De nombreuses organisations peuvent servir de fournisseur d'identité pour SAML.

Les sections suivantes décrivent comment configurer les fournisseurs suivants :

Quel que soit le fournisseur d'identité que vous utilisez, vous devez faire ce qui suit :

  1. Définissez le nom de l'algorithme de signature pour SAML comme étant SHA256withRSA.
  2. Sur votre fournisseur d'identité, configurez les mappages d'attributs suivants (OneSpan Sign les utilisera pour identifier l'utilisateur qui se connecte) :
  3. Utilisateur Attributs
    courriel

    Un des éléments suivants :

    • courriel
    • emailaddress
    • courriel
    prénom

    Un des éléments suivants :

    • firstname
    • givenname
    • cn
    nom de famille

    Un des éléments suivants :

    • lastname
    • nom de famille
    • sn
    accountid

    Un des éléments suivants :

    • compte
    • accountid
    • accountId
    type

    Un des éléments suivants :

    • rôle
    • type
    • userType

Si vous voulez configurer un fournisseur d'identité uniquement pour les « destinataires" » (pas les membres d'un compte OneSpan Sign), spécifiez uniquement le paramètre courriel. Il n'est pas nécessaire de préciser un prénom ou un nom.

Si vous devez importer les métadonnées requises dans votre keystore, consultez Mise à niveau de votre certificat et de vos métadonnées SAML

Étapes supplémentaires pour les sous-comptes

Cette section suppose que les sous-comptes sont activés sur votre compte. Si ce n'est pas le cas, vous pouvez ignorer cette section.

Un utilisateur qui a été ajouté à votre fournisseur d'identité peut être automatiquement ajouté à OneSpan Sign. C'est ce qu'on appelle le provisionnement automatique. Le provisionnement automatique est activé pour un compte lorsque le paramètre allowSenderCreation dans le fichier saml.config a la valeur true. Ce paramètre est true par défaut.

Lorsqu'un utilisateur se connecte à OneSpan Sign via un fournisseur d'identité, il est déjà un utilisateur de OneSpan Sign, ou il ne l'est pas. Les sections suivantes traitent de ces deux cas :

N'est pas un utilisateur de OneSpan Sign

Lorsqu'une personne qui n'est pas un utilisateur de OneSpan Sign se connecte à OneSpan Sign via un fournisseur d'identité, soit le provisionnement automatique a été activé pour elle, soit il ne l'a pas été. Les sections suivantes décrivent ces deux cas :

Provisionnement automatique activé

Si le provisionnement automatique est activé, lorsqu'une personne qui n'est pas un utilisateur de OneSpan Sign se connecte à OneSpan Sign via un fournisseur d'identité :

  • L'utilisateur est redirigé vers le tableau de bord.

  • Le provisionnement automatique ajoute automatiquement l'utilisateur à un ou plusieurs sous-comptes, en fonction des attributs utilisateur qui ont été configurés pour lui dans l'une des deux procédures suivantes.

Pour ajouter un utilisateur à un seul sous-compte :

  • Vous devez configurer les attributs d'utilisateur suivants :
    • accountid=<UID du compte du sous-compte auquel l'utilisateur sera ajouté>
    • role=<member ou manager ou owner>

Pour ajouter un utilisateur à plusieurs sous-comptes :

  • Vous devez configurer l'attribut utilisateur subaccounts avec un format JSON comme le suivant :

  • subaccounts = {"userType":"<user-type>", "phone":"<phone>", "subaccounts": [{"accountUid":"<UID1>", "roles":["role1", "role2",...]}, {"accountUid":"<UID2>", "roles":["role1", "role2",...]}, etc...]}

Ici :

  • Les valeurs possibles pour <user-type> sont Regular ou Manager.
  • Les valeurs possibles pour un rôle sont member ou manager ou owner.

Provisionnement automatique désactivé

Lorsqu'une personne qui n'est pas un utilisateur de OneSpan Sign se connecte à OneSpan Sign via un fournisseur d'identité et que le provisionnement automatique est désactivé pour elle (allowSenderCreation=false), un message d'erreur apparaît, indiquant que l'utilisateur n'existe pas.

Ce message d'erreur souligne la nécessité pour un utilisateur dans cette situation d'avoir quelqu'un : (1) activer l'provisionnement automatique pour eux; (2) exécuter l'une des procédures Provisionnement automatique activé pour eux.

Nous vous recommandons de spécifier les attributs accountid et role dans les paramètres de votre fournisseur d'identité. Si vous ne faites pas cela, le provisionnement automatique fonctionnera comme suit :

  • Si l'Id de l'entité est partagée par plusieurs comptes, une erreur d'accès non autorisé sera renvoyée.

  • Si l'identité de l'entité n'est pas partagée par plusieurs comptes, le nouvel utilisateur doit être ajouté - auto-provisionné - au compte OneSpan Sign qui détient la configuration SAML (cette configuration réside généralement dans le compte principal, Level 0). Après avoir fourni automatiquement le nouvel utilisateur, vous devez lui attribuer un rôle. Si vous ne le faites pas, l'utilisateur ne pourra pas créer de transactions.

Déjà un utilisateur de OneSpan Sign

Lorsqu'une personne qui est déjà un utilisateur de OneSpan Sign se connecte à OneSpan Sign via un fournisseur d'identité :

  • Elle sont automatiquement redirigée vers le tableau de bord.

  • Le système ne tient pas compte du paramètre allowSenderCreation.

L'Active Directory Federation Services (ADFS) de Microsoft peut servir de fournisseur d'identité SAML 2.0 pour OneSpan Sign.

Pour configurer l'ADFS afin qu'il serve de fournisseur d'identité SAML pour OneSpan Sign :

  1. Démarrez le ADFS 2.0 Management Console.
  2. Ouvrez le dossier Relations de confiance, et cliquez à droite sur Partie fiable de confiance
  3. Sélectionnez Ajout d'une partie fiable de confiance, puis Commencer.
  4. Dans l'assistant Ajout d'une partie fiable de confiance, sélectionnez Importer des données à propos de la partie fiable d'un fichier.
  5. Importez les métadonnées requises dans votre keystore. Pour le télécharger, voir Mise à niveau de votre certificat et de vos métadonnées SAML.
  6. Complétez l'assistant si nécessaire, en entrant votre nom d'affichage et les règles d'autorisation que vous souhaitez utiliser.
  7. Dans l'onglet Avancé, changez l'algorithme de hachage sécurisé en SHA-256
  8. Créez une nouvelle règle de réclamation pour les attributs LDAP en utilisant le modèle suivant :

  9. Modifiez la règle de manière à ce que votre écran se présente comme suit :
  10. Créez une autre règle de réclamation pour transformer une réclamation entrante. Cela ajoutera le courriel au sujet de la réponse en tant que NameID.

  11. Cette règle de sinistre fera référence à la première règle de sinistre. Pour cette raison, cette dernière doit rester la règle 1.

OKTA peut servir de SAML Identity Provider pour OneSpan Sign.

L'exemple suivant configure OKTA comme fournisseur d'identité pour une instance de OneSpan Sign US Sandbox.

Pour configurer OKTA afin qu'il serve en tant que SAML Identity Provider de OneSpan Sign :

  1. Naviguez sur https://www.okta.com/developer/signup/, et créez une organisation gratuite OKTA Developer Edition.
  2. Connectez-vous à la console d'administration, puis cliquez sur Ajouter des applications.
  3. Cliquez sur Créer une nouvelle application, et sélectionnez SAML 2.0 comme méthode d'ouverture de session.
  4. Dans la section Paramètres généraux, saisissez un nom d'application. Cliquez ensuite sur Suivant.
  5. Dans la section Configurer SAML, collez l'URL suivante dans les champs URL d'authentification unique :
  6. https://sandbox.e-signlive.com/sso/saml/SSO/alias/e-signlive

L'URL du destinataire et l'URL de destination doivent rester identiques.

  1. Dans le champ Audience Restriction, saisissez l'ID de l'entité SP. Par exemple : urn:saml:sso:sandbox:e-signlive:com.
  2. Pour la valeur par défaut du statut du relais, saisissez https://sandbox.e-signlive.com/packages/inbox
  3. Cliquez sur Afficher les paramètres avancés, puis configurez les paramètres dans le tableau suivant :
  4. PARAMÈTRE VALEUR

    Format ID nom

    EmailAddress

    Réponse

    Signé

    Signature de l'assertion

    Non signé

    Algorithme de signature

    RSA_SHA256

    Digestion d'algorithme

    SHA256

    Cryptage d'assertion

    Non crypté

    Déconnexion unique SAML

    Désactivé

    authContextClassRef

    Non spécifié

    Authentification Honor Force

    Non

    ID de l'émetteur SAML

    http://www.okta.com/${org.externalKey}

  1. Dans la section Énoncés d'attributs, ajoutez les trois attributs suivants, puis cliquez sur Prochain :
  2. Nom Format du nom Valeur
    courriel Référence URI user.email
    firstname Référence URI user.FirstName
    lastname Référence URI user.lastName
  3. Dans la section Rétroaction, sélectionnez Ceci est une application interne que nous avons créée. Cliquez ensuite sur Terminer.

    Vous verrez maintenant la section Connexion de votre application SAML exemple nouvellement créée. Gardez cette page ouverte dans un autre onglet ou une autre fenêtre du navigateur. Vous aurez besoin de son lien de métadonnées Fournisseur d'identité lorsque vous exécuterez la procédure Configurer SAML sur votre compte eSignLive.

  4. Pour copier le lien des métadonnées du fournisseur d'identité, cliquez avec le bouton droit de la souris et sélectionnez Copier.

  5. Cliquez avec le bouton droit de la souris sur la section Personnes du nom de votre application, puis sélectionnez Ouvrir le lien dans un nouvel onglet (afin de pouvoir revenir à la section Connexion plus tard).
  6. Dans le nouvel onglet qui s'ouvre, cliquez sur le bouton Affecter une application.
  7. Une boîte de dialogue intitulée Attribuer le nom de l'application à un maximum de 500 personnes apparaît. Tapez votre nom d'utilisateur dans le champ de recherche, et cochez la case à côté de votre nom d'utilisateur. Cliquez ensuite sur Suivant.
  8. Vous serez invité à saisir les attributs spécifiques à l'utilisateur. Cliquez sur Confirmer les affectations pour conserver les valeurs par défaut.

    Vous êtes maintenant prêt à exécuter la procédure Configurer SAML sur votre compte eSignLive. Vous aurez besoin du lien des métadonnées du fournisseur d'identité de l'étape 10.

Azure AD peut servir de SAML Identity Provider pour OneSpan Sign. Pour obtenir plus d'informations à ce sujet, consultez la documentation de Microsoft Azure.

Pour configurer Azure afin qu'il fonctionne avec OneSpan Sign, vous devez effectuer les procédures suivantes :

  1. Satisfaire aux préalables
  2. Ajout de OneSpan Sign comme application à Azure AD
  3. Configuration des paramètres SAML de base
  4. Configuration des attributs de l'utilisateur et réclamations
  5. Configuration des utilisateurs et autorisations
  6. Tester le SSO initié par le SP

Préalables

Pour commencer, vous avez besoin des éléments suivants :

  • Un abonnement à Azure AD
  • Un compte OneSpan Sign, soit Sandbox, soit Production
  • Les métadonnées SAML qui s'appliquent à votre instance OneSpan Sign (par exemple, sandbox.esignlive.com)
  • Si vous prévoyez d'utiliser le SSO initié par SP, vous devez télécharger le fichier XML des métadonnées de la Fédération.

Pour télécharger le fichier XML des métadonnées de la Fédération :

  1. Connectez-vous au portail Azure en tant qu'administrateur de l'application Cloud ou de l'application pour votre locataire Azure AD.
  2. Cliquez sur Azure Active Directory.
  3. Dans le répertoire actif, cliquez sur l'application Entreprise, puis sur Toutes les applications.
  4. Trouvez la section Gérer, et sélectionnez Authentification unique.
  5. Sélectionnez SAML.
  6. Sur la page Configurer l'authentification unique avec SAML, accédez à la section Certificat de signature SAML.
  7. Cliquez sur le lien de téléchargement des métadonnées de la Fédération.
  8. Communiquez avec notre équipe de soutien, afin que nous puissions réaliser les configurations nécessaires de notre côté.

Ajout de OneSpan Sign comme application à Azure AD

La première étape de la configuration d'Azure en tant que fournisseur SAML pour OneSpan Sign consiste à ajouter OneSpan Sign au portail d'applications Azure AD.

Pour ajouter OneSpan Sign au portail Azure AD :

  1. Connectez-vous au portail Azure en tant qu'administrateur de l'application Cloud ou de l'application pour votre locataire Azure AD.
  2. Cliquez sur Azure Active Directory.
  3. Sélectionnez Applications d'entreprise, puis cliquez sur Toutes les applications.
  4. Cliquez sur Nouvelle application, puis choisissez Application sans galerie.
  5. Saisissez un nom pour votre application (par exemple, OSS) , puis cliquez sur Ajouter.

Configuration des paramètres SAML de base

Maintenant que vous avez ajouté l'application, vous devez effectuer quelques configurations SAML de base.

Les paramètres que vous devez configurer varient en fonction de votre instance OneSpan Sign et selon que vous configurez le SSO pour qu'il soit initié par l'IDP ou par le SP.

Pour configurer vos paramètres SAML :

  1. Connectez-vous au portail Azure en tant qu'administrateur de l'application Cloud ou de l'application pour votre locataire Azure AD.
  2. Cliquez sur Azure Active Directory.
  3. Dans le répertoire actif, cliquez sur Application d'entreprise, puis choisissez l'application que vous venez d'ajouter (par exemple, OSS).
  4. Trouvez la section Gérer, puis sélectionnez Authentification unique.
  5. Sélectionnez SAML.
  6. Sur la page Configurer l'authentification unique avec SAML, cliquez sur l'icône de modification dans la section Configuration SAML de base.
  7. Saisissez les informations suivantes :
    • Identifiant (ID entité) : L'ID de l'entité peut être copié à partir des métadonnées SAML que vous avez téléchargées précédemment. Pour trouver l'ID de l'entité, ouvrez le fichier de métadonnées à l'aide d'un éditeur de texte comme le bloc-notes, et recherchez l'ID de l'entité. Une fois trouvé, copiez et collez l'entrée dans ce champ.
    • URL de réponse : L'URL de réponse est l'URL de votre service SSO. Par exemple, https://<your instance>/sso/saml/SSO/alias/e-signlive.
    • Connectez-vous à l'URL : Ce champ est nécessaire uniquement si vous utilisez le SSO initié par le SP. Si vous utilisez le SSO initié par IDP, laissez ce champ vide. Si vous utilisez le SSO initié par SP, saisissez ce qui suit : https://<server:port>/sso/saml/login/alias/e-signlive?idp=<EntityId of an IdP>,
      , où :
      • <server:port> est le port du serveur utilisé par votre instance OneSpan Sign. Par exemple, https://sandbox.esignlive.com.
      • <EntityId d'un IdP> est l'ID d'entité trouvé dans le fichier XML des métadonnées de la fédération que vous avez téléchargé précédemment. Pour trouver l'ID de l'entité, ouvrez le fichier de métadonnées à l'aide d'un éditeur de texte comme le bloc-notes, et recherchez l'ID de l'entité. Une fois trouvé, copiez et collez l'entrée dans cette section de l'URL.

  8. Si vous utilisez le SSO initié par le SP, communiquez avec notre équipe de soutien pour que nous puissions effectuer les configurations nécessaires de notre côté.

Le tableau suivant contient plus d'informations sur les paramètres de configuration de SAML :

Paramètre de configuration SAML Initiée par SP Initié par IDP Description

Identifiant (ID Entité)

Requis pour certaines applications

Requis pour certaines applications

Identifie de manière unique l'application. Azure AD envoie l'identifiant à l'application en tant que paramètre Audience du jeton SAML. L'application est censée le valider. Cette valeur apparaît également comme l'ID de l'entité dans toutes les métadonnées SAML fournies par l'application. Vous pouvez trouver cette valeur comme élément Émetteur dans l'AuthnRequest (demande SAML) envoyée par l'application.

URL de réponse

En option

Requis

Spécifie où l'application s'attend à recevoir le jeton SAML. L'URL de la réponse est également appelée URL du service consommateur d'assertions (SCA). Vous pouvez utiliser les champs supplémentaires d'URL de réponse pour spécifier plusieurs URL de réponse. Par exemple : (1) vous pouvez avoir besoin d'URL de réponse supplémentaires pour plusieurs sous-domaines; (2) à des fins de test, vous pouvez spécifier simultanément plusieurs URL de réponse (hôte local et URL publiques).

URL de connexion

Requis

Ne pas préciser

Lorsqu'un utilisateur ouvre cette URL, le fournisseur de services redirige vers Azure AD pour authentifier l'utilisateur et le connecter. Azure AD utilise l'URL pour démarrer l'application à partir d'Office 365 ou du panneau d'accès Azure AD. Lorsqu'il est vide, Azure AD effectue une connexion initiée par IDP si un utilisateur lance l'application à partir d'Office 365, du panneau d'accès Azure AD ou de l'URL SSO Azure AD.

État du relais

En option

En option

Indique à l'application où rediriger l'utilisateur une fois l'authentification terminée. En général, la valeur est une URL valide pour l'application. Toutefois, certaines applications utilisent ce champ différemment. Pour obtenir plus d'informations, demandez au fournisseur de l'application.

URL de déconnexion

En option

En option

Utilisé pour renvoyer les réponses de déconnexion SAML à l'application.

Une fois terminée, votre configuration SAML de base devrait ressembler à ceci, les valeurs de chaque champ représentant des valeurs de votre propre site. Par exemple, dans l'image suivante, vous devez remplacer sandbox.esignlive.com par le nom de domaine de votre propre URL de service SSO :

Configuration des attributs de l'utilisateur et réclamations

Une fois que vos paramètres SAML de base ont été configurés, vous pouvez commencer à créer des associations entre un utilisateur et ses attributs.

Pour configurer les attributs et les revendications des utilisateurs :

  1. Cliquez sur Azure Active Directory.

  2. Dans le répertoire actif, cliquez sur Application d'entreprise, puis choisissez l'application que vous venez d'ajouter (par exemple, OSS).
  3. Sur la page Configurer l'authentification unique avec SAML, cliquez sur l'icône de modification dans la section Attributs de l'utilisateur.
  4. Supprimez tous les attributs existants qui apparaissent.
  5. Cliquez sur Ajouter une nouvelle demande.
  6. Dans la zone Nom, tapez le nom de l'attribut.
  7. Laissez le champ Namespace vide.
  8. Ajoutez les revendications suivantes dans le champ Attribut de source, en mappant le nom de la revendication et les attributs de source comme suit
    Options de nomAttribut de la source

    firstname

    user.givenname

    courriel

    user.mail

    lastname

    user.surname
  9. Cliquez sur Enregistrer.

Provisionnement automatique

Si le même SAML est configuré pour plusieurs comptes dans la même instance, vous devrez ajouter un attribut supplémentaire pour provisionner automatiquement les nouveaux expéditeurs dans un compte spécifique. Si vous ne le faites pas, le provisionnement automatique échouera.

Le nom de l'attribut requis est accountid. Il peut être associé à n'importe quel attribut Azure Ad ayant l'UID du compte de destination (pour obtenir la liste des UID de vos comptes, communiquez avec notre équipe de soutien).

  • accountid: Cette revendication doit être mise en correspondance avec un attribut Active Directory qui contient le accountID du compte propriétaire.

  • type: Cette demande doit être mise en correspondance avec un attribut Active Directory qui est soit une valeur Régulier, soit une valeur Gestionnaire.

Configuration des utilisateurs et autorisations

Maintenant que vous avez défini des attributs d'utilisateur et des revendications, vous pouvez commencer à affecter des utilisateurs à l'application.

Pour configurer les autorisations des utilisateurs :

  1. Cliquez sur Azure Active Directory.

  2. Dans le répertoire actif, cliquez sur Application d'entreprise, puis choisissez l'application que vous venez d'ajouter (par exemple, OSS).
  3. Cliquez sur Utilisateurs et groupes.
  4. Cliquez sur Ajout d'un utilisateur.
  5. Dans la section Ajout d'une affectation, sélectionnez Utilisateurs et groupes.
  6. Sélectionnez l'utilisateur ou le groupe que vous voulez affecter à l'utilisation de l'application
  7. Cliquez sur Sélectionner.

Tester le SSO initié par le SP

Maintenant que vous avez terminé vos configurations, vous pouvez tester pour voir si tout fonctionne.

Pour tester le SSO initié par le SP :

  1. Connectez-vous au portail Azure en tant qu'administrateur de l'application Cloud ou de l'application pour votre locataire Azure AD.
  2. Cliquez sur Azure Active Directory.
  3. Dans le répertoire actif, cliquez sur Application d'entreprise, puis choisissez l'application que vous venez d'ajouter (par exemple, OSS).
  4. Trouvez la section Gérer, puis sélectionnez Authentification unique.
  5. Dans la section Authentification unique test, cliquez sur Test.
  6. Cliquez sur Se connecter en tant qu'utilisateur actuel.