Obtenez le certificat de signature auprès de l’IdP
Avec SAML Login, Auth0 agit comme fournisseur de services. Vous devrez donc récupérer un certificat de signature X.509 auprès de l’IdP SAML (au format PEM ou CER) ; vous le téléverserez ensuite dans Auth0. Les méthodes pour récupérer ce certificat varient, alors consultez la documentation de votre IdP si vous avez besoin d’aide supplémentaire.
Vous pouvez utiliser le ou l’ pour téléverser le certificat de signature X.509. Si vous utilisez Management API, vous devez convertir le fichier en Base64. Pour ce faire, utilisez soit un outil en ligne simple, soit exécutez la commande Bash suivante : cat signing-cert.crt | base64.
Si vos assertions SAML sont chiffrées, vous devez configurer des valeurs supplémentaires pour votre connexion afin d’indiquer à Auth0 comment effectuer le déchiffrement.
Ensuite, vous devrez créer et configurer une connexion d’entreprise SAML dans Auth0, puis téléverser votre certificat de signature X.509. Cette opération peut être effectuée à l’aide d’Auth0 Dashboard ou de la Management API.
Entrez les détails de votre connexion, puis sélectionnez Créer :
Champ
Description
Nom de la connexion
Identifiant logique de votre connexion; il doit être unique pour votre locataire et correspondre au nom utilisé lors de la configuration de l’URL de retour et de l’ID d’entité auprès de l’IdP. Une fois défini, ce nom ne peut plus être modifié.
URL de connexion
URL de connexion unique SAML.
Certificat de signature X.509
Certificat de signature (encodé en PEM ou CER) que vous avez récupéré plus tôt auprès de l’IdP dans ce processus.
Activer la déconnexion
Lorsque cette option est activée, vous pouvez définir une URL de déconnexion précise. Sinon, l’URL de connexion est utilisée par défaut.
URL de déconnexion (facultatif)
URL de déconnexion unique SAML.
Attribut d’ID utilisateur (facultatif)
Attribut du jeton SAML qui sera mappé à la propriété user_id dans Auth0.
Mode débogage
Lorsque cette option est activée, une journalisation plus détaillée est effectuée pendant le processus d’authentification.
Signer la requête
Lorsque cette option est activée, la requête d’authentification SAML est signée. (Assurez-vous de télécharger et de fournir le certificat correspondant afin que l’IdP SAML puisse valider la signature des assertions.)
Algorithme de signature de la requête
Algorithme qu’Auth0 utilisera pour signer les assertions SAML.
Algorithme d’empreinte de la requête signée
Algorithme qu’Auth0 utilisera pour l’empreinte de la requête signée.
Liaison de protocole
Liaison HTTP prise en charge par l’IdP.
Modèle de requête (facultatif)
Modèle qui met en forme la requête SAML.
3. Dans la vue Provisioning, configurez la façon dont les profils utilisateur sont créés et mis à jour dans Auth0.
Champ
Description
Synchroniser les attributs du profil utilisateur à chaque connexion
Lorsque cette option est activée, Auth0 synchronise automatiquement les données du profil utilisateur à chaque connexion de l’utilisateur, ce qui garantit que les modifications apportées dans la source de connexion sont automatiquement répercutées dans Auth0.
Synchroniser les profils utilisateur à l’aide de SCIM
Lorsque cette option est activée, Auth0 permet de synchroniser les données du profil utilisateur à l’aide de SCIM. Pour en savoir plus, consultez Configurer Inbound SCIM.
Dans la vue Expérience de connexion, configurez la façon dont les utilisateurs se connectent avec cette connexion.
Cette option affiche les choix suivants pour personnaliser le bouton de connexion de votre application.
Nom d’affichage du bouton (facultatif)
Texte utilisé pour personnaliser le bouton de connexion dans Universal Login. Lorsqu’il est défini, le bouton affiche : « Continuer avec {nom d’affichage du bouton} ».
URL du logo du bouton (facultatif)
URL de l’image utilisée pour personnaliser le bouton de connexion dans Universal Login. Lorsqu’elle est définie, le bouton de connexion Universal Login affiche l’image dans un carré de 20 px sur 20 px.
Les champs facultatifs sont offerts uniquement avec Universal Login. Les clients qui utilisent Classic Login ne verront pas le bouton Ajouter, le nom d’affichage du bouton ni l’URL du logo du bouton.
Si vous disposez des autorisations administratives nécessaires pour terminer l’intégration, cliquez sur Continuer pour en savoir plus sur les paramètres personnalisés requis pour configurer votre IdP. Sinon, fournissez l’URL indiquée à votre administrateur afin qu’il puisse ajuster les paramètres requis.
Créer une connexion d’entreprise à l’aide de la Management API
Vous pouvez aussi utiliser la Management API pour créer votre connexion SAML. Dans ce cas, vous pouvez choisir d’indiquer manuellement chaque champ de configuration SAML ou de fournir un document de métadonnées SAML contenant les valeurs de configuration.
Créer une connexion à l’aide des valeurs spécifiées
Effectuez un appel POST au point de terminaison Create a Connection. Assurez-vous de remplacer les valeurs de remplacement MGMT_API_ACCESS_TOKEN, CONNECTION_NAME, SIGN_IN_ENDPOINT_URL, SIGN_OUT_ENDPOINT_URL et BASE64_SIGNING_CERT par votre de la Management API, le nom de la connexion, l’URL de connexion, l’URL de déconnexion et le certificat de signature encodé en Base64 (au format PEM ou CER), respectivement.
Au lieu de spécifier chaque champ de configuration SAML, vous pouvez indiquer un document de métadonnées SAML contenant les valeurs de configuration. Lorsque vous indiquez un document de métadonnées SAML, vous pouvez fournir soit le contenu XML du document (metadataXml), soit l’URL du document (metadataUrl). Lorsque vous fournissez l’URL, le contenu n’est téléchargé qu’une seule fois; la connexion ne sera pas automatiquement reconfigurée si le contenu à cette URL change ultérieurement.
Fournir le contenu du document de métadonnées
Utilisez l’option metadataXml pour fournir le contenu du document :
Fournissez l’URL d’un document de métadonnées
Utilisez l’option metadataUrl pour indiquer l’URL du document :Si vous fournissez l’URL, le contenu n’est téléchargé qu’une seule fois; la connexion ne sera pas reconfigurée automatiquement si le contenu de l’URL change par la suite.
Actualiser les informations d’une connexion existante à l’aide de l’URL des métadonnées
Ce processus fonctionne uniquement si la connexion a été créée manuellement avec metadataUrl.
Si vous avez une implémentation B2B et que vous fédérez vers Auth0 avec votre propre fournisseur d’identité SAML, vous devrez peut-être actualiser les informations de connexion stockées dans Auth0, par exemple en cas de changement de certificat de signature, de modification de l’URL du point de terminaison ou d’ajout de nouveaux champs d’assertion. Auth0 le fait automatiquement pour les connexions ADFS, mais pas pour les connexions SAML.Vous pouvez créer un processus par lots (tâche cron) pour effectuer une actualisation périodique. Ce processus peut s’exécuter toutes les quelques semaines et envoyer un appel PATCH au point de terminaison /api/v2/connections/CONNECTION_ID, avec un corps contenant {options: {metadataUrl: '$URL'}}, où $URL est la même URL de métadonnées que celle utilisée pour créer la connexion. Utilisez l’URL de métadonnées pour créer une nouvelle connexion temporaire, puis comparez les propriétés de l’ancienne et de la nouvelle connexion. S’il y a des différences, mettez à jour la nouvelle connexion, puis supprimez la connexion temporaire.
Créez une connexion SAML avec options.metadataUrl. L’objet de connexion sera rempli avec les informations provenant des métadonnées.
Mettez à jour le contenu des métadonnées à l’URL.
Envoyez une requête PATCH au point de terminaison /api/v2/connections/CONNECTION_ID avec {options: {metadataUrl: '$URL'}}. L’objet de connexion est alors mis à jour avec le nouveau contenu des métadonnées.
Si vous utilisez le paramètre options, vous remplacez l’objet options au complet. Assurez-vous que tous les paramètres sont présents.
Pour spécifier un ID d’entité personnalisé, utilisez la Management API afin de remplacer la valeur par défaut urn:auth0:YOUR_TENANT:YOUR_CONNECTION_NAME. Définissez la propriété connection.options.entityID au moment de créer la connexion ou en mettant à jour une connexion existante.L’exemple JSON ci-dessous permet de créer une nouvelle connexion SAML à l’aide de l’URL des métadonnées de l’IdP SAML, tout en spécifiant un ID d’entité personnalisé. L’ID d’entité demeure unique, puisqu’il est créé à partir du nom de la connexion.
Ce type de connexion prend en charge un point de terminaison de révocation globale des jetons, qui permet à un fournisseur d’identité compatible de révoquer les sessions des utilisateurs Auth0, de révoquer les et de déclencher une déconnexion par canal arrière pour les applications qui utilisent un canal arrière sécurisé.Cette fonctionnalité peut être utilisée avec Universal Logout dans Okta Workforce Identity.Pour en savoir plus et obtenir les instructions de configuration, consultez Universal Logout.
Authentification
Gérer les utilisateurs
Personnaliser
Auth0 AI
Plateforme
