Introduction à l’authentification unique (SSO)

Les commandes d’authentification unique (SSO) permettent l’accès à de multiples systèmes logiciels reliés, mais indépendants. L’utilisateur peut ainsi se connecter au réseau de l’entreprise une première fois et ensuite accéder à tous les systèmes sans devoir se connecter de nouveau à chacun d’eux. Pour obtenir de plus amples informations générales sur les SSO, consultez l’article Wikipédia sur l’authentification unique.

Le système de Chrome River prend en charge les SSO au moyen du protocole SAML, une méthode standard qui facilite l’échange de messages d’authentification contenus dans les documents XML entre le fournisseur d’identité (IdP), le fournisseur de service (SP) et l’utilisateur. L’authentification permet à l’utilisateur d’accéder à de multiples portails de logiciels à l’extérieur du point d’accès Intranet d’une organisation sans devoir se connecter à nouveau.

Actuellement, Chrome River fournit un service SAML initié par l’IdP et le SP, dont les versions 1.1 et 2.0 de SAML. Dans le cas de SAML 2.0, nous prenons aussi en charge le cryptage de l’assertion de l’IdP dans la réponse d’authentification SAML, ainsi que l’attribution d’un certificat X.509. La capacité de cryptage de l’assertion IDP permet de remédier au problème que pose l’usurpation de l’identité des utilisateurs autorisés par des utilisateurs non autorisés lorsque le message d’assertion IdP est intercepté. Pour de plus amples renseignements sur le protocole SAML 2.0 en général, consultez l’article Wikipédia SAML 2.0.

Configuration des SSO avec Chrome River

Étape 1 : Ouvrir un billet d’assistance

Pour commencer à utiliser le service d’authentification SAML dans Chrome River, veuillez envoyer une demande au Service d’assistance de Chrome River. Assurez-vous d’y inclure les informations suivantes :

Nom du fournisseur d’identité (par exemple, Okta, Microsoft ADFS, OneLogin, Azure Active Directory)
Métadonnées SSO du fournisseur d’identité
Les métadonnées sont couramment fournies sous forme de fichier XML au sein de vos paramètres de fournisseur d’identité.
Les métadonnées doivent minimalement contenir le certificat X.509 et l’URL de redirection de l’IdP de SAML.

Étape 2 : Valider les paramètres du pare-feu

Dans votre cas au Service d’assistance de Chrome River, vous pouvez demander les noms d’hôte de production et d’AQ d’où les messages Chrome River seront envoyés. Assurez-vous que le pare-feu de votre organisation leur autorise l’accès.

Étape 3 : Terminez la configuration au sein des paramètres du fournisseur d’identité

1. Sur le serveur du fournisseur d’identité, établissez une connexion avec le système de Chrome River. Votre Service d’assistance de Chrome River vous communiquera les informations suivantes :

ID de l’entité
Assertion Consumer Service (URL de réponse)

2. Ajouter un attribut d’authentification : Courriel, ID unique ou nom d’utilisateur.

3. Assurez-vous que l’application de SSO nouvellement créée est attribuée aux bons utilisateurs.

Détails de configuration supplémentaires pour les fournisseurs d’identité communs

Microsoft Azure Active Directory (AD)

Créez une nouvelle application personnalisée de SSO à l’aide du guide de configuration Azure AD.
Identificateur (ID de l’entité) et URL de réponse (les valeurs seront fournies par Chrome River).
Pour les attributs & les revendications des utilisateurs : L’attribut sélectionné doit correspondre à l’adresse courriel « AdresseCourriel », l’ID unique de l’employé « IDEmployé » ou nom d’utilisateur « NomUtilisateur » dans les profils de vos utilisateurs Chrome River.
Par exemple, si vous choisissez « user.userprincipalname », cette valeur doit correspondre avec l’adresse courriel, l’ID unique de l’employé ou le nom d’utilisateur dans Chrome River.

Microsoft Active Directory Federation Services (ADFS)

Créer une nouvelle application personnalisée SSO SAML
Remplissez les identificateurs d’une partie identificatrice (les valeurs seront fournies par Chrome River).
Ajoutez les points d’aboutissement d’assertion de client SAML (les valeurs seront fournies par Chrome River).
Ajoutez des règles de réclamation : envoyez les attributs d’utilisateur comme IDNom (type sortant).
Assurez-vous que la valeur de l’attribut sélectionné dans vos règles de réclamation correspond à l’adresse courriel « AdresseCourriel », l’ID unique de l’employé « IDEmployé » ou nom d’utilisateur « NomUtilisateur » dans les profils de vos utilisateurs Chrome River.
Par exemple, courriel dans ADFS = courriel dans Chrome River.

Okta

Configurer une nouvelle application personnalisée SAML
Remplissez l’URL ACS et l’ID de l’entité (les valeurs seront fournies par Chrome River).
Précisez le format de IDNom (soit AdresseCourriel ou non précisé).
Assurez-vous que la valeur de l’attribut sélectionné correspond à l’adresse courriel « AdresseCourriel », l’ID unique de l’employé « IDEmployé » ou nom d’utilisateur « NomUtilisateur » dans les profils de vos utilisateurs Chrome River.
Par exemple, courriel dans Okta = courriel dans Chrome River.

OneLogin

Configurer une nouvelle application personnalisée SAML
Ajoutez l’IDClient, l’emplacement et l’environnement (les valeurs seront fournies par Chrome River).
Précisez les paramètres des attributs, par exemple, IDNom (non précisé).
Assurez-vous que la valeur de l’attribut sélectionné correspond à l’adresse courriel « AdresseCourriel », l’ID unique de l’employé « IDEmployé » ou nom d’utilisateur « NomUtilisateur » dans les profils de vos utilisateurs Chrome River.
Par exemple : courriel dans OneLogin = courriel dans Chrome River.

Workspace ONE

Créer une nouvelle application SSO SAML
Précisez l’URL d’authentification unique, l’URL du destinataire et l’ID de l’application (les valeurs seront fournies par Chrome River).
Propriétés avancées : Inclure la signature d’assertion = Oui.
Sign assertion = Non
Sign assertion = Oui
Assurez-vous que la valeur de l’attribut sélectionné correspond à l’adresse courriel « AdresseCourriel », l’ID unique de l’employé « IDEmployé » ou nom d’utilisateur « NomUtilisateur » dans les profils de vos utilisateurs Chrome River.

Shibboleth

Créer une nouvelle application SSO SAML
Ajoutez l’ID de l’entité et l’URL ACS (les valeurs seront fournies par Chrome River).
Précisez que la valeur IDNom devrait correspondre au profil CR.
Assurez-vous que la valeur de l’attribut IDNom sélectionné correspond à l’adresse courriel « AdresseCourriel », l’ID unique de l’employé « IDEmployé » ou nom d’utilisateur « NomUtilisateur » dans les profils de vos utilisateurs Chrome River.
Par exemple, IDEmployé au sein de Shibboleth = IDUnique dans Chrome River.
Veuillez fournir le facteur d’authentification pour IDNom.
Par exemple, urn:oid:0.9.2342.19200300.100.1.3 (ce n’est pas nécessaire si le format IDNom n’est pas précisé).

Étapes de test et de validation

1. Configuration de confirmation des comptes d’utilisateurs

Assurez-vous que les utilisateurs qui testeront le SSO ont des comptes avec Chrome River et avec votre fournisseur d’identité.
Assurez-vous qu’au sein des paramètres de votre fournisseur d’identité, l’application de SSO nouvellement configurée de Chrome River est attribuée aux utilisateurs qui la testeront.

2. Demande d’activation de connexion par SSO à des fins de tests de validation

Après avoir terminé les étapes de la configuration, communiquez avec Chrome River avec votre billet SSO d’origine dans le Service d’assistance pour demander à ce que la connexion SSO soit active pour les tests.

Lorsque la connexion par SSO est activée à des fins de test, l’écran de connexion manuelle de Chrome River demeurera fonctionnel pour que l’accès des utilisateurs actuels ne soit pas affecté.

Remarque : la connexion par SSO de test est automatiquement désactivée après quelques jours.

Si la fenêtre de test s’écoule avant que vous ayez la chance de valider la configuration, communiquez avec Chrome River à l’aide de votre billet SSO au Service d’assistance pour que la connexion de test soit rétablie.

3. Validation de la configuration en testant le lien de connexion par SSO

Demandez à vos utilisateurs test d’utiliser une URL de connexion par SSO pour l’application Chrome River sur leur navigateur Web d’ordinateur de bureau. L’URL de connexion par SSO est différente de l’URL générique qui redirige les utilisateurs vers la page de connexion manuelle de Chrome River.

Les SSO peuvent être testés avec l’un de deux liens de connexion :

Pour le SSO initié par SP, vous pouvez utiliser l’URL de connexion fournie par votre fournisseur d’identité. Selon votre fournisseur d’identité, cette option peut s’afficher sur un tableau de bord Intranet dans vos autres applications SaaS.
Pour le SSO initié par SP, Chrome River vous fournira une URL de connexion par SSO spéciale.

Remarque : l’utilisation d’un navigateur d’ordinateur de bureau est recommandée lors de la validation de la configuration des SSO.

La connexion par SSO est valide si vos utilisateurs test sont connectés à l’application Chrome River après avoir cliqué sur le lien de connexion par SSO.

La validation de SSO sur un ordinateur de bureau devrait faire en sorte que le SSO fonctionnera aussi sur iOS et Android, car le protocole d’authentification sous-jacent et les serveurs impliqués sont les mêmes.

4. Demande d’activation complète des SSO et étape finale

Après avoir vérifié que vos utilisateurs test sont bien authentifiés dans Chrome River à l’aide des SSO, veuillez prévenir Chrome River par le biais de votre billet du Service d’assistance pour commencer à coordonner l’activation des SSO pour votre organisation.

Veuillez noter qu’une fois les SSO complètement activés :

L’écran de connexion manuelle de Chrome River sera désactivé et toutes les demandes de connexion seront gérées exclusivement par l’authentification par SSO.
La même URL de connexion par SSO qui a été utilisée pendant la validation et les tests peut être utilisée par vos utilisateurs pour se connecter à Chrome River par SSO.
Vos utilisateurs devront désinstaller et réinstaller l’application mobile Chrome River sur leurs appareils (iOS et Android).

Chrome River peut activer et désactiver les SSO au besoin. D’autant que la configuration ait déjà été testée et validée, l’activation et la désactivation de SSO ne devraient pas exiger de changement à la configuration sous-jacente.

Veuillez communiquer avec le Service d’assistance de Chrome River pour toute demande d’activation ou de désactivation de SSO.

Message d’erreur « IDUtilisateur, IDEntreprise ou Mot de passe incorrect »

Après que les utilisateurs cliquent sur l’URL de connexion par SSO, un écran de connexion Chrome River s’affiche avec le message d’erreur « IDUtilisateur, IDEntreprise ou Mot de passe incorrect ».

Cause 1 : L’utilisateur correspondant est introuvable dans Chrome River

1. Assurez-vous que la personne possède un compte d’utilisateur dans Chrome River et que celui-ci soit configuré « Actif » ou « En attente ».

2. Confirmez que votre fournisseur d’identité est configuré pour transmettre un attribut qui correspond à l’adresse courriel « AdresseCourriel », l’ID unique de l’employé « IDEmployé » ou le nom d’utilisateur « NomUtilisateur » dans Chrome River.

Si l’adresse courriel comprend des caractères étrangers ou des lettres avec des accents, essayez plutôt d’utiliser l’ID de l’employé si cela est possible.
Un changement de configuration de Chrome River pourrait être requis pour prendre en charge l’authentification par nom d’utilisateur. Faites-nous savoir si vous transmettez cette valeur pour que Chrome River puisse mettre à jour sa configuration de façon appropriée.

3. Assurez-vous qu’un seul attribut soit transmis au fournisseur d’identité.

Seul l’un des trois éléments suivants est nécessaire : l’adresse courriel « AdresseCourriel », l’ID unique de l’employé « IDEmployé » ou le nom d’utilisateur « NomUtilisateur » qui correspond à celui du profil d’utilisateur de Chrome River.
Le champ IDNom peut être utilisé pour n’importe laquelle des trois options.

Cause 2 : Incompatibilité du certificat — « Accès restreint. L'utilisateur n'existe pas. Veuillez contacter votre administrateur pour configurer un compte utilisateur Chrome River. »

Mettez à jour le certificat X.509 à l’aide de Écran d'administration de l'authentification unique de Chrome River :

Dans Chrome River, allez dans les paramètres administrateur et sélectionnez SÉCURITÉ > AUTHENTIFICATION UNIQUE.
Faites défiler la page jusqu’à votre certificat de sécurité et cliquez sur METTRE À JOUR.
Saisissez votre clé de certificat X.509.
S’il n’y a pas de correspondance, assurez-vous qu’il n’y a pas de saut de ligne ou d’espaces supplémentaires.
Cliquez sur ENREGISTRER.

Si vous n’avez pas accès à cet écran, un utilisateur administrateur de votre organisation pourra faire la mise à jour pour vous. De façon alternative, communiquez avec le Service d’assistance de Chrome River et fournissez une version actuelle de votre fichier XML de métadonnées SSO, ce qui comprend généralement le certificat X.509.

Erreur de fournisseur d’identité

Ce type d’erreur survient sur une page Web qui n’est pas hébergée par Chrome River, c’est-à-dire une page hébergée par votre fournisseur d’identité. Lorsque ceci arrive, l’URL dans la barre d’adresse ne comprend pas « chromeriver.com ».

Cause 1 : Configuration incorrecte au sein des paramètres du fournisseur d’identité

Assurez-vous que l’URL ACS (URL de redirection) et que l’IDEntité sont configurées correctement.
Retirez tout espace ou toute barre au début ou à la fin des URL ci-dessus.
Essayez de modifier l’IDEntité ou l’URL de réponse dans les paramètres SSO du fournisseur d’identité à l’aide de l’URL affichée dans le message d’erreur.
Dans l’exemple ci-dessus, vous utiliseriez http://www.chromeriver.com comme IDEntité ou URL de réponse.
Reconfigurez manuellement l’application SSO au sein de votre fournisseur d’identité comme une application SSO SAML personnalisée plutôt que d’utiliser une application modèle SSO préconfiguré.

Cause 2 : Paramètres réseau

Vérifiez toutes les exigences spéciales de réseau auprès de votre équipe des TI ou sysadmin.
Par exemple, votre réseau pourrait nécessiter des autorisations VPN ou de pare-feu pour que le SSO fonctionne correctement.

Cause 3 : Rôles d’utilisateur et accès

Assurez-vous que vos utilisateurs ont l’accès nécessaire à l’application SSO de Chrome River au sein de vos paramètres de fournisseur d’identité.

Message « Erreur système 500 »

Cause : URL d’IdP non valide

Ouvrez un billet auprès du Service d’assistance de Chrome River pour vous assurer que l’URL de l’IdP configurée dans le système de Chrome River est valide et commence par « http:// »

Erreur de navigateur « Ce site ne peut pas être atteint »

Cause : URL de connexion initiée par SP non valide

Ouvrez un billet auprès du Service d’assistance de Chrome River pour vous assurer que l’URL de connexion initiée par SP est valide.

Certificat d’authentification pour l’application Chrome River.

L’application Chrome River prend en charge l’authentification par certificat, ce qui permet aux utilisateurs de s’authentifier avec leurs identifiants d’authentification uniques et dans l’application Chrome River à l’aide d’un certificat IdP fourni par votre gestion des appareils mobiles plutôt que de saisir leurs identifiants d’authentification uniques.

Votre organisation devra travailler avec votre gestion des appareils mobiles et votre IdP pour

installer un certificat IdP sur les appareils des utilisateurs.
Configurez votre IdP pour accepter le certificat à l’aide d’un navigateur Web.

Une fois ces critères respectés, les utilisateurs pourront ouvrir une session dans l’application Chrome River à l’aide du certificat.

SP vs IdP

Initiée par SP est la manière recommandée d’implémenter les SSO pour l’application mobile Chrome River. Seuls les clients qui configurent un accès initié par SP (ou qui utilisent une connexion non-SSO) pourront profiter de l’expérience utilisateur et de la sécurité améliorées de l’application mobile Chrome River.

Pour les clients ayant une configuration mobile initiée par IDP, la durée de la session Web des utilisateurs sera identique à celle que votre organisation a configurée pour l’accès à Chrome River via un navigateur Web. Cela signifie que les utilisateurs devront se connecter plus fréquemment.

Pour passer de la configuration IdP à la configuration SP, ouvrez un dossier dans le Service d’assistance de Chrome River.

Connexion et durée de la session

La durée de la session d’un utilisateur dans l’application mobile Chrome River dépend de la manière dont votre organisation en a configuré l’accès.

Connexion standard ou SSO initiée par le fournisseur d’accès

Si votre organisation utilise la connexion standard Chrome River ou la connexion SSO (authentification unique) initiée par SP pour l’application mobile Chrome River, les utilisateurs resteront connectés pendant au moins 30 jours. La session sera prolongée de 30 jours chaque fois qu’ils utiliseront l’application, jusqu’à un maximum de 90 jours.

Si l’application reste inactive pendant 15 minutes, les utilisateurs devront la déverrouiller à l’aide de la biométrie ou du code NIP de leur appareil, mais ils ne seront pas obligés de se reconnecter.

Remarque : les utilisateurs qui ne disposent d’aucune méthode de sécurité sur leurs appareils n’auront pas la possibilité de remplir automatiquement leurs identifiants de connexion et seront complètement déconnectés après 15 minutes d’inactivité.

SSO initiée par IDP

Si votre organisation utilise la connexion SSO initiée par IdP, la durée de la session sur l’application mobile Chrome River sera identique à celle que votre organisation a définie pour l’accès à Chrome River via le navigateur Web. Par défaut, cette durée est de 1 heure, la durée maximale configurable de la session étant de 12 heures.

Retirer l’autorisation de la session mobile d’un utilisateur qui A QUITTÉ

Si un utilisateur a une session mobile active, mais qu’il a quitté votre organisation, sa session mobile sera terminée et il sera déconnecté dès que son dossier de personne sera mis à jour et passera au statut Supprimé ou A quitté via l’écran d’administration Personnes, le flux de données de la personne ou l’API de la personne. Pour plus d’informations, voir l’Écran d’administration du personnel.