Exigences :
Le SSO doit être configuré par l'administrateur de l'entreprise Rainbow.
Il doit y avoir au moins une licence Enterprise attribuée à l'entreprise, sinon l'onglet Sécurité ne s'affichera pas.
Procédure :
Logs avec un compte d'administrateur de société.
Ouvrez My Company> Settings> Security tab :
Ajoutez une nouvelle méthode d'authentification : OIDC ou SAML.
Pour SAML, entrez les informations suivantes à partir de votre IDP :
- URL de connexion
- URL de déconnexion (facultatif)
- Attribut de l'identifiant de l'utilisateur : L'ID de l'attribut ne dépend pas de l'entreprise et doit toujours être le même.
Pour ADFS : http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
Pour Azure AD : http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name
Pour Shibboleth : urn:oid:0.9.2342.19200300.100.1.3
- Certificats : ce certificat doit être téléchargé au format pem depuis votre IDP
Il s'agit du certificat de signature de jeton.
A titre d'exemple, vous pouvez le trouver ici sur Azure AD :
Options avancées :
Les valeurs par défaut devraient fonctionner dans la plupart des cas, à utiliser avec prudence
- Forcer l'authentification : déclenche toujours l'authentification même si une session existe déjà ; cette option n'est pas cochée par défaut.
- Toujours signer la demande : les demandes provenant de Rainbow sont signées, non coché par défaut
- Autoriser les assertions non chiffrées : Les assertions ne sont pas cryptées, coché par défaut.
Une fois terminé, vous pouvez télécharger le fichier de métadonnées Rainbow et l'importer dans le serveur IDP.
Pour OIDC :
Saisissez les informations suivantes de votre IDP :
- ID du client
- Secret
- URL de découverte
Options avancées - Informations d'authentification de l'utilisateur :
Les valeurs par défaut devraient fonctionner dans la plupart des cas, à utiliser avec précaution
- Attribut d'identification de l'utilisateur : nom de l'attribut à utiliser dans la demande d'authentification pour identifier l'utilisateur.
- Paramètre d'étendue : paramètre d'étendue à inclure dans la demande d'authentification.
- Valeur ACR : une chaîne séparée par un espace spécifiant les valeurs de la classe de contexte d'authentification à utiliser dans la demande d'authentification de l'utilisateur, les valeurs apparaissant dans l'ordre de préférence.
Ou utilisez la méthode manuelle :
Identifiant d'authentification externe
Pour chaque utilisateur, il est également possible de configurer un identifiant d'authentification externe.
Cet identifiant sera utilisé pour authentifier l'utilisateur.
Par exemple, il peut être utile si le Rainbow LoginEmail est différent de l'adresse e-mail de l'utilisateur renseignée dans Azure AD.
À la fin de la configuration du SSO, il est possible d'activer le SSO pour tous les membres de l'entreprise en modifiant le menu SAML ou OIDC :
Note: Les administrateurs de l'entreprise auront toujours le choix de se connecter en utilisant SSO ou Login/Password.
Pour plus d'informations sur OIDC, SAML, la liste des serveurs supportés et leur configuration, vous pouvez consulter les articles suivants :
https://support.openrainbow.com/hc/en-us/sections/360003695979-Authentification