Vous pouvez configurer un SSO SAML avec Okta.
Voici un aperçu des étapes :
- ajouter une URL personnalisée à la plateforme ;
- faire une demande d’URL de metadonnées ;
- créer une application personnalisée SAML dans Okta ;
- nous envoyer les instructions de configuration ;
- attendre la validation.
1. Ajouter une URL personnalisée à la plateforme
Voir Personnaliser l'adresse URL de la plateforme en conservant la mention ".360learning”.
Dans les étapes suivantes, nous appellerons sous-domaine la partie avant « .360learning.com ».
Exemple :
- Dans https://acme.360learning.com/home, le sous-domaine est « acme ».
2. Faire une demande d’URL de métadonnées
Une fois que vous avez ajouté une URL personnalisée à votre plateforme, envoyez un email à votre CSP ou SA pour demander l’URL de métadonnées de votre plateforme.
L’URL ressemblera à ceci :
- https://app.360learning.com/api/sso/saml/acme/metadata
Remarquez la section acme
vers la fin de l’URL. En vocabulaire Okta, cela s’appellera le SP Entity ID
, et sera nécessaire pour configurer l’application dans Okta. Dans la plupart des cas, il est identique au sous-domaine.
Copiez-le quelque part, nous le réutiliserons dans la partie suivante.
3. Créer une application personnalisée SAML dans Okta
Une fois que vous possédez l’URL de métadonnées, créez une application dans Okta.
- Ouvrez le tableau de bord d’administration Okta (l’URL devrait ressembler à
XXX-admin.okta.com/admin/dashboard
). - Dans la colonne de gauche, cliquez sur
Applications
→Applications
. - En haut, cliquez sur
Create App Integration
. - Sélectionnez
SAML 2.0
. - En bas à droite, cliquez sur
Next
.
3.1 General Settings
- Dans
App name
, entrez le nom de l’application (par exemple : « 360learning »). - En bas à droite, cliquez sur
Next
.
3.2 Configure SAML
- Dans
Single sign on URL
, entrezhttps://app.360learning.com/api/sso/saml/<SP-entity-ID>/postResponse
. - Dans
Audience URI
, entrez "https://app.360learning.com/". - Dans
Name ID format
, sélectionnezEmailAddress
. - Dans
Attribute Statements (optional)
, ajoutez les associations suivantes : - En bas à droite, cliquez sur
Next
.
Vous pouvez modifier les champs optionnels, si vous en êtes familier.
3.3 Feedback
Choisissez une option, puis cliquez sur Finish
en bas à droite.
4. Envoyer les instructions de configuration d’Okta
Une fois l’application créée dans Okta, envoyez un email à votre CSP ou SA, avec les instructions de configuration d’Okta, ainsi que l’ID du groupe sur lequel vous souhaitez activer le SSO, votre choix entre SSO forcé et mixte, et votre choix de règles de provisionnement des utilisateurs. Les sections ci-dessous détaillent chaque élément.
4.1 Copier les instructions de configuration d’Okta
Une fois que vous avez créé la nouvelle application, Okta génère des instructions de configuration, qui nous permettront de la connecter à votre plateforme.
- Ouvrez le tableau de bord d’administration Okta (l’URL devrait ressembler à
XXX-admin.okta.com/admin/dashboard
). - Dans la colonne de gauche, cliquez sur
Applications
→Applications
. - Cliquez sur l’application créée à l’étape précédente.
- En haut, cliquez sur la section
Sign On
. - Dans la section en jaune, cliquez sur
View Setup Instructions
. - Copiez-collez chaque champ dans un email pour votre CSP.
- Identity Provider Single Sign-On URL ;
- Identity Provider Issuer ;
- X.509 Certificate (vous pouvez également cliquer sur
Download certificate
, et nous envoyer le fichier.cert
zippé) ; - IDP metadata (copiez tout ; il y a beaucoup de lignes).
4.2 Trouver l’ID du groupe
Vous pouvez configurer le SSO sur toute votre plateforme, ou sur un groupe privé spécifique.
Voir Trouver l’ID d’un groupe. Si vous souhaitez activer le SSO sur toute la plateforme, choisissez l’ID du groupe plateforme.
4.3 Choisir entre SSO forcé ou SSO mixte
Voir Choisir entre SSO forcé ou SSO mixte.
4.4 Choisir la règle de provisionnement des utilisateurs
Vous pouvez choisir d’activer ou non le provisionnement des utilisateurs.
user provisioning: true
Les utilisateurs autorisés qui ne possèdent pas de compte 360Learning lors de leur première connexion à la plateforme, reçoivent automatiquement un compte créé à la volée, avec le prénom et nom correspondant aux valeurs user.firstName
et user.lastName
dans Okta. L’utilisateur sera créé comme apprenant dans le groupe où le SSO est configuré (défini à l’étape 4.2).
Vous pouvez voir la liste des utilisateurs autorisés dans le tableau de bord d’administration Okta, dans Applications
>Applications
>360Learning
>Assignments
.
user provisioning: false
Les utilisateurs autorisés qui ne possèdent pas de compte 360Learning ne pourront se connecter à la plateforme qu’à partir du moment où vous les invitez, ou leur créez un compte.
Vous pouvez voir la liste des utilisateurs autorisés dans le tableau de bord d’administration Okta, dans Applications
>Applications
>360Learning
>Assignments
.
4.5 Envoyer les informations par email
Vérifiez que l’email contient les éléments suivants :
-
- Identity Provider Single Sign-On URL ;
- Identity Provider Issuer ;
- X.509 Certificate (vous pouvez également cliquer sur
Download certificate
, et nous envoyer le fichier.cert
zippé) ; - IDP metadata (copiez tout ; il y a beaucoup de lignes) ;
- ID du groupe sur lequel activer le SSO ;
- Type du SSO : forcé ou mixte ;
- Règles de provisionnement des utilisateurs : oui ou non.
5. Attendre la validation
Une fois toutes les informations envoyées à votre CSP ou SA, attendez un email de confirmation de notre part, qui vous indiquera l’activation du SSO.
Le SSO sera alors automatiquement activé sur votre plateforme.