Passer au contenu principal
Vous pouvez utiliser Auth0 comme dans des configurations utilisant SAML 2.0.

Intégrations SSO avec prise en charge intégrée d’Auth0

  1. Accédez à Dashboard > Applications > SSO Integrations et sélectionnez Create SSO Integration.
  2. Choisissez une intégration SSO avec un fournisseur d’identité. À l’écran suivant, cliquez sur Continue.
  3. Entrez les renseignements requis pour le fournisseur sélectionné, puis cliquez sur Save.
Dans la vue Tutorial, vous verrez des instructions de configuration supplémentaires propres à l’intégration que vous avez choisie. Certaines intégrations SSO s’appuient sur le module complémentaire SAML2 Web App.

Configurer manuellement les intégrations SSO

Vous pouvez configurer manuellement une intégration SAML avec le module complémentaire SAML2 Web App dans . Vous pouvez configurer le module complémentaire SAML en suivant les instructions à l’écran et en utilisant les renseignements disponibles dans les paramètres du fournisseur de services.

Récupérez l’Application Callback URL auprès du fournisseur de services

Récupérez auprès du fournisseur de services l’URL à laquelle l’assertion d’authentification SAML doit être envoyée. Cette URL peut être appelée URL du service consommateur d’assertions, URL de retour POST ou URL de rappel.

Configurer le SSO SAML dans Auth0

  1. Accédez à Dashboard > Applications > Applications, puis créez une nouvelle application ou cliquez sur le nom de l’application à configurer.
  2. Faites défiler la page jusqu’en bas de Settings, puis cliquez sur Advanced Settings.
  3. Sélectionnez l’onglet Certificates, cliquez sur Download Certificates, puis choisissez le format PEM. Le certificat sera téléchargé dans un fichier nommé {yourTenant}.pem. Enregistrez ce fichier; vous devrez le téléverser lorsque vous configurerez le fournisseur de services.
    Onglet Certificates dans les paramètres avancés de Dashboard Applications
  4. Sélectionnez l’onglet Endpoints et repérez SAML Protocol URL. Copiez-la et enregistrez-la. Vous devrez la fournir au fournisseur de services.
  5. Revenez en haut de la page et sélectionnez l’onglet Addons.
  6. Activez le bouton bascule SAML2 Web App.
    L’activation simultanée des modules complémentaires SAML et WS-Fed pour une seule application n’est pas prise en charge et peut entraîner un comportement incohérent. Utilisez une application distincte pour chaque module complémentaire.
  7. Dans l’onglet Settings, saisissez l’Application Callback URL du fournisseur de services (ou de l’application) vers laquelle les assertions SAML doivent être envoyées une fois l’utilisateur authentifié par Auth0. Il s’agit de l’URL du service consommateur d’assertions (ACS).
    Onglet Settings de SAML2 Web App dans Dashboard Applications Applications Addons
    L’ajout d’une URL de rappel autorisée au module complémentaire SAML2 ajoute également cette URL comme premier élément de la liste Allowed Callback URLs de l’application. Cela aura une incidence sur les fonctionnalités qui utilisent la première URL de cette liste comme valeur par défaut.De plus, si la première URL de la liste Allowed Callback URLs de l’application est ensuite mise à jour ou modifiée, ce changement sera répercuté dans le module complémentaire SAML2, ce qui pourrait nuire à son fonctionnement.
  8. Faites défiler jusqu’au bas de l’onglet et cliquez sur Enable.
  9. Si votre fournisseur de services envoie plusieurs URL ACS dans la requête SAML, vous devrez les ajouter à la liste d’autorisation en accédant à l’onglet Settings de votre application, en repérant Allowed Callback URLs et en les ajoutant.

Configurer le SSO SAML sur le fournisseur de services

  1. Accédez à l’onglet Usage du module complémentaire SAML pour consulter les renseignements nécessaires à la configuration de l’application du fournisseur de services.
    Tableau de bord Applications Applications Modules complémentaires Onglet Usage SAML2 Application Web
  2. Repérez Identity Provider Metadata, puis cliquez sur Download pour télécharger le fichier de métadonnées. Ajoutez ensuite ces renseignements au fournisseur de services afin qu’il sache comment envoyer des requêtes d’authentification SAML à Auth0. Les instructions fournies ici sont génériques. Vous devrez repérer les écrans et les champs appropriés dans le fournisseur de services.
  • Si le fournisseur de services prend en charge le téléversement d’un fichier de métadonnées, fournissez l’URL des métadonnées obtenue dans l’onglet Usage du module complémentaire SAML2 Web.
  • Si le fournisseur de services ne prend pas en charge le téléversement d’un fichier de métadonnées, configurez les paramètres manuellement à l’aide des renseignements de la vue Usage du module complémentaire SAML.
    • Pour l’URL de connexion, utilisez Identity Provider Login URL, c’est-à-dire l’URL vers laquelle le fournisseur de services doit envoyer ses requêtes d’authentification SAML.
    • Si vous avez un domaine personnalisé, utilisez l’URL basée sur ce domaine plutôt que votre domaine Auth0. Au lieu d’utiliser une URL dans ce format : https://{yourTenant}.auth0.com/samlp/CLIENTID?connection=Username-Password-Authentication utilisez-en une dans ce format : https://{yourCustomDomain}/samlp/CLIENTID?connection=Username-Password-Authentication.
    • Si vous utilisez les organisations, vous pouvez diriger les utilisateurs vers l’écran de connexion d’une organisation précise en fournissant un ID d’organisation dans la chaîne de requête au moyen du paramètre organization. Vous pouvez aussi, au besoin, préciser la connexion en ajoutant le paramètre connection. Exemple : https://{yourTenant}.auth0.com/samlp/CLIENTID?connection=Acme-Saml-Connection&organization=org_123456789
    • Si le fournisseur de services comporte aussi un champ pour une URL de déconnexion, entrez de nouveau Identity Provider Login URL; la connexion et la déconnexion sont toutes deux gérées par la même URL.
  • Téléchargez le certificat à partir de la vue Usage du module complémentaire SAML et fournissez-le au fournisseur de services. Ce certificat servira à valider la signature des assertions d’authentification SAML envoyées par Auth0 au fournisseur de services. Si le fournisseur de services demande un Issuer, vous pouvez aussi l’obtenir dans la vue Usage du module complémentaire SAML.

Configuration de test

Une fois la configuration ci-dessus terminée, testez la connexion.
  • Si votre application ne fonctionne pas du premier coup, effacez l’historique de votre navigateur et, idéalement, les témoins avant chaque test. Sinon, le navigateur pourrait ne pas charger la plus récente version de votre page HTML, ou il pourrait conserver des témoins périmés qui nuisent à l’exécution.
  • Pour faciliter le dépannage du SSO, capturez une trace HTTP de l’interaction. De nombreux outils peuvent capturer le trafic HTTP de votre navigateur à des fins d’analyse.
    • Cherchez « HTTP Trace » sur le Web pour trouver et installer un outil.
    • Capturez la séquence de connexion du début à la fin et analysez la trace. Suivez la séquence des requêtes GET pour voir jusqu’où la séquence attendue se déroule correctement. Vous devriez voir une redirection de votre site d’origine vers le SP, puis vers l’IdP, l’envoi des identifiants si vous avez dû vous connecter, puis une redirection vers l’URL de rappel ou le SP, suivie d’une redirection vers l’URL de rappel spécifiée dans votre application.
  • Assurez-vous que les témoins et JavaScript sont activés dans votre navigateur.
  • Utilisez l’outil http://samltool.io pour décoder une assertion SAML.

En savoir plus