Authentification
Pour authentifier les utilisateurs dans SEI, vous devez configurer un fournisseur d'authentification et mapper les utilisateurs à ce fournisseur. Avant de commencer, assurez-vous que SEI a été enregistré auprès de votre fournisseur d'authentification pour obtenir les paramètres requis pour les protocoles OAuth ou SAML2.
Activez les Paramètres de connexion pour activer l'authentification avec un fournisseur externe. Vous pouvez ensuite configurer un ou plusieurs fournisseurs dans la section Sécurité.
| Protocole | Description |
|---|---|
| OAuth | Prend en charge l'authentification via OAuth 2.0, permettant aux utilisateurs de se connecter avec des identifiants gérés par un fournisseur d'identité externe |
| SAML2 | Prend en charge l'authentification utilisant SAML 2.0, facilitant l'intégration avec des fournisseurs d'identité tels que Microsoft Azure, Okta et OneLogin. |
Ajouter un fournisseur
- Dans le panneau de navigation, cliquez sur l'icône en forme de rouage en bas. La page Administration s'ouvre.
- Sélectionnez Sécurité, puis Authentification.
- Cliquez sur l'icône + pour ajouter un nouveau fournisseur.
- Sélectionnez le protocole entre OAuth et SAML2.
- Cliquez sur Créer.
Le nouveau fournisseur apparaît dans la liste des Fournisseurs et ouvre un formulaire vide pour la configuration. - Sous l'onglet Général, remplissez le champ requis.
- Cliquez sur Sauvegarder.
- Sélectionnez l'onglet Utilisateurs, cliquez sur l'icône + et associez les utilisateurs de SEI au nouveau fournisseur. Sélectionnez tous les utilisateurs applicables et cliquez sur Ajouter.
Les utilisateurs sélectionnés apparaissent dans la liste des Utilisateurs. - Cliquez sur Sauvegarder.
important
Si un utilisateur n'est pas listé ou si les valeurs de mappage ne sont pas définies correctement, cet utilisateur ne pourra pas se connecter à SEI.
Onglet Général
Propriétés générales d'OAuth
| Champ | Description |
|---|---|
| Activer | Basculer pour rendre le fournisseur disponible sur la page de connexion. Lorsqu'il est activé, un nouveau bouton apparaît pour les utilisateurs sous Comptes externes. |
| Description | Spécifiez l'étiquette affichée pour le fournisseur sur la page de connexion. Changez de Nouveau Fournisseur par défaut à quelque chose de significatif pour vos utilisateurs. |
| ID Client | Entrez l'identifiant public unique fourni par le serveur d'autorisation. |
| Secret Client | Entrez le secret attribué par le serveur d'autorisation. Cette valeur est cachée après la sauvegarde pour des raisons de sécurité. |
| Point de terminaison de découverte | (Optionnel) Entrez le point de terminaison pour auto-populer les champs OAuth à partir des métadonnées du fournisseur (/.well-known/openid-configuration). Après avoir rempli cela, cliquez sur Découvrir pour récupérer les points de terminaison d'Autorisation, de Jeton et d'Informations Utilisateur, et charger les portées et revendications disponibles. |
| Point de terminaison d'autorisation | Entrez l'URL où les utilisateurs sont redirigés pour s'authentifier (/authorize). |
| Point de terminaison de jeton | Entrez l'URL utilisée pour obtenir des jetons d'accès (/token). |
| Portée | Définissez les portées de permission pour le Serveur Web. Les valeurs typiques sont openid, email, offline_access, mais les portées requises dépendent de votre fournisseur. |
| URL de redirection | Listez les URLs pour le Serveur Web et le Complément Excel vers lesquels le serveur d'authentification redirige après la connexion. Pour le Complément Excel, spécifiez le bon port local. |
| Point de terminaison des informations utilisateur | Entrez l'URL pour récupérer les informations de profil utilisateur (/userinfo). |
| Identifiant d'utilisateur | Entrez la revendication – telle que email – utilisée pour mapper les utilisateurs externes aux utilisateurs de SEI. |
| Invite | Spécifiez le comportement d'invite d'authentification. Les options incluent:
|
| Forcer la ré-authentification | Activez pour exiger que les utilisateurs saisissent à nouveau leurs identifiants à chaque fois ou après une période définie (en secondes). Par exemple, un délai de 0 nécessite des identifiants à chaque fois ; 21600 nécessite tous les 6 heures. La valeur maximale est de 86400 secondes. Tous les fournisseurs ne prennent pas en charge cela. |
| Autoriser "se souvenir de moi" | Activez pour permettre aux navigateurs de mémoriser l'authentification et de garder les utilisateurs connectés. |
Pour un exemple, voir Exemple OAuth.
Propriétés générales de SAML2
| Champ | Description |
|---|---|
| Activer | Basculer pour rendre le fournisseur SAML2 disponible sur la page de connexion. Lorsqu'il est activé, un nouveau bouton apparaît sous Comptes externes. |
| Description | Spécifiez l'étiquette affichée pour le fournisseur sur la page de connexion. Changez de Nouveau Fournisseur par défaut à quelque chose de significatif pour vos utilisateurs. |
| Point de terminaison de découverte | (Optionnel) Spécifiez le point de terminaison pour auto-populer les champs SAML2 en utilisant les métadonnées du fournisseur. Cliquez sur Découvrir pour récupérer et remplir l'ID de l'entité du fournisseur, le point de terminaison de connexion du fournisseur et le point de terminaison de déconnexion du fournisseur. |
| ID d'entité | Entrez l'identifiant unique pour SEI. Doit correspondre à l'identifiant (ID d'entité) ou à l'URI Audience utilisé dans votre fournisseur SAML2 (par exemple, Azure ou Okta). Ce champ est auto-rempli si disponible. |
| ID d'entité du fournisseur | Entrez l'ID de l'application fourni par le fournisseur SAML2. Cela identifie quelle application est utilisée pour se connecter à SEI. Doit correspondre à l'identifiant de l'ID Azure ou à l'émetteur de l'ID Okta. Ce champ peut être auto-rempli par Découvrir. |
| Point de terminaison de connexion du fournisseur | Entrez l'URL de connexion de votre fournisseur SAML2 (correspond à la configuration d'Azure/Okta). Peut être auto-rempli par Découvrir. |
| Point de terminaison de déconnexion du fournisseur | (Optionnel) Si fourni, les utilisateurs sont déconnectés à la fois de SEI et du fournisseur SAML2. Peut être auto-rempli par Découvrir. |
| URL ACS SAML2 | Spécifiez l'URL de réponse qui redirige les utilisateurs vers le Serveur Web ou le Complément Excel après une connexion réussie. Doit correspondre à l'URL de réponse/au point de consommation d'assertion du fournisseur SAML2. Auto-rempli pour le Serveur Web. Pour le Complément Excel, spécifiez le bon port local. |
| URL de déconnexion | (Optionnel) URL de réponse qui redirige les utilisateurs vers la page de connexion après la déconnexion. Contrairement au point de terminaison de déconnexion du fournisseur, la session du fournisseur SAML2 reste active. Auto-rempli pour le Serveur Web. |
| Certificat | Téléchargez le certificat SAML2 (doit utiliser SHA-256). Faites glisser et déposez le fichier créé/téléchargé depuis Azure ou Okta. |
| Identifiant d'utilisateur | Entrez la revendication de l'utilisateur utilisée pour le mappage (comme email). Cela détermine quelle valeur de la réponse SAML2 correspond à l'utilisateur de SEI. |
| Forcer la ré-authentification | Activez pour exiger que les utilisateurs saisissent à nouveau leurs identifiants à chaque fois ou après une période définie (en secondes). Par exemple, un délai de 0 nécessite des identifiants à chaque fois ; 21600 nécessite tous les 6 heures. La valeur maximale est de 86400 secondes. Tous les fournisseurs ne prennent pas en charge cela. |
| Autoriser "se souvenir de moi" | Activez pour permettre aux navigateurs de mémoriser l'authentification et de garder les utilisateurs connectés. |
Pour un exemple, voir Exemple SAML2.
Onglet Utilisateurs
Dans l'onglet Utilisateurs, vous pouvez mapper, gérer et examiner les utilisateurs de SEI dont les identifiants de connexion sont validés par le fournisseur d'authentification. Utilisez cette zone pour vous assurer que les identifiants des utilisateurs sont corrects pour une authentification réussie. Pour des instructions sur la création d'utilisateurs, voir Utilisateurs.
| Champ | Description |
|---|---|
| Nom d'utilisateur | Affiche le nom d'utilisateur SEI utilisé pour se connecter. |
| Nom | Affiche le nom d'affichage de l'utilisateur SEI associé au nom d'utilisateur. |
| Affiche l'adresse e-mail de l'utilisateur SEI. | |
| Identifiant d'utilisateur | Spécifie la valeur attendue du fournisseur OAuth ou SAML2 pour le mappage des utilisateurs. C'est le seul champ modifiable. Par exemple, si la revendication Identifiant d'utilisateur (définie sous l'onglet Général) est email, entrez l'adresse e-mail de l'utilisateur que le fournisseur renverra pour la revendication. |