajouter d'autres groupes.
    • Synchronisation complète des groupes : affectez les utilisateurs au groupe représenté par l'attribut spécifié dans le champ Nom d'attribut SAML. Assurez-vous que ce groupe apparaît dans le champ Filtre de groupe.

    Si l'utilisateur appartient à un groupe dont les valeurs ne correspondent pas à celles du Nom d'attribut SAML, il est supprimé de ce groupe.

  8. Configurez les options Déconnexion.

    L'IdP se déconnecte lorsque Sélectionnez L'utilisateur se déconnecte d'autres applications déclenchant la déconnexion ou d'Okta pour déconnecter les utilisateurs de l'IdP lorsqu'ils se déconnectent des applications initiant la déconnexion ou d'Okta.
    URL du point de terminaison pour la déconnexion Saisissez l'URL du point de terminaison pour la déconnexion de l'IdP vers laquelle Okta doit envoyer les demandes de déconnexion initiées par l'application.
    Liaison de la demande de déconnexion Sélectionnez soit HTTP POST, soit HTTP REDIRECT.

  9. Configurez les options des Paramètres de protocole SAML.

    URI de l'émetteur de l'IdP Saisissez l'URI de l'émetteur provenant de l'IdP.
    URL d'authentification unique de l'IdP Saisissez l'URL d'authentification provenant de l'IdP. Si vous sélectionnez Signer les demandes d'authentification SAML sans indiquer de destination, Destination, Okta enverra automatiquement la demande d'autorisation à l'URL d'authentification unique de l'IdP.
    Certificat de signature de l'IdP Chargez le certificat depuis l'IdP qui est utilisé pour signer l'assertion. Cliquez sur Parcourir les fichiers, sélectionnez le fichier du certificat, puis cliquez sur Ouvrir. Vous pouvez charger deux certificats.
    Liaison de la demande

    Sélectionnez la liaison du protocole de demande d'authentification SAML utilisée par Okta pour envoyer des messages de demande d'autorisation SAML à l'IdP.

    • HTTP POST : sélectionnez la méthode HTTP POST.
    • HTTP REDIRECT : sélectionnez la méthode HTTP REDIRECT.
    Contexte de l'application Sélectionnez Envoyer le contexte de l'application Okta pour transférer le nom et l'identifiant de l'application à l'IdP dans la requête SAML ou OIDC. Cela permet à l'IdP de prendre des décisions d'authentification en fonction du contexte.
    Signature de la demande Sélectionnez Signer les demandes d'authentification SAML pour signer les messages de demande d'autorisation SAML envoyés par Okta. Si vous sélectionnez cette option, Okta envoie automatiquement la demande d'autorisation à l'URL indiquée dans le champ URL d'authentification unique de l'IdP.
    Algorithme de signature de la demande

    Sélectionnez l'algorithme de signature qu'Okta utilise pour signer les messages d'autorisation SAML envoyés à l'IdP :

    • SHA-1 : sélectionnez l'algorithme SHA-1.
    • SHA-256 : sélectionnez l'algorithme SHA-256.
    Demande l'algorithme Digest

    Sélectionnez l'algorithme de hachage que Okta utilise pour hacher la demande de SAML Authentification avant de la signer (l'élément DigestMethod dans la signature XML).

    • SHA-1 : sélectionnez l'algorithme SHA-1.

    • Version d'accès anticipé. Consultez la section Activer les fonctionnalités en libre-service.

      SHA-256 : sélectionnez l'algorithme SHA-256 (recommandé pour la conformité de la sécurité).

    SHA-1 est obsolète et considéré comme un risque pour la sécurité en raison de vulnérabilités. SHA-256 est recommandé pour toutes les nouvelles configurations.
    Vérification de la signature de la réponse

    Sélectionnez le type de signatures accepté par Okta lors de la validation des réponses entrantes :

    • Réponse
    • Assertion
    • Réponse ou assertion
    Algorithme de signature de la réponse

    Sélectionnez l'algorithme de signature qu'Okta utilise pour valider les messages et assertions SAML provenant de l'IdP :

    • SHA-1 : sélectionnez l'algorithme SHA-1.
    • SHA-256 : sélectionnez l'algorithme SHA-256.
    Destination Saisissez l'attribut de destination utilisé par Okta dans sa demande d'autorisation SAML. Si vous ne précisez pas de destination et que vous sélectionnez Signer les demandes d'authentification SAML, Okta envoie automatiquement l'attribut de destination comme l'URL spécifiée dans le champ URL d'authentification unique de l'IdP.
    Okta Assertion Consumer Service URL

    Sélectionnez une option pour définir s'il faut utiliser une URL de service consommateur d'assertion (ACS URL) propre à l'approbation ou une URL partagée au sein de l'organisation.

    • Propre à l'approbation
    • Organisation (partagé)
    Variation d'horloge maximale Spécifiez la durée de validité de l'assertion. Saisissez une valeur et sélectionnez les unités. Le processus d'authentification calcule la différence entre l'heure actuelle et l'heure affichée sur l'horodatage de l'assertion. Okta vérifie que la différence n'est pas supérieure à la valeur de Variation d'horloge maximale.
  10. Cliquez sur Terminer.

Envoyer les métadonnées d'Okta

Après avoir créé un IdP, cliquez sur Télécharger les métadonnées pour accéder aux métadonnées SAML d'Okta pour ce fournisseur. Suivez les instructions de l'IdP pour lui communiquer les métadonnées.

Bonnes pratiques en matière de sécurité

Si vous activez la liaison de comptes, appliquez les bonnes pratiques suivantes :

Configurer un IdP

Utilisez les paramètres suivants :

  • Affectations de groupe : spécifiez les groupes que vous avez créés pour chaque IdP externe.

  • Si aucune correspondance n'est trouvée : sélectionnez Créer un utilisateur (JIT) pour approvisionner les utilisateurs dans votre org Okta.

  • Politique de liaison de compte : une liaison stricte des compte est appliquée. Cela permet d'associer l'utilisateur entrant depuis l'IdP au compte correct dans Okta. Pour les IdP SAML, activez Compte correspondant à un ID de nom persistant.

  • Filtrer : sélectionnez Autoriser uniquement les noms d'utilisateur qui correspondent au modèle d'expression régulière défini.

    • Si les utilisateurs d'un IdP externe ont un domaine de nom d'utilisateur différent de celui des utilisateurs de l'org Okta, utilisez un modèle d'expression régulière tel que celui-ci :

      ^[A-Za-z0-9._%+-]+@spokedomain\.com

    • Si tous les utilisateurs sont dans le même domaine, utilisez un modèle d'expression régulière qui exclut des utilisateurs spécifiques. La liste doit inclure tous les administrateurs connus au sein de votre org Okta. Pour autoriser n'importe quel utilisateur, sauf ceux explicitement mentionnés, utilisez cette expression :

      ^((?!(admin\.user\.1@company\.com|admin\.user\.2@othercompany\.com)).)*$

      Les utilisateurs créés par cette expression sont des comptes privilégiés.

      L'expression n'est pas mise à jour de façon dynamique. Si de nouveaux administrateurs ou utilisateurs privilégiés sont créés dans votre org Okta, vous devez mettre à jour l'expression manuellement.

Politique d'authentification aux applications

  • Empêchez les administrateurs Okta de se connecter à l'org parent par le biais de la fédération depuis un IdP externe. Configurez une politique d'authentification d'Okta pour refuser l'accès aux utilisateurs du groupe Administrateurs Okta s'ils proviennent d'un IdP externe. Vous pouvez sélectionner plusieurs IdP. Définissez cette politique comme prioritaire pour l'évaluation.
  • Empêchez l'accès au Admin Dashboard à tout utilisateur qui se connecte par le biais de la fédération depuis un IdP externe. Configurez une politique d'authentification aux applications pour chaque IdP externe. Configurez la politique pour refuser l'accès aux applications sélectionnées, telles que le Admin Dashboard. Vous pouvez restreindre l'accès à toutes les applications sensibles.

Les utilisateurs qui disposent de rôles d'administrateur personnalisés sont considérés comme faisant partie du groupe Administrateurs Okta. Par conséquent, les utilisateurs avec des rôles d'administrateur personnalisés sont inclus dans les politiques qui s'appliquent aux administrateurs Okta.

Surveiller les événements du journal système

Utilisez le journal système pour examiner les événements d'authentification via l'IdP.

Recherchez eventType eq "user.authentication.auth_via_IDP" et examinez les événements dont l'acteur est le système Okta (SystemPrincipal) et dont la cible est un utilisateur final. Ces événements indiquent qu'une opération de liaison de compte s'est produite. Si l'utilisateur cible est un utilisateur privilégié ou un administrateur, vérifiez tous les événements pour vous assurer de la résolution des incidents potentiels.

Étapes suivantes

Ajouter les métadonnées d'un fournisseur d'identité