Cirrus Shield permet à l’utilisateur d’ajouter plusieurs paramètres d’authentification unique par environnement. Pour l’instant nous utiliserons un seul paramètre d’autentification unique par environnement.
L’utilisateur peut se connecter à Cirrus Shield en utilisant l’authentification SAML.
Chaque configuration SSO est un enregistrement de l’objet standard SSO.
Objet Standard SSO:
Cet objet standard contiendra les champs suivants:
- Nom: nom de la configuration SSO.
- Fichier de certificat: le nom du certificat provenant du fournisseur de services.
Le certificat SAML est un certificat standard x509 dans un magasin de clés Java. Il peut être créé à l’aide de nombreux outils différents. - URL du service consommateur d’assertion: URL à laquelle l’assertion SAML doit être reçue. ex: http://www.cirrus-shield.net/acs.aspx
ID émetteur / entité SP: est un URI donné par le fournisseur de services (SP) qui l’identifie de manière unique. Il est recommandé que l’URI soit une URL contenant le nom de domaine de l’entité. Certains fournisseurs d’identité peuvent en avoir besoin pour établir l’identité du fournisseur de services demandant la connexion. ex: saml-CirrusShield. - IDP Issuer / Entity ID: URL à laquelle la demande d’authentification doit être envoyée. Ce serait sur le fournisseur d’identité. ex: https://identity-infovista-sas.cs89.force.com/customers/idp/endpoint/HttpRedirect
GUID de l’organisation: l’ID de l’organisation - URL du service d’authentification unique: (fournie par IdP), il s’agit de l’URL de connexion initiée par IdP.
- URL du service de déconnexion unique: (fournie par IdP), il s’agit de l’URL vers laquelle l’utilisateur sera redirigé après la déconnexion de Cirrus Shield
- Format d’ID de nom: définit les formats d’identifiant de nom pris en charge par le fournisseur d’identité. Les identificateurs de nom sont un moyen pour les fournisseurs de communiquer entre eux concernant un utilisateur.
- Ex: urn: oasis: noms: tc: SAML: 2.0: format nameid: persistant
- Mettre à jour les attributs de l’utilisateur existant: (oui / non)
- Autoriser la création d’un nouvel utilisateur: (oui / non)
- Profil: c’est une liste de sélection qui affiche les profils disponibles dans l’organisation (si la création automatique d’utilisateurs est cochée, cette liste de sélection sera activée sinon elle est masquée).
Objet standard de champ de mappage SSO:
Une fois que nous aurons une réponse d’assertion SAML, nous suivrons le processus SAML comme suit:
- Si le nom d’utilisateur dans la réponse SAML n’est pas connecté à Cirrus Shield le système procédera comme suit:
1. Obtenez le GUID d’organisation associé de l’utilisateur.
2. Obtenez la configuration SSO correspondante (pour l’instant, nous n’en avons qu’une par organisation)
3. S’il n’y a pas de configuration SSO, l’utilisateur est redirigé vers la page de connexion de Cirrus Shield et un message d’erreur sera affiché et- Message d’erreur: “Il n’y a pas de configuration SSO dans l’organisation de cet utilisateur.”
- Cirrus Shield vérifiera si la réponse est authentifiée SAML
1. Si oui, l’utilisateur se connectera à Cirrus Shield
2. Les informations utilisateur seront mises à jour en fonction des attributs SAML Assertion Response si nous avons les conditions suivantes:- La case “Mettre à jour les attributs de l’utilisateur existant” est cochée
- Il y a un champ défini comme champ correspondant (il sera utilisé pour trouver l’utilisateur et le mettre à jour)
- Nous avons des champs de mappage (seuls les champs de mappage seront mis à jour)
1. Si l’utilisateur n’existe pas dans Cirrus Shield (basé sur le “Nom d’utilisateur”), il sera créé si la case “Autoriser à créer un nouvel utilisateur” est cochée (comme Joomla)
– L’utilisateur nouvellement créé aura le profil sélectionné dans la configuration SSO
2. Si l’utilisateur n’existe pas dans Cirrus Shield et que la case “Autoriser pour créer un nouvel utilisateur” n’est pas cochée, l’utilisateur est redirigé vers la page de connexion de Cirrus Shield et un message d’erreur s’affiche.- Message d’erreur: “L’utilisateur connecté n’existe pas dans Cirrus Shield.”
- Si la réponse SAML n’est pas authentifiée, l’utilisateur est redirigé vers la page de connexion de Cirrus Shield et un message d’erreur s’affiche.
- Message d’erreur: “L’authentification unique a échoué! \n Le certificat n’est pas valide.”
S’il n’y a pas de réponse d’assertion SAML, la page de connexion de Cirrus Shield s’affiche et l’utilisateur suivra les étapes de connexion normales.