Pour commencer
Les sections suivantes contiennent des informations utiles pour démarrer avec SAML sur OneSpan Sign :
- Configuration d'un ou plusieurs comptes pour les expéditeurs
- Paramètres de compte facultatifs pour les expéditeurs
- Configuration du SSO pour les destinataires
Configuration d'un ou plusieurs comptes pour les expéditeurs
Cette section n'est pertinente que si vous souhaitez configurer le SSO pour les « expéditeurs » (membres d'un compte OneSpan Sign ).
L'un des sujets suivants s'applique à votre situation :
Configuration d'un compte unique
OneSpan Sign dispose d'un paramètre pour les comptes uniques, appelé Sender Auto Provisioning. Le provisionnement automatique est activé pour un compte lorsque la valeur du paramètre allowSenderCreation dans le fichier saml.config est true. Cette fonction est activée par défaut.
Si cette fonction est activée, la première fois qu'un expéditeur essaie de se connecter via SSO, OneSpan Sign créera un compte pour lui et lui donnera accès à l'interface utilisateur pour expéditeurs de OneSpan Sign.
Si cette fonction est désactivée, une organisation doit ajouter manuellement un expéditeur à un compte OneSpan Sign avant qu'il puisse se connecter via SSO.
SSO, rôles et autorisations
Si le provisionnement automatique des expéditeurs a été désactivé, un expéditeur sera automatiquement activé lors de sa première connexion (à condition que son statut d'activation soit En attente et non Verrouillé). Si les rôles et les autorisations ont été activés, cette fonctionnalité fonctionne dans les scénarios suivants :
- Utilisateur en attente sans rôle
- Utilisateur en attente avec rôle
- Utilisateur actif sans rôle
- Utilisateur actif avec rôle
Configuration de comptes multiples
En option, plusieurs comptes OneSpan Sign peuvent être configurés pour utiliser le même fournisseur d'identité pour le SSO.
Paramètres de compte facultatifs pour les expéditeurs
Cette section n'est pertinente que si vous souhaitez configurer le SSO pour les « expéditeurs » (membres d'un compte OneSpan Sign ).
Les paramètres optionnels suivants liés au SSO peuvent être configurés au niveau du compte :
- Forcer l'authentification SSO
- URL de redirection personnalisées
- Modèles de courriels pour les expéditeurs
Forcer l'authentification SSO
Pour obliger les expéditeurs d'un compte à se connecter à OneSpan Sign via SSO, vous devez activer la connexion SSO au niveau du compte. Pour organiser cela, veuillez communiquer avec notre équipe de soutien.
Ce paramètre bloquera l'accès des utilisateurs à OneSpan Sign via sa page de connexion.
URL de redirection personnalisées
En réponse à certains événements, OneSpan Sign redirige par défaut les utilisateurs vers la page de connexion principale de OneSpan Sign.
Cela peut être indésirable en cas d'utilisation du SSO, car un utilisateur type n'aura pas de nom d'utilisateur ou de mot de passe pour cette page (il utilisera plutôt une URL de connexion SSO).
La meilleure pratique consiste à remplacer ces URL de redirection. Vous devez donc fournir les URL de votre choix pour les éléments suivants :
URL | Définition |
---|---|
URL de transfert | Pour obtenir plus d'informations, consultez la section URL de transfert. |
Délai d'expiration de la session pour l'expéditeur | Les expéditeurs seront redirigés vers cette URL lorsque leur session sera terminée. |
Déconnexion de l'expéditeur | Les expéditeurs seront redirigés vers cette URL lorsqu'ils se déconnecteront de l'application OneSpan Sign. |
Délai d'expiration de la session pour le signataire | Les signataires seront redirigés vers cette URL lorsque leur session sera terminée. |
Modèles de courriels pour les expéditeurs
La fonction SAML de OneSpan Sign dispose de modèles de courriels qui peuvent être utilisés pour envoyer des notifications par courriel aux expéditeurs dans les conditions suivantes :
- Vous avez oublié votre mot de passe
-
Refuser
-
Décliner
-
Invitation de compte
-
Expire
-
A rebondi
-
Plainte
-
Hors du bureau
-
Réassigner l'expéditeur
-
Prêt à compléter
-
Verrouillage du signataire
-
Blocage de la connexion
-
Échec du KBA
Les modèles de courriels ci-dessus contiennent la variable $LINK_URL;
qui redirige les expéditeurs vers la page de connexion de OneSpan Sign. Au lieu de cela, vous voudrez rediriger les expéditeurs vers l'URL SSO. Pour organiser cela, veuillez communiquer avec notre équipe de soutien. Remarque : Le passage à l'URL SSO empêche les expéditeurs d'utiliser le lien Mot de passe oublié sur la page principale de OneSpan Sign.
Le courriel d'invitation de compte ne sera pas envoyé aux expéditeurs s'ils sont provisionnés automatiquement lors de la connexion SSO (consultez Configuration d'un compte unique), ou s'ils sont provisionnés via l'API REST ou le SDK.
Configuration du SSO pour les destinataires
Cette section n'est pertinente que si vous voulez configurer le SSO pour les « destinataires » (pas les membres d'un compte OneSpan Sign).
Pour une transaction donnée, l'authentification SSO peut être attribuée à un ou plusieurs « destinataires » de l'une des manières suivantes :
- Configuration du SSO via la nouvelle expérience utilisateur
- Configuration du SSO via le SDK et l'API REST