Timesquare peut s'intégrer à un annuaire client existant en utilisant les types d'authentifications suivants :
- Authentification LDAP (Lightweight Directory Access Protocol) : ce protocole ouvert et multiplateforme est utilisé pour l'authentification des services d'annuaire (par exemple Active Directory). LDAP fournit le langage de communication utilisé par les applications pour communiquer avec d'autres serveurs de services d'annuaire. L'équipe technique Timesquare réalise le paramétrage de l’échange de données entre le serveur Timesquare et l’annuaire LDAP du client qui a été préalablement publié sur internet.
- Authentification SAML2 (Security Assertion Markup Language) : ce protocole ouvert et standardisé est basé sur le langage XML pour échanger des informations d’authentification et d’autorisation entre des entités ou domaines de sécurité. Timesquare utilise le fournisseur d'identité (IdP) du client et paramètre le fournisseur de services (SP) en mode SAML2. Sur une même base, il est possible de faire cohabiter l'authentification SAML2 conjointement avec l'authentification avec identifiant / mot de passe Timesquare.
Mettre en place l'authentification LDAP
L'authentification LDAP est proposée en option.
Elle est utilisable avec un annuaire (par exemple Active Directory) supportant les requêtes au format protocolaire LDAP. Timesquare® vérifie si les contrôles d’identification saisis sur le portail sont corrects avant de donner accès à l’application.
Si ce mode de fonctionnement est retenu, le serveur LDAP du client doit être publié sur internet. Il est souhaitable qu’il soit exposé en mode LDAP.
Une prestation est proposée par Holy-Dis pour réaliser le paramétrage de l’échange de données entre le serveur Timesquare® On Demand et l’annuaire LDAP.
Diagramme des flux
Mettre en place l'authentification SAML
Définition du SSO
Le SSO (Single Sign On en anglais ou authentification unique en français) est un système qui permet à l'utilisateur d'accéder à plusieurs applications sans avoir à s'authentifier chaque fois. C'est une clé unique que je peux utiliser pour accéder à de multiples services, sites web, applications...
Le déroulement de l'authentification en SSO est le suivant :
- Je m'authentifie pour la première fois avec mon identifiant / mot de passe.
- Une fois l'authentification réussie, l'outil de SSO vérifie que j'ai les droits d'accès à l'application à laquelle je veux me connecter.
- En parallèle, le serveur met en place un token. Ce token, reconnu par le SSO, permet de m'authentifier automatiquement les fois suivantes. Je n'aurai donc plus à saisir mon identifiant / mot de passe.
Fonctionnement du SAML
Le SAML est un type d'authentification SSO. Le SAML va gérer le format du message XML, appelé assertion, ainsi que les renseignements nécessaires à l’authentification et le processus d’échange entre deux grands partenaires :
- Le SP (service provider en anglais ou fournisseur de services en français) : entité fournissant le service, généralement sous la forme d'une application.
- L'IdP (identity provider en anglais ou fournisseur d'identité en français) : entité fournissant les identités et la capacité d'authentifier un utilisateur. Il contient généralement le profil de l'utilisateur. Selon l'application, certains fournisseurs de services peuvent exiger un profil très simple (nom d'utilisateur, e-mail), tandis que d'autres peuvent exiger un ensemble plus riche de données utilisateur.
Une demande SAML, également appelée demande d'authentification, est générée par le fournisseur de services pour "demander" une authentification. Elle peut être signée par le SP et vérifiée par l’IdP.
Une réponse (assertion) SAML est le message que l'IdP envoie au SP. Il s’agit d’un document XML signé par l'IdP qui contient tous les détails pour identifier l’utilisateur final. En outre, une réponse SAML peut contenir des informations supplémentaires, telles que des informations de profil d'utilisateur et des informations de groupe/rôle, selon ce que le fournisseur de services peut prendre en charge.
Le fournisseur de services n'interagit jamais directement avec le fournisseur d'identité. Un navigateur joue le rôle d'agent pour effectuer toutes les redirections. Le fournisseur de services doit savoir vers quel fournisseur d'identité rediriger avant de savoir qui est l'utilisateur. Il ne sait pas qui est l'utilisateur tant que l'assertion SAML n'est pas renvoyée par le fournisseur d'identité. Le flux d'authentification SAML est asynchrone. Le fournisseur de services ne sait pas si le fournisseur d'identité terminera un jour l'intégralité du flux. Pour cette raison, le fournisseur de services ne conserve aucun état des demandes d'authentification générées. Lorsque le fournisseur de services reçoit une réponse d'un fournisseur d'identité, la réponse doit contenir toutes les informations nécessaires.
Mettre en place le SAML2 dans Timesquare
L'authentification SAML2 est proposée en option.
Si ce mode de fonctionnement est retenu, cette prestation payante est conduite par Holy-Dis et nécessite la mise en place d’un canal d’interaction entre Timesquare RP (Resource Provider) et le IdP du client.
Concernant la connexion simultanée à Timesquare et My Timesquare par un seul utilisateur ayant potentiellement des rôles de salarié, manager et/ou responsable, il existe des types de connexion sécurisés différents au moment de l’authentification auprès du IdP du client :
- Pour l’utilisateur sur Timesquare
- Pour le salarié sur My Timesquare
- Pour le responsable sur My Timesquare
- Pour le gestionnaire sur My Timesquare
L'attribut SAML utilisé par Timesquare est l'email.
Configuration pour déployer Timesquare en mode SAML2
Diagramme des flux
Fournisseur d'identité (IdP) - Client
Timesquare délègue la responsabilité de l’authentification à l'IdP du client.
Fournisseur de service (SP) - Timesquare
Holy-Dis modifie certains éléments dans le fichier spécifique de configuration Spring applicationXXX.properties.
Côté utilisateurs, chaque compte référencé dans l'IdP doit être présent en base dans Timesquare pour pouvoir s'authentifier depuis Timesquare ou My Timesquare.
Si le compte est bien présent en base en tant que :
- Utilisateur (TSQ) : il doit avoir au moins une affectation de rôle applicatif valide (dont la période inclut le jour de l'authentification).
- Responsable (MYTSQ) : il doit avoir une affectation de rôle responsable valide (dont la période inclut le jour de l'authentification).
- Gestionnaire (MYTSQ) : il doit avoir une affectation de rôle gestionnaire valide (dont la période inclut le jour de l'authentification).
- Salarié (MYTSQ) : il doit avoir une affectation de structure le jour de l'authentification.
Déconnexion de l'application / Changement de compte (SAML)
Pour se déconnecter de Timesquare, ou pour changer de compte (SAML), il est recommandé de se déconnecter à partir du menu utilisateur à droite dans le bandeau.
La déconnexion de l'application implique la déconnexion du SAML. Pour se reconnecter, je dois saisir à nouveau mes identifiants SAML.
Si j'ai quitté Timesquare sans me déconnecter proprement (à partir du menu utilisateur), je ne pourrai pas changer le mode de connexion sans vider le cache de mon navigateur au préalable.
Cohabitation SAML2 et identifiant / mot de passe Timesquare
Sur une même base, il est possible de faire cohabiter l'authentification SAML2 conjointement avec l'authentification avec identifiant / mot de passe Timesquare. Dans ce cas, l'identifiant utilisé par Timesquare est toujours l'email. Pour paramétrer la base pour la double authentification, il est nécessaire de contacter les équipes techniques Holy-Dis. Lorsque la double authentification est activée, toutes les personnes peuvent accéder au lien pour se connecter au SSO. Si elles ne sont pas identifiées dans l'IdP du client, la connexion SSO ne sera pas possible. L'autorisation de connexion avec authentification identifiant / mot de passe Timesquare doit être paramétrée pour chaque compte utilisateur et pour chaque personne.
Dans ce cas, la page de connexion à Timesquare / My Timesquare permet de s'authentifier avec un identifiant / mot de passe Timesquare ou de cliquer sur le bouton Se connecter avec SSO.
Commentaires
0 commentaire
Vous devez vous connecter pour laisser un commentaire.