Configurer un SSO SAML avec Okta

  • Mise à jour

Vous pouvez configurer un SSO SAML avec Okta.

Voici un aperçu des étapes :

  1. ajouter une URL personnalisée à la plateforme ;
  2. faire une demande d’URL de metadonnées ;
  3. créer une application personnalisée SAML dans Okta ;
  4. nous envoyer les instructions de configuration ;
  5. attendre la validation.

1. Ajouter une URL personnalisée à la plateforme

Voir Personnaliser l'adresse URL de la plateforme en conservant la mention ".360learning”.

Dans les étapes suivantes, nous appellerons sous-domaine la partie avant « .360learning.com ».

Exemple :

  • Dans https://acme.360learning.com/home, le sous-domaine est « acme ».

2. Faire une demande d’URL de métadonnées

Une fois que vous avez ajouté une URL personnalisée à votre plateforme, envoyez un email à votre CSP ou SA pour demander l’URL de métadonnées de votre plateforme.

L’URL ressemblera à ceci :

  • https://app.360learning.com/api/sso/saml/acme/metadata

Remarquez la section acme vers la fin de l’URL. En vocabulaire Okta, cela s’appellera le SP Entity ID, et sera nécessaire pour configurer l’application dans Okta. Dans la plupart des cas, il est identique au sous-domaine.

Copiez-le quelque part, nous le réutiliserons dans la partie suivante.

3. Créer une application personnalisée SAML dans Okta

Une fois que vous possédez l’URL de métadonnées, créez une application dans Okta.

  1. Ouvrez le tableau de bord d’administration Okta (l’URL devrait ressembler à XXX-admin.okta.com/admin/dashboard)
  2. Dans la colonne de gauche, cliquez sur Applications>Applications
  3. En haut, cliquez sur Create App Integration
  4. Sélectionnez SAML 2.0
  5. En bas à droite, cliquez sur Next

3.1 General Settings

  1. Dans App name, entrez le nom de l’application (par exemple : « 360learning »
  2. En bas à droite, cliquez sur Next

3.2 Configure SAML

  1. Dans Single sign on URL, entrez https://app.360learning.com/api/sso/saml/<SP-entity-ID>/postResponse
    • Remplacez <SP-entity-ID> avec le SP entity ID que vous avez copié à l’étape 2.
    • Vous pouvez également trouver l’URL exacte en ouvrant l’URL de metadata de l’étape 2, puis en cherchant l’URL contenant /postResponse à la fin

      Image_2021-09-21_at_9.05.25_AM.jpg

  2. Dans Audience URI, entrez "https://app.360learning.com/"
  3. Dans Name ID format, sélectionnez EmailAddress
  4. Dans Attribute Statements (optional), ajoutez les associations suivantes
    • Name: givenname / Value: user.firstName
    • Name: surname / Value: user.lastName
    • Name: emailaddress / Value: user.email

      Image_2021-09-10_at_12.21.19_PM.jpg

  5. En bas à droite, cliquez sur Next

Vous pouvez modifier les champs optionnels, si vous en êtes familier.

3.3 Feedback

Choisissez une option, puis cliquez sur Finish en bas à droite.

4. Envoyer les instructions de configuration d’Okta

Une fois l’application créée dans Okta, envoyez un email à votre CSP ou SA, avec les instructions de configuration d’Okta, ainsi que l’ID du groupe sur lequel vous souhaitez activer le SSO, votre choix entre SSO forcé et mixte, et votre choix de règles de provisionnement des utilisateurs. Les sections ci-dessous détaillent chaque élément.

4.1 Copier les instructions de configuration d’Okta

Une fois que vous avez créé la nouvelle application, Okta génère des instructions de configuration, qui nous permettront de la connecter à votre plateforme.

  1. Ouvrez le tableau de bord d’administration Okta (l’URL devrait ressembler à XXX-admin.okta.com/admin/dashboard)
  2. Dans la colonne de gauche, cliquez sur Applications>Applications
  3. Cliquez sur l’application créée à l’étape précédente
  4. En haut, cliquez sur la section Sign On
  5. Dans la section en jaune, cliquez sur View Setup Instructions
  6. Copiez-collez chaque champ dans un email pour votre CSP
    • Identity Provider Single Sign-On URL ;
    • Identity Provider Issuer ;
    • X.509 Certificate (vous pouvez également cliquer sur Download certificate, et nous envoyer le fichier .cert zippé) ;
    • IDP metadata (copiez tout ; il y a beaucoup de lignes).

4.2 Trouver l’ID du groupe

Vous pouvez configurer le SSO sur toute votre plateforme, ou sur un groupe privé spécifique.

  1. Dans la page d’accueil, dans la colonne de gauche, cliquez sur un groupe (si vous souhaitez activer le SSO sur toute la plateforme, cliquez sur le groupe plateforme)
  2. Dans la barre de recherche de votre navigateur, copiez la chaîne de caractères après .../group/
    • l’URL devrait ressembler à https://subdomain.360learning.com/group/<GROUP-ID>
    • Exemple : https://share.getcloudapp.com/eDuRr8Am

4.3 Choisir entre SSO forcé ou SSO mixte

Voir Choisir entre SSO forcé ou SSO mixte.

4.4 Choisir la règle de provisionnement des utilisateurs

Vous pouvez choisir d’activer ou non le provisionnement des utilisateurs.

user provisioning: true

Les utilisateurs autorisés qui ne possèdent pas de compte 360Learning lors de leur première connexion à la plateforme, reçoivent automatiquement un compte créé à la volée, avec le prénom et nom correspondant aux valeurs user.firstName et user.lastName dans Okta. L’utilisateur sera créé comme apprenant dans le groupe où le SSO est configuré (défini à l’étape 4.2).

Vous pouvez voir la liste des utilisateurs autorisés dans le tableau de bord d’administration Okta, dans Applications>Applications>360Learning>Assignments.

user provisioning: false

Les utilisateurs autorisés qui ne possèdent pas de compte 360Learning ne pourront se connecter à la plateforme qu’à partir du moment où vous les invitez, ou leur créez un compte.

Vous pouvez voir la liste des utilisateurs autorisés dans le tableau de bord d’administration Okta, dans Applications>Applications>360Learning>Assignments.

4.5 Envoyer les informations par email

Vérifiez que l’email contient les éléments suivants :

  • Identity Provider Single Sign-On URL ;
  • Identity Provider Issuer ;
  • X.509 Certificate (vous pouvez également cliquer sur Download certificate, et nous envoyer le fichier .cert zippé) ;
  • IDP metadata (copiez tout ; il y a beaucoup de lignes) ;
  • ID du groupe sur lequel activer le SSO ;
  • Type du SSO : forcé ou mixte ;
  • Règles de provisionnement des utilisateurs : oui ou non.

Attendre la validation

Une fois toutes les informations envoyées à votre CSP ou SA, attendez un email de confirmation de notre part, qui vous indiquera l’activation du SSO.

Visitez notre blog pour plus de ressources sur le Collaborative Learning.