Activez et configurez une intégration Single Sign On ( SSO ) pour votre application Case IQ sur la page « Single Sign On ( SSO ) » dans Paramètres. Avec une intégration SSO, les utilisateurs peuvent se connecter à Case IQ en utilisant les mêmes informations de connexion provenant d'une autre application, généralement le système d'information sur les ressources humaines (SIRH) de leur organisation.

Il existe deux méthodes que vous pouvez utiliser pour configurer une intégration SSO : (1) télécharger des métadonnées ou (2) configurer manuellement tous les paramètres. Cet article couvrira les deux méthodes pour activer une connexion SSO, comment générer des métadonnées Case IQ et comment mapper les champs de votre fournisseur d'identité aux champs du compte utilisateur Case IQ.

Vous pouvez activer une intégration SSO sur la page Options sous l'onglet Système dans Paramètres en plus de la page « Single Sign On ( SSO ) » dans l'onglet Accès. Si vous mettez à jour les configurations SSO sur l'une ou l'autre page, vos modifications seront reflétées sur la page « Single Sign On ( SSO ) », la page Options et l'application. Cet article illustrera les étapes pour activer une intégration SSO sur la page « Single Sign On ( SSO ) » dans l'onglet Accès. Consultez l'article Options pour plus de détails sur l'utilisation de la page Options.

Cet article utilise plusieurs termes techniques pour expliquer le fonctionnement d'une intégration SSO. Consultez un glossaire des termes SSO importants ci-dessous :

• Fournisseur d'identité : l'application qui envoie des informations sur vos utilisateurs pour les authentifier dans Case IQ. Généralement, les organisations utilisent leur système d'information sur les ressources humaines (SIRH) comme fournisseur d'identité dans les intégrations SSO.
• Fournisseur de services : l'application qui reçoit des informations sur vos utilisateurs et à laquelle les utilisateurs accèdent via une intégration SSO. Dans ce cas, Case IQ est le fournisseur de services.
• Métadonnées : un fichier XML contenant l'un des certificats et une URL du fournisseur pour aider à établir une communication SAML entre le fournisseur d'identité et le fournisseur de services. Case IQ peut consommer les métadonnées de votre fournisseur d'identité et générera des métadonnées en tant que fournisseur de services après avoir enregistré le formulaire d'authentification unique.

Méthode de téléchargement des métadonnées

Vous pouvez configurer rapidement l'intégration SSO en téléchargeant un fichier de métadonnées dans Case IQ. Les métadonnées contiennent le certificat du fournisseur et l'URL au format XML pour faciliter la configuration d'une communication SAML entre le fournisseur d'identité et le fournisseur de services.

Tout d'abord, téléchargez les métadonnées de votre fournisseur d'identité dans Case IQ. Vous pouvez télécharger des métadonnées sur la page « Single Sign On ( SSO ) » :

• Cliquez sur le menu de la page et sélectionnez l'option « Télécharger les métadonnées ». Faites glisser et déposez ou utilisez un navigateur de fichiers pour télécharger un fichier de métadonnées dans la fenêtre contextuelle Télécharger le fichier, puis cliquez sur Terminé pour continuer. Vous pouvez télécharger un fichier de métadonnées depuis votre fournisseur d'identité, qui sera un fichier « .xml ».
• Sélectionnez le bouton Modifier, collez l'URL de votre fournisseur d'identité dans le champ « Point de terminaison du fournisseur d'identité », puis cliquez sur le bouton Télécharger à côté du champ. L'URL de votre fournisseur d'identité ressemblera à cet exemple d'URL : "https://report04. Case IQ lab.com/simplesaml/saml2/idp/metadata.php".

Après avoir soumis les métadonnées en utilisant l'un ou l'autre processus, le message « Télécharger les métadonnées ? » Une fenêtre contextuelle s'affichera. Suivez les étapes suivantes pour terminer la configuration de votre intégration SSO :

1. Cliquez sur Confirmer dans la section « Télécharger les métadonnées ? » La fenêtre contextuelle et les champs « Certificat du fournisseur d'identité », « Point de terminaison du fournisseur d'identité » et « Format de l'identifiant » seront renseignés dans le formulaire « Single Sign On ( SSO ) », mais vos paramètres de configuration ne seront pas encore soumis.
2. Remplissez le champ « Mappage des identifiants » pour indiquer le champ de données requis pour la création de comptes Case IQ, comme l'adresse e-mail ou le prénom. Le champ que vous choisissez indiquera à Case IQ comment connecter les informations du fournisseur d'identité aux profils utilisateur Case IQ et rechercher les profils utilisateur existants.
3. Remplissez le champ « Mappage des données d'identifiant » pour choisir l'attribut du fournisseur d'identité à mapper au champ de données que vous sélectionnez dans « Mappage des données d'identifiant ». Par exemple, si vous sélectionnez « E-mail » dans « Mappage d'identifiants », saisissez la valeur d'attribut du champ e-mail dans votre fournisseur d'identité. L'exemple d'attribut de mappage de données d'identité suivant a été utilisé dans la vidéo ci-dessous pour le courrier électronique : "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress".
4. Définissez le champ « Activé » sur « Oui ».
5. Cliquez sur le bouton Enregistrer et votre intégration SSO sera activée.

Méthode de configuration manuelle

Vous pouvez choisir d'activer manuellement une intégration SSO en remplissant le formulaire d'authentification unique. Cliquez sur le bouton Modifier et le formulaire SSO sera en mode édition afin que vous puissiez mettre à jour les champs. Voir une explication de tous les champs du formulaire SSO ci-dessous.

• Activé : cliquez sur « Oui » pour commencer à configurer votre intégration SSO. Par défaut, « Activé » sera défini sur « Non ». Si vous souhaitez désactiver votre intégration SSO existante, cliquez sur « Non ».
• Protocole : sélectionnez « SAML 2.0 ». Il s'agit actuellement du seul protocole pris en charge par Case IQ.
• Provisionnement automatique des utilisateurs activé : choisissez si Case IQ doit ajouter automatiquement des comptes d'utilisateurs en fonction des informations qu'il extrait du fournisseur d'identité.
  • Si vous souhaitez que Case IQ crée automatiquement des comptes Case IQ pour vos utilisateurs via l'intégration SSO, cliquez sur « Oui ». Case IQ créera un compte utilisateur lorsqu'une personne obtient pour la première fois l'accès à Case IQ via la connexion SSO. Si les informations d'authentification de l'utilisateur sont supprimées du fournisseur d'identité, le compte utilisateur Case IQ restera actif mais la personne ne pourra pas se connecter à Case IQ.
  • Sélectionnez « Non » si vous comptez créer manuellement des comptes d'utilisateurs Case IQ. Dans ce cas, un utilisateur ne pourra pas se connecter à Case IQ via SSO à moins que : (1) le compte Case IQ soit créé avant que l'individu ne tente de se connecter, et (2) son compte Case IQ soit défini comme " SSO utilisateur » sur son profil utilisateur.
• Rôle utilisateur de secours : si vous sélectionnez « Oui » pour « Provisionnement automatique des utilisateurs activé », choisissez le rôle utilisateur par défaut pour les comptes Case IQ créés via SSO. Vous pourrez également choisir comment Case IQ doit attribuer des rôles d'utilisateur distincts aux comptes en fonction des informations du fournisseur d'identité dans la section Mappage des utilisateurs (voir la section suivante de cet article pour plus de détails).
• Point de terminaison du fournisseur d'identité : collez ou saisissez l'URL de votre fournisseur d'identité dans la zone de texte, ce qui indiquera à Case IQ à partir de quelle source accepter les informations d'authentification. L'URL de votre fournisseur d'identité ressemblera à cet exemple d'URL : "https://report04. Case IQ lab.com/simplesaml/saml2/idp/metadata.php".
  • Si vous souhaitez télécharger les métadonnées de votre fournisseur d'identité (voir la section Méthode de téléchargement des métadonnées de cet article ci-dessus), vous pouvez cliquer sur le bouton Télécharger ( ) à côté du champ « Identity Provider Endpoint » pour télécharger les métadonnées et remplir automatiquement le formulaire avec les paramètres de configuration.
• Certificat de fournisseur d'identité : copiez votre certificat de fournisseur d'identité depuis les paramètres de votre application de fournisseur d'identité et collez-le dans le champ « Certificat de fournisseur d'identité ». Le certificat du fournisseur d'identité apparaîtra sous la forme de nombreuses lignes de caractères alphanumériques aléatoires.
  • Le certificat est échangé entre le fournisseur d'identité et Case IQ. Case IQ doit disposer du certificat pour confirmer que les informations envoyées par votre fournisseur d'identité proviennent d'une source fiable.
• Mappage des identifiants : choisissez le champ de données requis pour créer des comptes Case IQ, comme l'adresse e-mail ou le prénom. Le champ que vous choisissez indiquera Case IQ comment vous souhaitez que Case IQ connecte les informations du fournisseur d'identité à un profil utilisateur Case IQ et comment Case IQ doit rechercher les profils utilisateur existants.
• Mappage des données d'identifiant : saisissez l'attribut du fournisseur d'identité à mapper au champ de données que vous sélectionnez dans "Mappage des identifiants". Par exemple, si vous sélectionnez « E-mail » dans « Mappage d'identifiants », saisissez la valeur d'attribut du champ e-mail dans votre fournisseur d'identité. L'attribut de mappage de données de votre fournisseur d'identité ressemblera à l'exemple d'attribut suivant : « http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress ».
• Format d'identifiant : indiquez comment les informations du fournisseur d'identité seront mappées aux comptes d'utilisateurs Case IQ via l'intégration SSO. Vous pouvez sélectionner l'une des options par défaut disponibles dans la liste de sélection « Format d'identifiant » ou saisir un format personnalisé et appuyer sur Entrée sur votre clavier.
• Activer le contexte d'authentification : choisissez si vous souhaitez fournir un contexte d'authentification pour indiquer les informations que le fournisseur d'identité enverra à Case IQ dans l'assertion SAML pour prendre une décision éclairée en matière d'admissibilité.
  • Si vous sélectionnez « Oui », le champ « Contexte d'authentification » s'affichera. Le contexte par défaut du système sera déjà renseigné, mais vous pouvez sélectionner ou saisir un autre contexte.

Métadonnées du fournisseur de services

La page d'authentification unique de Case IQ vous fournira toutes les métadonnées nécessaires dont votre fournisseur d'identité pourrait avoir besoin pour finaliser la communication SAML. Les champs suivants seront automatiquement générés par le formulaire SSO :

• ID d'entité du fournisseur de services : un nom unique pour Case IQ en tant que fournisseur de services, qui est par défaut l'URL des métadonnées.
• URL du consommateur du fournisseur de services : Case IQ utilisera le format suivant : « [l'URL de votre application]/authd/saml ».

Après avoir configuré et activé l'intégration SSO dans Case IQ, vous pouvez également prévisualiser et télécharger les métadonnées du fournisseur de services à partir de Case IQ. Cliquez sur le menu de la page pour voir les options « Télécharger » et « Aperçu XML », afin de pouvoir enregistrer le fichier XML de métadonnées ou l'afficher dans une fenêtre contextuelle.

Cartographie des utilisateurs

Après avoir configuré votre intégration SSO, vous pouvez configurer exactement la manière dont les informations envoyées par le fournisseur d'identité seront utilisées dans Case IQ dans la section Mappage des utilisateurs. La section Mappage utilisateur contient les composants suivants avec lesquels vous pouvez saisir ou modifier la valeur de l'attribut, définir une valeur de champ par défaut et attribuer des valeurs personnalisées.

1. La colonne de menus déroulants, étiquetée (1) dans la capture d'écran ci-dessous, correspond aux champs de profil utilisateur Case IQ. Les champs de profil utilisateur suivants seront affichés par défaut dans les menus déroulants : "E-mail", "ID utilisateur", "Prénom", "Nom", "Langue", "Rôle utilisateur" et "Thème".
2. Les zones de texte, étiquetées (2) dans la capture d'écran ci-dessous, sont des champs de données envoyés par le fournisseur d'identité. Pour les champs Case IQ « E-mail », « ID utilisateur », « Prénom » et « Nom de famille », les valeurs d'attribut utilisées par Microsoft Azure Active Directory seront renseignées par défaut dans les champs de données du fournisseur d'identité, car ces valeurs d'attribut sont les plus couramment utilisés dans le mappage des utilisateurs. Pour saisir ou modifier la valeur d'attribut, saisissez la valeur d'attribut de votre fournisseur d'identité pour le champ de données équivalent.
3. Lorsque vous cliquez sur le bouton plus (3), vous pouvez ajouter des valeurs par défaut pour le champ de profil utilisateur ou configurer un schéma de mappage de valeurs personnalisé s'il existe plusieurs valeurs de fournisseur d'identité à mapper à un champ de profil utilisateur Case IQ. Pour en savoir plus, consultez la section suivante, Valeurs de profil utilisateur par défaut et valeurs personnalisées.
4. Cliquez sur le bouton Supprimer (4) pour supprimer la ligne du champ de profil utilisateur si votre fournisseur d'identité ne contient pas de champ correspondant. Toutefois, le champ du profil utilisateur ne sera pas non plus renseigné si vous laissez un champ d'attribut de fournisseur d'identité vide.
5. Ajoutez plus de champs à partir du formulaire de profil utilisateur en cliquant sur le bouton « + User Mapping », (5). La liste déroulante « Champs de recherche » qui s'affichera contiendra tous les champs du formulaire de profil utilisateur, y compris les champs dynamiques ajoutés via le générateur de formulaire (voir Modifier une mise en page de formulaire standard).

Valeurs de profil utilisateur par défaut et valeurs personnalisées

Vous pouvez définir une valeur de champ par défaut en cliquant sur le bouton plus de la ligne. La liste déroulante « Valeur par défaut » dans la fenêtre contextuelle Ajouter des valeurs inclura toutes les options disponibles dans la liste de sélection des champs de profil utilisateur Case IQ correspondante. Cette valeur sera appliquée à tous les comptes d'utilisateurs créés via l'intégration SSO.

Si le champ correspondant dans votre fournisseur d'identité contient plus de valeurs que le champ de profil utilisateur Case IQ, vous pouvez créer un schéma de mappage de valeurs personnalisé dans la fenêtre contextuelle Ajouter des valeurs en suivant les étapes suivantes.

1. Cliquez sur le bouton plus de la ligne Mappage utilisateur.
2. Dans la section Valeurs personnalisées de la fenêtre contextuelle Ajouter des valeurs, cliquez sur le bouton « + Valeur ».
3. Choisissez une valeur du champ de profil utilisateur dans la liste déroulante « Sélectionner ».
4. Entrez la valeur dans votre fournisseur d'identité à mapper à la valeur du profil utilisateur.
5. Vous pouvez ajouter plus de valeurs personnalisées en cliquant à nouveau sur le bouton « + Valeur ».
6. Cliquez sur Enregistrer pour soumettre votre schéma de mappage de valeurs personnalisé, qui sera désormais affiché sous le champ du fournisseur d'identité dans la section Mappage utilisateur.