SAML pour l'intégration à des fournisseurs d'identité
Le langage Security Assertion Markup Language (SAML) est une norme ouverte basée sur XML destinée à l'authentification et l'autorisation. L'un des avantages clés de la norme SAML réside dans le fait qu'elle permet l'authentification unique (SSO) et minimise par conséquent le nombre de fois où un utilisateur doit se connecter aux applications cloud et sites Web.
Le processus d'authentification implique trois entités :
-
L'utilisateur démarre l'accès à une application ou un service.
-
Le fournisseur d'identité (IdP) est le système fiable utilisé pour l'authentification utilisateur, par exemple, Microsoft Entra ID ou Okta.
-
Le fournisseur de services (SP) est l'application ou le service auquel l'utilisateur souhaite se connecter, par exemple, Qlik Cloud.
Le fournisseur d'identité authentifie l'utilisateur et confirme l'identité de l'utilisateur auprès du fournisseur de services. Cela s'effectue via l'échange numérique de documents XML signés connus sous le nom d'assertions SAML. Ces assertions contiennent des informations sur l'utilisateur, son statut d'authentification et éventuellement des attributs supplémentaires. Le fournisseur de services peut ensuite accorder à l'utilisateur l'accès à ses services. Grâce à l'authentification SSO autorisée par le fournisseur d'identité, l'utilisateur peut accéder à plusieurs sites et applications du fournisseur de services sans avoir à se connecter à chaque site.
SSO par SP et SSO par IdP
SAML supporte les flux de connexion par le fournisseur de services (SP) ou par le fournisseur d'identité (IdP).
Avec l'authentification SSO par le SP, l'utilisateur démarre sur le site du fournisseur de services, mais, au lieu de se connecter au site, l'authentification SSO est démarrée par le biais du fournisseur d'identité. Par exemple, lorsqu'un utilisateur se connecte à Qlik Cloud — le fournisseur de services — la connexion est transférée au fournisseur d'identité, qui gère l'authentification SSO effective.
Avec l'authentification SSO par l'IdP, l'utilisateur se connecte directement au fournisseur d'identité et sélectionne l'application, ce qui démarre l'authentification SSO auprès du fournisseur de services.
Assertions
Les assertions sont des instructions basées sur XML contenant des informations d'authentification et d'autorisation dans un format normalisé. Elles sont générées par le fournisseur d'identité et vérifiées par le fournisseur de services.
Lors de l'intégration à des fournisseurs d'identité, vous devrez peut-être configurer votre application de sorte à pouvoir échanger des assertions SAML en toute sécurité. Cela implique la configuration de relations, d'URL de point de terminaison et d'échange de certificats fiables.
Revendications
Les revendications sont des informations sur un utilisateur qui sont confirmées par le fournisseur d'identité et envoyées au fournisseur de services lors du processus d'authentification. SAML définit un ensemble de revendications standards, notamment des attributs utilisateur tels que le nom et l'e-mail. Vous pouvez modifier le mapping de revendications en fonction des besoins de votre application.
Métadonnées
L'échange de métadonnées entre le fournisseur d'identité (IdP) et le fournisseur de services (SP) est essentiel pour établir une relation de confiance et garantir le bon fonctionnement du protocole SAML.
Métadonnées IdP
La configuration du fournisseur de services nécessite des métadonnées sur le fournisseur d'identité. Dans Qlik Cloud, vous pouvez charger ces informations sous forme de fichiers de métadonnées IdP via le centre d'activités Administration.
Les métadonnées du fournisseur d'identité incluent les détails suivants :
-
L'ID d'entité du fournisseur d'identité.
-
L'URL d'authentification unique (SSO). Il s'agit du point de terminaison auquel les requêtes d'authentification SAML sont envoyées par le fournisseur de services au fournisseur d'identité. Il s'agit de l'URL vers laquelle l'utilisateur est redirigé pour l'authentification.
-
Le certificat de signature utilisé par le fournisseur d'identité pour signer les assertions SAML qu'il envoie au fournisseur de services.
Métadonnées SP
Pour paramétrer la configuration côté fournisseur d'identité, vous avez besoin des métadonnées du fournisseur de services. Vous pouvez obtenir ces informations auprès du centre d'activités Administration dans Qlik Cloud.
Les métadonnées du fournisseur de services incluent les détails suivants :
-
L'ID d'entité du fournisseur de services.
-
L'URL Assertion Consumer Service (ACS). C'est là que le fournisseur d'identité envoie les assertions SAML après l'authentification.
-
Le certificat de signature utilisé par le fournisseur de services pour signer les requêtes d'authentification qu'il envoie au fournisseur d'identité.