Se connecter  
Bonjour!

Besoin d'aide? Nous sommes ici !

Icône de support
Assistance par e-mail miniOrange
succès

Merci pour votre demande. Notre équipe vous contactera bientôt.

Si vous n'avez pas de nouvelles de nous dans les 24 heures, n'hésitez pas à envoyer un e-mail de suivi à info@xecurify.com

Résultats de la recherche:

×

Authentification unique (SSO) pour les applications utilisant WordPress comme IDP

Comment pouvons-nous nous authentifier en utilisant WordPress comme fournisseur d’identité ?

L'authentification pour WordPress est un processus permettant aux utilisateurs de se connecter à leurs applications et sites web externes à l'aide de leurs identifiants WordPress. miniOrange le permet. WordPress agir en tant que fournisseur d'identité (IDP) qui permet aux utilisateurs d'accéder Single Sign-On (SSO) dans plusieurs applications et sites web. Les utilisateurs s'authentifieront une seule fois via leurs identifiants WordPress et pourront accéder à toutes les applications externes.

La base de données utilisateurs de WordPress est liée à miniOrange, qui sert de gestionnaire d'utilisateurs, afin de fournir une authentification unique (SSO) aux applications externes avec un niveau de sécurité maximal. Ceci est rendu possible grâce à l'extension API Authentication Source pour WordPress, qui permet la connexion via des points de terminaison API.

Fonctionnalités du plugin source d'authentification API pour WordPress :

  • Sécurisés SSO pour plusieurs applications et sites Web utilisant un seul site WordPress Informations d'identification.
  • Vous n’avez pas besoin de migrer vos utilisateurs de WordPress vers un système tiers.
  • Création d'utilisateur à la volée : création automatique d'utilisateurs au moment de l'authentification unique et synchronisation automatique des détails de l'utilisateur.
  • Prise en charge de plusieurs protocoles d'authentification : SAML, OAuth, OpenID, JWT, etc.

Obtenez une aide gratuite pour l'installation


miniOrange propose une assistance gratuite via un appel de consultation avec nos ingénieurs système pour configurer l'authentification unique (SSO) pour différentes applications utilisant WordPress comme fournisseur d'identité (IdP) dans votre environnement. Essai gratuit 30 jours.

Pour cela, il vous suffit de nous envoyer un email à idpsupport@xecurify.com pour réserver un créneau et nous vous aiderons en un rien de temps.



Suivez le guide étape par étape ci-dessous pour vous connecter avec Wordpress en tant qu'IdP

1. Configurer le plugin API Source pour WordPress

  • Contactez-nous pour configurer et obtenir le fichier Zip pour Source de l'API d'authentification plugin pour WordPress.
  • Accédez à votre tableau de bord d'administration WordPress pour installer et activer l'extension Authentication API Source pour WordPress.
  • Après avoir installé l'extension, ouvrez les paramètres de l'extension Authentication API Source pour WordPress et notez le URL d'authentification de l'utilisateur et la Paramètre d'authentification de l'utilisateur dans la section des informations d'identification de l'API.

    authentification : identifiants API pour WordPress
  • Sélectionnez les attributs que vous souhaitez transmettre à votre application lors de l'authentification API pour WordPress.

    Authentification API pour la déclaration de publication d'attributs WordPress
  • Cliquez sur le Enregistrer bouton permettant d'enregistrer vos configurations API pour procéder à l'authentification via WordPress.

2. Configurer WordPress comme source d'authentification dans miniOrange

  • Connectez-vous à votre miniOrange Console d'administration et naviguez jusqu'à Fournisseurs d'identité >> Ajouter un fournisseur d'identité.
    • Accédez à Fournisseurs d'identité et cliquez sur Ajouter un fournisseur d'identité.

  • En vertu des Normes sur l’information et les communications, les organismes doivent rendre leurs sites et applications Web accessibles. Ils y parviennent en conformant leurs sites Web au niveau AA des Web Content Accessibility Guidelines (WCAG). Choisir un fournisseur d'identité, sélectionnez API du Tous menu déroulant.
    • Sélectionnez API dans la liste déroulante « Tous les types ».

  • Recherchez WordPress et sélectionnez-le dans la liste.
    • Passez à l’onglet de configuration de l’API et sélectionnez Wordpress

  • Fournissez un nom d'identifiant d'API.
  • En vertu des Normes sur l’information et les communications, les organismes doivent rendre leurs sites et applications Web accessibles. Ils y parviennent en conformant leurs sites Web au niveau AA des Web Content Accessibility Guidelines (WCAG). Configuration de l'authentification section, collez le URL d'authentification de l'utilisateur et Paramètres d'authentification utilisateur que vous avez copié à partir de la section des informations d'identification de l'API à l'étape 1 ci-dessus.
    • paramètres d'authentification de l'API pour l'utilisateur source WordPress

  • Fournissez le nom de l'en-tête comme Content-Type et sa valeur en tant que application / json.
  • Sélectionnez la méthode comme POSTEZ.
  • Pour la Critères de succès, vous pouvez sélectionner n'importe quelle option dans la liste déroulante et saisir les valeurs comme :

      • 1. est égal à: Vous pouvez saisir la clé d'état comme 'statut' et valeur d'état 'SUCCÈS'.

      2. n'est pas vide: Vous pouvez saisir la clé d'état comme 'message'.

      3. contient une adresse e-mail valide : Vous pouvez saisir la clé d'état comme 'e-mail'.

  • Pour le message d'état d'erreur, vous pouvez saisir erreur comme valeur.
  • Cliquez sur le Enregistrer .
  • Pour vérifier votre configuration, cliquez sur trois points et sélectionnez API d'autorisation de test.
    • Test de l'API d'autorisation WordPress

  • Entrez vos informations d’identification WordPress lorsque vous y êtes invité et vous devriez pouvoir voir un message de réussite.

3. Configurez votre application dans miniOrange


À noter:

Si vous avez déjà configuré votre application dans miniOrange, vous pouvez ignorer les étapes suivantes.




  • Sous Choisir une application, sélectionnez SAML/WS-FED du Toutes les applications menu déroulant.
    • Sélectionnez l'application SAML

  • À l'étape suivante, recherchez votre application dans la liste. Si votre application n'est pas trouvée, recherchez… Customiser et vous pouvez configurer votre application via Application SAML personnalisée. Cliquez sur Soumettre une nouvelle demande d'application si vous souhaitez soumettre une nouvelle demande d'application SSO.
    • Recherche d'applications personnalisées

  • En vertu des Normes sur l’information et les communications, les organismes doivent rendre leurs sites et applications Web accessibles. Ils y parviennent en conformant leurs sites Web au niveau AA des Web Content Accessibility Guidelines (WCAG). Fonction Plug & Play Dans l'onglet correspondant, vous pouvez configurer les paramètres suivants.
    Nom d'affichage (obligatoire) Entrer le Nom d'affichage de votre application selon votre préférence.
    ID de l'entité SP ou de l'émetteur (obligatoire) Permet d'identifier votre application par rapport à la requête SAML reçue du fournisseur de services. L'identifiant d'entité ou l'émetteur du fournisseur de services peut être au format URL ou chaîne de caractères.
    URL ACS ou URL du service de consommation d'assertions (obligatoire) Définit l'emplacement où l'assertion SAML doit être envoyée après l'authentification. Assurez-vous que l'URL ACS est au format suivant : https://www.domain-name.com/a/[domain_name]/acs
    URL de l'audience Comme son nom l'indique, ce champ spécifie l'audience valide pour l'assertion SAML. Il correspond généralement à l'ID d'entité du fournisseur de services. Si l'URL de l'audience n'est pas spécifiée séparément par le fournisseur de services, laissez ce champ vide.
    URL de déconnexion unique L'URL vers laquelle vous souhaitez que la requête de déconnexion soit traitée et vers laquelle vos utilisateurs doivent être redirigés après une déconnexion unique des applications.
    Télécharger le logo de l'application Téléchargez un logo pour votre application.
    • Dans les paramètres de base, saisissez les détails

  • Cliquez à nouveau Suivant pour aller à la paramètres avancésConfigurez les paramètres suivants.
    Requête signée Activez cette option pour signer la requête SAML envoyée par le fournisseur de services. Fournissez le certificat X.509 ou téléchargez-le.
    Signer la réponse Activez cette option si vous souhaitez que la réponse SAML complète soit signée.
    Assertion de signe Activez cette option si vous souhaitez que seule l'assertion contenue dans la réponse SAML soit signée.
    Algorithme de signature Sélectionnez l'algorithme qui sera utilisé pour signer la requête/réponse SAML.
    Chiffrer l'assertion Sélectionnez cette option si vous souhaitez chiffrer l'assertion dans la réponse SAML et fournir l'algorithme et le certificat pour le chiffrement.
    État du relais Entrez l'URL vers laquelle vous souhaitez que l'utilisateur redirige après s'être connecté à l'application.
    Remplacer l'état du relais Activez cette option pour remplacer l'état de relais par défaut du SP.
    Liaison de réponse de déconnexion Une réponse de déconnexion est envoyée en réponse à une demande de déconnexion du SP. Il peut être envoyé par un fournisseur d'identité ou un fournisseur de services.
    Liaison de la requête de déconnexion initiée par le fournisseur d'identité : Une réponse de déconnexion est envoyée en réponse à une demande de déconnexion du tableau de bord IdP. Il peut être envoyé par un fournisseur d'identité ou un fournisseur de services.
    • Redirection HTTP - Une réponse de déconnexion avec sa signature
    • HTTP POST - Une réponse de déconnexion avec la signature intégrée
    Période de validité de l'authentification SAML La durée pendant laquelle l'authentification doit être considérée comme valide et l'utilisateur doit pouvoir effectuer le SSO. Après cela, l’utilisateur devra se reconnecter.
    Activer l'identité partagée Cette fonctionnalité vous permet de contrôler si une application spécifique est accessible ou non à un utilisateur partagé.
    • Passer aux paramètres avancés

  • Cliquez à nouveau Suivant pour aller à la Options de connexion Onglet. Ici, vous pouvez configurer les paramètres suivants :
    Fournisseur d'identité principal Sélectionnez la source d'identité à partir de laquelle vous souhaitez que l'authentification ait lieu. Vous verrez la liste de toutes les sources configurées.
    Forcer l'authentification Activez cette option pour appliquer l'authentification à chaque demande d'accès à l'application.
    Afficher sur le tableau de bord de l'utilisateur final Désactivez cette option si vous ne souhaitez pas que l'application soit visible pour tous les utilisateurs sur le tableau de bord de l'utilisateur final.
    • Accédez aux options de connexion et cliquez sur le bouton Suivant

  • Cliquez à nouveau Suivant pour aller à la Attributs Onglet. Ici, vous pouvez ajouter et configurer les attributs à envoyer à l'application.
    NomID NameID est l'identifiant unique de l'utilisateur authentifié inclus dans l'assertion SAML. Il permet au fournisseur de services de reconnaître l'utilisateur et de l'associer à un compte. Généralement, NameID correspond à un nom d'utilisateur ou à une adresse électronique.
    Format d'ID de nom Définit le type d'identifiant utilisé dans le NameID (par exemple, adresse e-mail, identifiant persistant ou temporaire) afin que le fournisseur de services puisse correctement associer l'utilisateur. Si le fournisseur de services ne demande pas de format spécifique, le fournisseur d'identité peut laisser ce champ non spécifié et utiliser un format par défaut.
    Ajouter un format de nom Le format de nom définit la manière dont les noms d'attributs sont représentés dans une assertion SAML (par exemple, sous forme de chaînes de caractères simples ou d'URI). Il permet au fournisseur de services d'interpréter correctement la dénomination des attributs et garantit la cohérence entre le fournisseur d'identité et le fournisseur de services.
    Activer les attributs à valeurs multiples

    Activé : les virgules (,) et les points-virgules (;) sont traités comme des séparateurs, l’attribut est donc divisé en une liste propre. Exemple : roles = ['admin', 'editor', 'viewer'].

    Désactivé : les virgules et les points-virgules ne sont pas considérés comme des séparateurs ; l’attribut reste donc une seule chaîne de caractères. Exemple : roles = "admin;editor;viewer".
    Cartographie d'attributs Vous pouvez ajouter des attributs à envoyer dans l'assertion SAML au fournisseur de services. Ces attributs comprennent les attributs du profil utilisateur tels que le prénom, le nom, le nom complet, le nom d'utilisateur, l'adresse e-mail, les attributs de profil personnalisés et les groupes d'utilisateurs, etc.
    • Accédez à l'onglet Attributs et associez les attributs.

  • Cliquez à nouveau Suivant pour aller à la Politiques internes onglet. Vous devez Enregistrer l'application Il faut d'abord configurer la politique de l'application.
    • Enregistrez l'application dans la section Politiques

  • Une fois l'application enregistrée, vous pouvez configurer la stratégie de cette application.
    • Accédez à la section « Stratégies » et attribuez un groupe.

  • Cliquez sur le Attribuer un groupe bouton. Un nouveau Configurer l'affectation de groupe Un onglet modal s'ouvrira.
    • Groupe d'affectation : Sélectionnez les groupes que vous souhaitez associer à l'application. Vous pouvez sélectionner jusqu'à 20 groupes à la fois.
      • Configurer l'affectation des groupes

    • Si vous devez créer un nouveau groupe, cliquez sur Ajouter un nouveau groupe .
    • Entrer le Nom du groupe et cliquez sur Créer un groupe.
      • Créer un nouveau groupe

    • Cliquez sur Suivant.
    • Attribuer des politiques : Ajoutez les politiques requises aux groupes sélectionnés. Saisissez les informations suivantes :
    • Premier facteur : Sélectionnez la méthode de connexion dans le menu déroulant.
      • Si vous sélectionnez Mot de passe comme méthode de connexion, vous pouvez activer Authentification à deux facteurs (MFA) et Authentification adaptative, si besoin.
      • Si vous sélectionnez Sans mot de passe comme méthode de connexion, vous pouvez activer Authentification à deux facteurs (MFA) si besoin.
    • Ajouter les détails de la politique de connexion

  • Cliquez sur EnregistrerDes politiques seront élaborées pour tous les groupes sélectionnés.
  • Vous verrez la politique répertoriée une fois qu'elle aura été ajoutée avec succès.
    • Ajouter plusieurs stratégies de connexion

  • Dans l' Métadonnées onglet, cliquez sur l'un des deux onglets :
    • Cliquez sur miniOrange comme fournisseur d'identité Si vous souhaitez utiliser miniOrange comme magasin d'utilisateurs, c'est-à-dire que les identités de vos utilisateurs seront stockées dans miniOrange.
    • Cliquez sur Source externe en tant que fournisseur d'identité Si vous souhaitez authentifier vos utilisateurs via toute identité externe Fournisseurs tels qu'Active Directory, Okta, OneLogin, etc. ou tout autre fournisseur d'identité personnalisé.
      • Sélectionnez miniOrange comme fournisseur d'identité

      Sélectionnez la source externe comme fournisseur d'identité (IdP).

    • Vous pouvez Télécharger les métadonnées, télécharger le certificat, copier l'URL des métadonnées ou copier le certificat en fonction de vos besoins.
    • De même, vous pouvez obtenir les valeurs de URL de connexion SAML, URL de déconnexion SAML, ID d'entité ou émetteur du fournisseur d'identité, URL de déconnexion du fournisseur d'identité, URL des métadonnées à partir d'ici, selon vos exigences en matière de métadonnées.
  • Sous Choisir une application, sélectionnez OAuth/OpenID du Toutes les applications menu déroulant.
    • Sélectionnez OAuth/OpenID comme type d'application

  • Recherchez votre candidature dans la liste. Si vous ne la trouvez pas, recherchez… oauth et vous pouvez configurer votre application via Connexion OAuth2/OpenID.
    • Recherche d'applications personnalisées OAuth

  • Dans l' Fonction Plug & Play onglet, entrez les détails suivants :
    Nom du profil Entrer le Nom du profil (c'est-à-dire le nom de cette application).
    URL de redirection Entrer le URL de redirectionAssurez-vous qu'il respecte ce format : https://<mycompany.domain-name.com>
    identité du client Généré automatiquement. Cliquez sur l'icône de copie pour l'utiliser dans votre application.
    Secret client Secret client est masqué par défaut. Cliquez sur l'icône en forme d'œil pour l'afficher et utilisez l'icône du presse-papiers pour le copier.
    Sujet (facultatif) Sélectionnez un attribut dans la liste déroulante.
    Description (facultatif) Ajoutez une description si nécessaire.
    Télécharger le logo de l'application (facultatif) Téléchargez un logo d'application (facultatif). L'application s'affichera dans le tableau de bord de l'utilisateur final avec le logo que vous aurez configuré ici.
  • Cliquez sur Enregistrer.
    • Saisissez les détails de l'application OAuth et cliquez sur le bouton Enregistrer

  • Vous allez être redirigé vers Politiques internes .
    • Accédez à la section « Politiques » et ajoutez une politique.

  • Cliquez sur le Attribuer un groupe bouton. Un nouveau Configurer l'affectation de groupe Un onglet modal s'ouvrira.
    • Groupe d'affectation : Sélectionnez les groupes que vous souhaitez associer à l'application. Vous pouvez sélectionner jusqu'à 20 groupes à la fois.
      • Configurer l'affectation des groupes

    • Si vous devez créer un nouveau groupe, cliquez sur Ajouter un nouveau groupe .
    • Entrer le Nom du groupe et cliquez sur Créer un groupe.
      • Créer un nouveau groupe

    • Cliquez sur Suivant.
    • Attribuer des politiques : Ajoutez les politiques requises aux groupes sélectionnés. Saisissez les informations suivantes :
    • Premier facteur : Sélectionnez la méthode de connexion dans le menu déroulant.
      • Si vous sélectionnez Mot de passe comme méthode de connexion, vous pouvez activer Authentification à deux facteurs (MFA) et Authentification adaptative, si besoin.
      • Si vous sélectionnez Sans mot de passe comme méthode de connexion, vous pouvez activer Authentification à deux facteurs (MFA) si besoin.
    Ajouter les détails de la politique de connexion

  • Cliquez sur EnregistrerDes politiques seront élaborées pour tous les groupes sélectionnés.
  • La police d'assurance apparaîtra dans la liste une fois qu'elle aura été ajoutée avec succès.
    • Politique ajoutée avec succès

  • Vous pouvez aller à la Avancé onglet pour modifier d'autres paramètres, tels que le délai d'expiration des jetons d'accès, JWT et d'actualisation.
    • Expiration du jeton d'accès : Pendant combien de temps le jeton d’accès fourni doit être valide depuis sa création. [En heures] Un nouveau jeton d'accès doit être généré après l'expiration.
    • Expiration du jeton JWT : Pendant combien de temps le jeton JWT généré doit être valide. [ En heures ]
    • Expiration du jeton d’actualisation : Pendant combien de temps le jeton d’actualisation généré doit être valide. [En jours] Vous devrez générer un nouveau jeton d'actualisation après le numéro mentionné. de jours.
    • Activer l'identité partagée : Cette fonctionnalité vous permet de contrôler si une application spécifique est accessible ou non à un utilisateur partagé.
    Paramètres avancés d'expiration des jetons d'onglet

  • Passer à la Options de connexion languette.
    Fournisseur d'identité principal Sélectionnez la source d'identification par défaut dans la liste déroulante de l'application. Si cette option n'est pas sélectionnée, les utilisateurs verront l'écran de connexion par défaut et pourront choisir leur propre fournisseur d'identité. [Choisissez miniOrange dans ce cas.]
    Flux SSO Sélectionnez le flux SSO souhaité dans la liste déroulante, par exemple miniOrange comme IDP, miniOrange en tant que courtier, miniOrange en tant que courtier avec Discovery Flow.
    Afficher sur le tableau de bord de l'utilisateur final Activez cette option si vous souhaitez afficher cette application dans le tableau de bord de l'utilisateur final.
    Forcer l'authentification Si vous activez cette option, les utilisateurs devront se connecter à chaque fois, même si leur session existe déjà.
    URI de déconnexion autorisées Cliquez sur le lien « URI de déconnexion autorisés » pour ajouter une liste d'URI de redirection post-déconnexion. Les utilisateurs seront redirigés vers l'un de ces URI après une déconnexion réussie de miniOrange.
    Déconnexion unique activée Activez cette option pour envoyer des demandes de déconnexion à d'autres applications lors de la déconnexion de cette application.
    URL de connexion

    Vous pouvez inclure des attributs utilisateur dans l'URL de connexion à l'aide d'espaces réservés tels que {{username}}, {{primaryEmail}}, {{customAttribute1}}, etc. Ces espaces réservés seront remplacés dynamiquement par les valeurs réelles de l'utilisateur lors du flux SSO initié par le fournisseur d'identité.

    Vous pouvez générer une URL en utilisant les attributs suivants : nom d'utilisateur, e-mail principal, e-mail alternatif, fname, lname, téléphone principal et customAttribute1.

    L'URL pourrait être comme ceci login.com/{{username}}/?primaryEmail={{primaryEmail}}

  • Format des paramètres de requête : https://<sso-url>>?username={{username}} https://<sso-url>>?username={{username}}&email={{primaryEmail}}
  • Format du paramètre de chemin : https://<sso-url>>/{{customAttribute1}}/{{customAttribute2}}/?username={{username}}
    		•
    • Accédez à l'onglet des options de connexion

  • Passer à la Attributs languette.
    • Activer l'option Attributs à valeurs multiples :
      • Activer les attributs à valeurs multiples

    • Lorsque cette option est activée, les virgules (,) et les points-virgules (;) sont traités comme des délimiteurs. Tout attribut contenant ces caractères sera automatiquement séparé et converti en un attribut à valeurs multiples en fonction de leur positionnement.
    • Cette fonctionnalité garantit que les attributs avec plusieurs valeurs sont livrés dans un format structuré au lieu d'une seule chaîne concaténée.
    • Par exemple : lorsque cette option est activée, les attributs apparaîtront sous forme de liste comme rôles = ['admin', 'éditeur', 'visualiseur'] au lieu d'une seule chaîne comme rôles = "administrateur;éditeur;visualiseur".
    • Lorsque cette option est handicapé, les attributs stockés sous forme d'une seule chaîne concaténée avec des virgules (,) et des points-virgules (;) sont traités de la manière dont ils sont stockés au lieu d'une liste structurée.
    • Dans ce cas, les virgules (,) et les points-virgules (;) ne sont pas traités comme des séparateurs, de sorte que les valeurs restent combinées dans une seule chaîne.
    • Obtention des détails requis sur l'application / Mise à jour des informations sur l'application :
    • Rendez-vous dans la section Apps dans le menu latéral. Dans la liste des applications configurées, localisez l'application que vous avez créée. Cliquez sur l'icône à trois points à côté de l'application et sélectionnez-la. Modifier option.
      • Modifier l'application

    • Vous pouvez modifier n'importe lequel des détails mentionnés ci-dessus au cas où vous souhaiteriez les modifier.
      • Points de terminaison OAuth

    • Points de terminaison OAuth :
      • Point de terminaison d'autorisation [ https://<your-company-name>.xecurify.com/moas/idp/openidsso ]
        • Ce point de terminaison est utilisé pour authentifier l'utilisateur final avec ses informations d'identification miniOrange. Cela authentifie les utilisateurs et renvoie une réponse à redirect_url en fonction des paramètres transmis dans la demande. [Principalement le code d'autorisation]
        • Ce point de terminaison accepte les paramètres suivants :
          • ID client : client_id de l'application tel que configuré dans les étapes précédentes
          • Redirection_uri : L'URL de rappel où vous souhaitez renvoyer la réponse
          • portée: étendue d'autorisation ou niveau d'accès, vous pouvez envoyer une ou plusieurs étendues séparées par '+'. par exemple « email+openid ». Nous prenons en charge les portées suivantes :
            • Courriel : renvoie l'adresse email de l'utilisateur dans la réponse
            • Profil: renvoie les informations de profil utilisateur dans la réponse
            • OpenID : renvoie le id_token contenant les détails du profil utilisateur.
        • Cela renvoie le code d'autorisation et les paramètres d'état dans la réponse.
      • Point de terminaison du jeton [ https://<your-company-name>.xecurify.com/moas/rest/oauth/token ]
        • Ce point de terminaison renvoie les éléments suivants :
        • Jeton d'identification ​Contient les attributs et signatures utilisateur que vous devez valider avec le certificat public fourni.
          • iss URI https qui indique l'émetteur
          dessous identifiant de l'utilisateur chez l'émetteur
          aud client_id du client demandeur
          Nonce la valeur du paramètre occasionnel reçue du client
          exp délai d'expiration de ce jeton
          iat heure à laquelle ce jeton a été émis
          auth_time heure à laquelle l'authentification a eu lieu
          at_hash la première moitié d'un hachage du jeton d'accès
        • jeton d'accès : Valable 1 heure et peut être utilisé pour accéder aux informations utilisateur ou à d'autres points de terminaison jusqu'à son expiration.
        • Ce point de terminaison prend les paramètres suivants dans la requête :
          • ID client : client_id de l'application tel que configuré dans les étapes précédentes.
          • Secret du client : client_secret de l'application tel que configuré à l'étape précédente.
          • URL de redirection : L'URL de rappel où la réponse doit être publiée.
          • Code: Code d'autorisation reçu du point de terminaison d'autorisation.
          • Type de subvention : L'octroi OAuth que vous souhaitez utiliser pour la demande.
      • Point de terminaison d'informations utilisateur [ https://<your-domain>.xecurify.com/moas/api/oauth/getuserinfo ] Requis uniquement en cas d'authentification OAuth
        • Cette API peut être utilisée pour récupérer des informations de profil utilisateur avec un jeton d'accès attribué à l'utilisateur. Une requête GET est envoyée au point de terminaison d’informations utilisateur.
        • Vous devez envoyer le jeton d'accès dans l'en-tête d'autorisation pour recevoir les détails de l'utilisateur.
      • Point de terminaison de déconnexion unique OpenID [ https://<your-domain>.xecurify.com/moas/idp/oidc/logout?post_logout_redirect_uri ]:
        • Ce point de terminaison supprime la session utilisateur active du miniOrange IDP et redirige l'utilisateur vers l'URL mentionnée dans le paramètre post_logout_url.
      Afficher les points de terminaison OAuth

  • Sous Choisir une application, sélectionnez JWT du Toutes les applications menu déroulant.
    • Sélectionnez l'application JWT dans le menu déroulant.

  • Recherchez votre candidature dans la liste. Si vous ne la trouvez pas, recherchez… comme ci-dessus et vous pouvez configurer votre application via Application JWT.
    • Recherche d'application JWT

  • Vous pouvez configurer les détails suivants dans l'application :
    Nom du profil Entrer le Nom du profil (c'est-à-dire le nom de cette application)
    URL de redirection Entrer le URL de redirection (c'est-à-dire le point de terminaison où vous souhaitez envoyer/publier votre jeton JWT). Vous pouvez ajouter plusieurs URL de redirection en les séparant par un « ; ». Par exemple : abc.com;xyz.com
    identité du client Le identité du client est affiché dans le champ ci-dessous. Cliquez sur l'icône du presse-papiers pour le copier.
    Secret client Secret client est masqué par défaut. Cliquez sur l'icône en forme d'œil pour l'afficher et utilisez l'icône du presse-papiers pour le copier. Ce paramètre est utilisé dans l'algorithme de signature HS256 pour générer la signature.
    Description (facultatif) Ajoutez une description si nécessaire.
    Télécharger le logo de l'application (facultatif) Téléchargez un logo d'application (facultatif). L'application s'affichera dans le tableau de bord de l'utilisateur final avec le logo que vous aurez configuré ici.
    • Saisissez les détails de l'application JWT

  • Cliquez à nouveau Enregistrer.
  • Vous allez être redirigé vers Politiques internes .
    • Accédez à la section « Politiques » et ajoutez une politique.

  • Cliquez sur le Attribuer un groupe bouton. Un nouveau Configurer l'affectation de groupe Un onglet modal s'ouvrira.
    • Groupe d'affectation : Sélectionnez les groupes que vous souhaitez associer à l'application. Vous pouvez sélectionner jusqu'à 20 groupes à la fois.
      • Configurer l'affectation des groupes

    • Si vous devez créer un nouveau groupe, cliquez sur Ajouter un nouveau groupe .
    • Saisissez le nom du groupe et cliquez sur Créer un groupe.
      • Créer un nouveau groupe

    • Cliquez sur Suivant.
    • Attribuer des politiques : Ajoutez les politiques requises aux groupes sélectionnés. Saisissez les informations suivantes :
    • Premier facteur : Sélectionnez la méthode de connexion dans le menu déroulant.
      • Si vous sélectionnez Mot de passe comme méthode de connexion, vous pouvez activer Authentification à deux facteurs (MFA) et Authentification adaptative, si besoin.
      • Si vous sélectionnez Sans mot de passe comme méthode de connexion, vous pouvez activer Authentification à deux facteurs (MFA) si besoin.
    • Ajouter les détails de la politique de connexion

  • Cliquez sur EnregistrerDes politiques seront élaborées pour tous les groupes sélectionnés.
  • La police d'assurance apparaîtra dans la liste une fois qu'elle aura été ajoutée avec succès.
    • Politique ajoutée avec succès

  • Cliquez sur Avancé languette.
  • Saisissez les informations suivantes si nécessaire :
    Jeton d'accès Saisissez le jeton d'accès qui sera envoyé à votre URL de redirection après la connexion d'un utilisateur. Ce jeton permet à votre application de savoir que l'utilisateur est autorisé à accéder à certaines fonctionnalités.
    Expiration du jeton d'identification (en minutes) Définissez la durée de validité (en minutes) du jeton d'identification. Passé ce délai, l'utilisateur devra se reconnecter pour obtenir un nouveau jeton.
    Sujet Choisissez les informations, comme l'adresse e-mail de l'utilisateur, qui seront utilisées pour l'identifier dans le jeton. Cela permet à votre application de savoir quel utilisateur est connecté.
    Algorithme de signature Sélectionnez votre algorithme de signature dans la liste déroulante.
    L'URL de déconnexion de votre application Saisissez l'adresse Web vers laquelle les utilisateurs doivent être envoyés après leur déconnexion.
    Activer l'identité partagée Cette fonctionnalité vous permet de contrôler si une application spécifique est accessible ou non à un utilisateur partagé.
    • Accédez à l'onglet Avancé

  • Algorithmes de signature pour JWT

      • RSA-SHA256

      • Asymétrique, utilise un ensemble de clés privées et publiques pour générer et valider la signature incluse dans le jeton JWT.
      • La clé privée est utilisée pour générer la signature côté IDP.
      • La clé publique est utilisée pour vérifier la signature côté SP.
      • Nous fournissons la clé publique pour cela.

      HS256

      • Symétrique, utilise la même clé secrète pour générer et valider la signature
      • La clé secrète dans ce cas est configurable depuis la page de configuration de l'application.
  • Basculer vers Options de connexion languette.
    Fournisseur d'identité principal Sélectionnez la source d'identification par défaut dans la liste déroulante de l'application. Si cette option n'est pas sélectionnée, les utilisateurs verront l'écran de connexion par défaut et pourront choisir leur propre fournisseur d'identité. [Choisissez miniOrange dans ce cas.]
    Forcer l'authentification Si vous activez cette option, les utilisateurs devront se connecter à chaque fois, même si leur session existe déjà.
    Activer le mappage des utilisateurs Activez cette option si vous souhaitez que l'application indique quel utilisateur est connecté lorsqu'elle répond.
    Afficher sur le tableau de bord de l'utilisateur final Activez cette option si vous souhaitez afficher cette application dans le tableau de bord de l'utilisateur final.
    • Accédez à l'onglet des options de connexion

  • Basculer vers Attributs languette.
    • Activer l'option Attributs à valeurs multiples :
      • Activer les attributs à valeurs multiples

    • Lorsque cette option est activée, les virgules (,) et les points-virgules (;) sont traités comme des délimiteurs. Tout attribut contenant ces caractères sera automatiquement divisé et converti en attribut multi-valeurs selon leur positionnement.
    • Cette fonctionnalité garantit que les attributs avec plusieurs valeurs sont livrés dans un format structuré au lieu d'une seule chaîne concaténée.
    • Par exemple : lorsque cette option est activée, les attributs apparaîtront sous forme de liste comme rôles = ['admin', 'éditeur', 'visualiseur'] au lieu d'une seule chaîne comme rôles = "administrateur;éditeur;visualiseur".
    • Lorsque cette option est handicapé, les attributs stockés sous forme d'une seule chaîne concaténée avec des virgules (,) et des points-virgules (;) sont traités de la manière dont ils sont stockés au lieu d'une liste structurée.
    • Dans ce cas, les virgules (,) et les points-virgules (;) ne sont pas traités comme des séparateurs, de sorte que les valeurs restent combinées dans une seule chaîne.
  • Accédez à Endpoints et copiez les détails suivants :
    • Accédez à la section « Points de terminaison » et copiez les URL.

    • URL d'authentification unique :
      • Cette URL est utilisée pour lancer l'authentification de l'utilisateur afin d'obtenir le jeton JWT.
      • Prenez redirect_uri comme l'un des paramètres de requête.
      • Après une authentification réussie du côté de l'IDP, une session utilisateur active est créée dans l'IDP et l'utilisateur est redirigé vers redirect_uri avec le jeton JWT.
    • URL de déconnexion unique :
      • Cette URL est utilisée pour déconnecter l'utilisateur de l'IDP en supprimant la session utilisateur active.
      • Prenez redirect_uri comme l'un des paramètres de requête.
      • Après avoir supprimé la session utilisateur active, l'IDP redirige l'utilisateur vers redirect_uri.
    • URL de réponse pour la déconnexion initiée par l'IdP :
      • Cette URL est utilisée pour lancer la déconnexion au cas où la connexion de l'utilisateur JWT aurait été initiée par IDP [Utilisateur connecté au tableau de bord
        d'abord, puis initialisé la connexion à l'application à partir du tableau de bord.]
      • Après avoir déconnecté l'utilisateur de l'IDP, l'utilisateur est redirigé vers la page de connexion du tableau de bord IDP.

4. Connectez-vous à l'aide de la page de sélection IDP (facultatif)

  • Vous pouvez configurer plusieurs IDP (Fournisseurs d'identité) et donner aux utilisateurs la possibilité de sélectionner le fournisseur d'identité de leur choix pour s'authentifier.
    Par exemple : il peut s'agir de plusieurs domaines AD appartenant à différents départements ou à plusieurs organisations Okta.

    • Peu de cas d'utilisation où les clients configurent plusieurs IDP -

  • Supposons que vous ayez un produit que beaucoup de vos clients utilisent et que chaque client ait le sien personne déplacée unique vous souhaitez donc qu'ils se connectent également à votre produit en utilisant uniquement leur IDP existant. miniOrange fournit un moyen centralisé de se connecter avec tous les IDP de manière très simple et d'intégrer le SSO dans votre application.
  • Supposons que vous fournissiez un cours à de nombreuses universités, chacune ayant un protocole SAML, OAuth unique pris en charge par les IDP, comme Shibboleth, ADFS, CAS, etc. Vous pouvez fournir une authentification unique (SSO) dans votre demande de cours à toutes ces universités en les intégrant à toutes à l'aide d'une plate-forme unique fournie par miniOrange.
  • Il s'agit du point de terminaison à appeler depuis votre application SAML -
    • Pour Cloud IDP : https://login.xecurify.com/moas/discovery?customerId=<customer_id>
    Pour les fournisseurs d'identité sur site : https://yourdomain.com/discovery?customerId=<customer_id>

  • Vous devez copier la clé client de console d'administration -> Paramètres -> et remplacez-le par ici. Une fois configuré dans SP, lorsque vous lancez la connexion à partir du fournisseur de services, un utilisateur sera redirigé vers la page de sélection des IDP répertoriant tous les IDP configurés pour ce compte.

    • Vous pouvez voir la capture d'écran ci-dessous du Page de sélection des personnes déplacées avec une liste de personnes déplacées.


    À noter: Pour afficher l'IDP dans la liste déroulante, accédez à l'onglet Fournisseurs d'identité > par rapport à votre IDP configuré > Sélectionnez > Modifier, ici Activer l'option Afficher l'IDP aux utilisateurs option.

    Sélectionnez votre IDP (Identity Provider) pour vous connecter

  • Vous avez également la possibilité de modifier l'apparence et la conception de cette page. Connectez-vous à la console d'administration de miniOrange. Accédez à Personnalisation -> Configuration de la marque. Voir la capture d'écran ci-dessous pour référence-

    • Personnaliser la page de connexion de sélection IDP

  • Vous pouvez personnaliser le titre de cette page.
  • Changez le logo et le favicon de cette page.
  • Modifiez la couleur de l’arrière-plan et des boutons de cette page à partir de l’interface utilisateur d’administration.

Références externes

Vous souhaitez planifier une démo ?

Démonstration de la plateforme