Configurer Auth0 comme fournisseur de services SAML

Pour configurer Auth0 en tant que fournisseur de services (SP) dans une fédération , vous devrez créer une connexion d’entreprise dans Auth0, puis mettre à jour votre (IdP) SAML à l’aide des métadonnées de la connexion. Auth0 permet d’utiliser Auth0 comme SP dans les configurations conformes au protocole SAML 1.1 ou SAML 2.0.

Obtenir les métadonnées et le certificat de l’IdP

Vous devrez recueillir certaines métadonnées de configuration auprès de l’IdP pour créer une connexion dans Auth0 :

Champ	Description
URL de connexion	L’URL vers laquelle les requêtes d’authentification SAML sont envoyées. On l’appelle aussi le point de terminaison d’authentification unique (SSO).
URL de déconnexion	L’URL vers laquelle les requêtes de déconnexion SAML sont envoyées. On l’appelle aussi le point de terminaison de déconnexion unique (SLO).
Certificat de signature X509	Le certificat à clé publique dont le SP a besoin pour valider la signature des assertions d’authentification signées numériquement par l’IdP. Auth0 accepte les formats .pem et .cer.

Créer une connexion d’entreprise SAML dans Auth0

Vous pouvez créer une connexion d’entreprise SAML dans l’ ou à l’aide de la d’Auth0 :

Tableau de bord
Management API

Accédez à Dashboard > Authentication > Enterprise et sélectionnez SAML.
Sélectionnez Create Connection.
Configurez les paramètres suivants :

Setting	Description
Connection Name	Saisissez un nom de connexion, par exemple `SAML-SP`.
Sign In URL	Saisissez le Sign In URL que vous avez obtenu auprès de l’IdP.
X509 Signing Certificate	Téléversez le fichier X509 Signing Certificate (au format `.pem` ou `.cer`) que vous avez obtenu auprès de l’IdP.
Enable Sign Out	Activez le champ Sign Out URL.
Sign Out URL	Saisissez le Sign Out URL obtenu auprès de l’IdP.
User ID Attribute	Saisissez l’attribut du jeton SAML qui sera mappé à la propriété `user_id` dans Auth0. S’il n’est pas défini, `user_id` sera récupéré à partir des éléments suivants (dans l’ordre indiqué) : `http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier` `http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn` `http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name`
Debug Mode	Activez Debug Mode pour obtenir une journalisation plus détaillée.
Sign Request	Activez les demandes d’authentification SAML signées.
Sign Request Algorithm	Dans le menu déroulant, sélectionnez l’algorithme de hachage à utiliser.
Sign Request Algorithm Digest	Dans le menu déroulant, sélectionnez l’algorithme à utiliser pour vérifier la validité de l’assertion.
Protocol Binding	Dans le menu déroulant, sélectionnez l’une des options suivantes : `HTTP-Redirect` : permet de transmettre les messages dans les paramètres de l’URL. `HTTP-POST` : permet de transmettre les messages dans un formulaire HTML.
Sync user profile attributes at each login	Activez la synchronisation des attributs du profil utilisateur à chaque connexion.

Sélectionnez Create.

Le point de terminaison Create a Connection de la Management API Auth0 prend en charge les propriétés suivantes sur l’objet options lors de la création d’une connexion SAML :

Champ	Type	Obligatoire ?	Description
`signInEndpoint`	String	Obligatoire	L’URL de connexion de l’IdP.
`signingCert`	String	Obligatoire	Contenu du certificat de signature X509 (au format `.pem` ou `.cer`), encodé en Base64.
`debug`	Booléen	Facultatif	Active ou désactive le mode débogage, ce qui active une journalisation plus détaillée pendant le processus d’authentification. Définissez cette valeur sur `false` pour les connexions utilisées dans des environnements de production.
`destinationUrl`	Chaîne	Facultatif	L’URL à laquelle Auth0 enverra les requêtes d’authentification SAML. Requise uniquement lors de l’utilisation d’une passerelle proxy.
`digestAlgorithm`	Chaîne	Facultatif	L’algorithme utilisé pour chiffrer l’élément de hachage des requêtes d’authentification. Les valeurs acceptées sont `sha256` et `sha1`.
`disableSignout`	Booléen	Facultatif	Active ou désactive l’URL de déconnexion. Si `false`, vous devez fournir une URL de déconnexion pour accepter les requêtes de déconnexion. Si `true`, les requêtes de déconnexion seront envoyées à l’URL de connexion.
`fieldsMap`	Objet	Facultatif	Contient les mappages d’attributs à appliquer aux réponses d’authentification de l’IdP. Par exemple : `"email": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier"`.
`idpinitiated`	Objet	Facultatif	Contient les options du SSO initié par l’IdP : `enabled` : Booléen. Active ou désactive le SSO initié par l’IdP. `client_id` : Chaîne. L’ID client de l’application par défaut. `client_protocol` : Chaîne. Le protocole de réponse utilisé pour communiquer avec l’application par défaut. Les valeurs acceptées sont `oauth2`, `samlp` et `wsfed`. `client_authorizequery` : Chaîne. La chaîne de requête envoyée à l’application par défaut.
`protocolBinding`	Chaîne de caractères	Facultatif	La liaison de protocole utilisée pour les demandes d’authentification. Les valeurs acceptées sont : `urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect` `urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST`
`recipientUrl`	Chaîne de caractères	Facultatif	L’URL à laquelle l’IdP enverra les réponses d’authentification SAML. Requise uniquement si vous utilisez une passerelle proxy.
`signatureAlgorithm`	Chaîne	Facultatif	L’algorithme utilisé pour signer les requêtes d’authentification. Les valeurs acceptées sont `rsa-sha256` et `rsa-sha1`.
`signSAMLRequest`	Booléen	Facultatif	Active ou désactive la signature des requêtes d’authentification envoyées par Auth0.
`user_id_attribute`	Chaîne	Facultatif	Le nom de l’attribut, dans les réponses d’authentification, à mapper à la propriété d’identifiant utilisateur. Ce champ remplacera tout mappage de la propriété `user_id` dans l’objet `fieldsMap`.

Exemple de requête

{
	"strategy": "samlp",
	"name": "example-samlp-connection",
	"options": {
		"signingCert": "{X509_CERTIFICATE_IN_BASE64}",
		"signInEndpoint": "https://example.com/samlp/login",
		"disableSignout": false,
		"signOutEndpoint": "https://example.com/samlp/logout",
		"fieldsMap": {
			"email": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier",
			"user_id": [
				"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress",
				"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn",
				"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name"
			],
			"given_name": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier",
			"address_name": "http://schemas.auth0.com/address_name",
			"address_street_address": "http://schemas.auth0.com/address_street_address"
		},
		"user_id_attribute": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier",
		"idpinitiated": {
			"enabled": true,
			"client_id": "{DEFAULT_APPLICATION_CLIENT_ID}",
			"client_protocol": "oauth2",
			"client_authorizequery": "response_type=code&scope=openid email profile"
		},
		"signSAMLRequest": true,
		"signatureAlgorithm": "rsa-sha256",
		"digestAlgorithm": "sha256",
		"protocolBinding": "urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect",
		"debug": true
	}
}

Configurer une connexion SAML pour les passerelles proxy

Si Auth0 se trouve derrière une passerelle proxy, vous devrez configurer en conséquence les champs destinationUrl et recipientUrl de la connexion SAML.

Récupérez la configuration actuelle de votre connexion SAML à l’aide du point de terminaison Get a connection de la Management API.
Copiez la valeur de l’objet options dans la réponse renvoyée.
Ajoutez les champs suivants à l’objet options :

Champ	Type	Valeur
`destinationUrl`	String	URL de la passerelle proxy.
`recipientUrl`	String	URL de la passerelle proxy.

Appelez le point de terminaison Update a connection de la Management API en incluant l’objet options complet mis à jour dans le corps de la requête.

Personnaliser le modèle de requête

Lorsque Auth0 envoie la requête d’authentification à l’IdP, le corps de la requête contient un objet AuthnRequest. Vous pouvez personnaliser le modèle utilisé pour cet objet :

Accédez à Dashboard > Authentication > Enterprise > SAML, puis sélectionnez votre connexion.
Ouvrez la vue Settings, puis repérez le champ Request Template.
Modifiez le modèle.
Sélectionnez Save Changes.

Variables de modèle

Les variables peuvent être insérées dans le modèle AuthnRequest à l’aide de la syntaxe @@VariableName@@. Les variables suivantes sont disponibles :

Nom	Description
`AssertionConsumerServiceURL`	L’URL à laquelle l’IdP envoie la réponse après que l’utilisateur s’est connecté. Incluez l’attribut `ProtocolBinding` dans le modèle de requête si vous utilisez cette variable.
`Connection.<options-key>`	Utilisez la notation par points sur la clé `Connection` pour accéder à n’importe quelle valeur `options` de la connexion, telle qu’elle est renvoyée par le point de terminaison Get a Connection de la Management API d’Auth0. Par exemple, si la connexion contient `options.some_property: "value"`, vous pouvez utiliser `@@Connection.some_property@@` dans le modèle.
`Destination`	L’URL à laquelle Auth0 envoie la requête. Il s’agit de l’URL de connexion configurée pour la connexion.
`ID`	L’ID de la transaction.
`IssueInstant`	L’horodatage de la transaction.
`Issuer`	L’ID d’entité du SP au format `urn`. Par exemple, `urn:auth0:<YOUR_AUTH0_TENANT_NAME>:<YOUR_AUTH0_CONNECTION_NAME>`.
`LoginHint`	Le nom d’utilisateur ou le courriel de l’utilisateur qui se connecte. Si vous utilisez Identifier First Authentication, Auth0 peut envoyer cette valeur à l’IdP pour préremplir le champ correspondant dans le formulaire de connexion de l’IdP.
`ProtocolBinding`	Le type de liaison du protocole.
`ProviderName`	Le nom de l’application qui a lancé la requête. Cette variable renvoie toujours le nom du locataire Auth0.
`AssertServiceURLAndDestination`	Obsolète. Pour les nouvelles configurations, utilisez plutôt `AssertionConsumerServiceURL` et `Destination`.

Configurer l’IdP

Accédez à Paramètres de configuration du fournisseur d’identité SAML pour trouver les métadonnées que vous devrez fournir à l’IdP. Auth0 prend en charge tous les fournisseurs d’identité (IdP) SAML conformes au protocole SAML 1.1 ou SAML 2.0. Vous trouverez ci-dessous des instructions détaillées pour configurer certains fournisseurs.

Tester la connexion

Pour tester votre connexion dans le Dashboard :

Accédez à Dashboard > Authentication > Enterprise > SAML.
Repérez la connexion que vous avez créée, sélectionnez l’icône de menu … (trois points), puis cliquez sur Try.
Une page Universal Login s’affichera et vous demandera d’entrer vos identifiants.
Entrez l’adresse courriel d’un utilisateur qui existe dans l’IdP. Si vous avez configuré la Home Realm Discovery, assurez-vous d’entrer une adresse courriel utilisant l’un des domaines indiqués.
Après avoir été redirigé vers l’écran de connexion de l’IdP, connectez-vous comme d’habitude.
Vous serez redirigé vers une page d’Auth0 qui affiche le contenu de l’assertion d’authentification envoyée à Auth0 par l’IdP.

Résoudre les problèmes de connexion

Si votre connexion ne fonctionne pas comme prévu, essayez les étapes suivantes :

Effacez l’historique, les témoins et la mémoire cache de votre navigateur avant chaque test. Sinon, le navigateur pourrait ne pas prendre en compte les renseignements de configuration les plus récents ou utiliser des témoins périmés qui nuisent à l’exécution.
Assurez-vous que votre navigateur autorise les témoins et que JavaScript est activé.
Capturez un fichier HAR de la transaction, puis utilisez le Auth0 SAML Tool pour décoder l’assertion SAML et en examiner le contenu.

​Obtenir les métadonnées et le certificat de l’IdP

​Créer une connexion d’entreprise SAML dans Auth0

​Exemple de requête

​Configurer une connexion SAML pour les passerelles proxy

​Personnaliser le modèle de requête

​Variables de modèle

​Configurer l’IdP

​Tester la connexion

​Résoudre les problèmes de connexion