|
Les types de fichiers classiques ne pourront plus être utilisés à partir de janvier 2021. Vous pouvez transférer vos fichiers classiques ou télécharger un PDF. En savoir plus

Portail de support Workiva

Configurer l’authentification unique SAML

Configurer l’authentification unique SAML

  • Dernière mise à jour le
Associé à sso

Les administrateurs sécurité de l’organisation peut suivre les étapes ci-dessous pour configurer l’authentification unique SAML paramètres pour l’organisation. L’authentification unique (SSO) basée sur SAML permet aux membres d’accéder à Workiva par l’intermédiaire d’un fournisseur d’identité (IdP). Avant de configurer les paramètres, assurez-vous d’avoir lu Qu’est-ce que l’authentification unique SAML ?.

Note : Les Administrateurs sécurité de l’organisation doivent être ajoutés à un espace de travail pour pouvoir accéder à l’administration de l’Organisation.

 

Étape 1 : Accéder aux paramètres SAML SSO

  1. Accédez à l’administration de l’organisation.
  2. Cliquez sur Sécurité dans le menu de gauche.
  3. Cliquez sur l'onglet Authentification unique.

Si vous avez déjà une configuration SSO, la page ressemblera à ceci :

 

 

Étape 2 : Créez votre configuration d’authentification unique SAML et sélectionnez votre fournisseur d’identité.

  1. Cliquez sur Créer une configuration SSO.
  2. Saisissez un Nom de configuration et sélectionnez le fournisseur d'identité (IdP) dans la liste déroulante.
  3. Cliquez sur Créer une configuration pour continuer.

Create SAML SSO configuration.png

 

Étape 3 : Envoyez les métadonnées Workiva à votre administrateur de fournisseur d’identité

  1. Sous la section Métadonnées Workiva , vous verrez l' Identifiant (ID d'entité) et l' URL de réponse.
  2. Cliquez sur Options avancées pour afficher l' URL de connexion et l' URL de déconnexion.
    Ces URL sont uniques à chaque organisation et ne peuvent pas être modifiées, et contiendront app.wdesk.com, eu.wdesk.comou apac.wdesk.com.
    Workiva metadata.jpg
  3. Envoyez ces URL de métadonnées Workiva à l'administrateur de votre fournisseur d'identité.Vous pouvez également cliquer sur
    Télécharger les métadonnées XML Workiva pour télécharger et envoyer le fichier XML des métadonnées Workiva à l'administrateur de votre fournisseur d'identité.

  4. Vous pouvez ajuster votre Tolérance de décalage d'horloge. L'écart horaire maximal autorisé correspond à la différence de temps maximale permise entre votre fournisseur d'identité SAML et Workiva. La valeur par défaut est de 300 secondes (5 minutes).

    Conseil: Une valeur plus élevée élargit la « fenêtre d'acceptation » des différences de temps. Bien que cela améliore la fiabilité en réduisant les requêtes rejetées, cela introduit également des risques en matière de sécurité et de performance. À l'inverse, une valeur plus faible augmente la probabilité d'échecs d'authentification dus à des délais d'attente.
  5. Si vous utilisez Microsoft Azure comme fournisseur d'identité, votre administrateur de fournisseur d'identité peut se référer à l' étape 2 sous l'onglet Azure dans la section Configurer l'authentification uniqueSAML avec votre fournisseur d'identité.
  6. Si vous utilisez Okta comme fournisseur d'identité, votre administrateur de fournisseur d'identité peut se référer à l' étape 3 sous l'onglet Okta dans la section Configurer l'authentification unique SAML avec votre fournisseur d'identité.
  7. Si vous utilisez un fournisseur d'identité autre que Microsoft Azure ou Okta, contactez le service client de votre fournisseur d'identité si vous avez besoin d'aide.

 

Étape 4 : Saisissez les métadonnées de votre fournisseur d’identité dans Workiva

Prérequis : Vous devez obtenir les informations de métadonnées requises auprès de votre administrateur de fournisseur d'identité avant de continuer.

Sous la section des métadonnées du fournisseur d'identité (par exemple, Métadonnées Microsoft Azure), saisissez les métadonnées du fournisseur d'identité.

  1. Tout d’abord, dans la liste déroulante Méthode de saisie préférée , sélectionnez la façon dont vous souhaitez saisir les métadonnées du fournisseur d’identité. Vous pouvez saisir une URL de métadonnées de fédération, télécharger un fichier XML de métadonnées, ou saisir les métadonnées via saisie manuelle.

  2. Dans la boîte de dialogue de sélection de fichier, sélectionnez le fichier contenant les informations de métadonnées du fournisseur d'identité, puis cliquez sur Importer.

    Vous pouvez également saisir les valeurs manuellement :

 

Étape 5 : Configurer le mappage des utilisateurs

Dans la section Mappage utilisateur, cliquez sur la liste déroulante et sélectionnez :

  • Associer les utilisateurs à leur nom d'utilisateur Workiva (recommandé)
  • Cartographier les utilisateurs manuellement

Remarque : Si vous avez saisi manuellement les informations de métadonnées du fournisseur d'identité, vous devrez activer les Options avancées pour cette section.

Associer les utilisateurs à leur nom d'utilisateur Workiva

Si vous avez sélectionné Associer les utilisateurs à leur nom d'utilisateur Workiva dans la liste déroulante, Workiva s'attendra alors à ce que l'attribut NameID principal entrant corresponde au nom d'utilisateur Workiva, sans tenir compte de la casse, lorsque l'utilisateur se connectera. Par exemple, cela permet à User.Name.Example de correspondre à user.name.example.

Vous pouvez ensuite cliquer sur la liste déroulante Définir le mappage et sélectionner Définir tous les ID SSO sur le nom d'utilisateur Workiva pour remplir le tableau.

Cliquez sur Créer une configuration pour continuer.

 

Cartographie manuelle des utilisateurs

Si vous avez sélectionné Mapper les utilisateurs manuellement dans la liste déroulante, vérifiez d'abord les options avancées. Sous Emplacement de l'identificateur de nom, la plupart des configurations auront l'option L'identificateur de nom se trouve dans l'instruction Subject sélectionnée. Cela signifie que Workiva vérifiera la présence de l'élément NameIdentifier dans l'instruction Subject.

Toutefois, vous pouvez sélectionner l'option NameIdentifier se trouve dans un autre attribut d'élément et saisir l'attribut d'élément NameIdentifier, afin que l'application recherche l'attribut dans la réponse SAML.

Remarque : La plupart des administrateurs de sécurité de l'organisation ne modifieront pas l'emplacement de NameIdentifier par défaut. Avant d'apporter des modifications, contactez le support Workiva pour obtenir de
l' aide .

Cartographier les utilisateurs via importation de fichier

Cliquez sur Définir le mappage, et sélectionnez Importer les ID SSO via un fichier pour mapper les utilisateurs aux ID SSO dans un fichier de mappage .csv (voir Exigences relatives au fichier de mappage .csv des ID SAML).

  • Aucun en-tête n'est nécessaire dans le fichier de mappage.
  • Toutes les lignes seront traitées et les lignes invalides seront ignorées.
  • En cas de noms d'utilisateur identiques, seule la première ligne contenant ce nom d'utilisateur sera utilisée.
  • Si un nom d'utilisateur fourni possède déjà un mappage existant, celui-ci sera mis à jour avec les informations fournies dans le fichier de mappage.
  • Si des lignes sont ignorées, les échecs seront consignés dans le journal d'activité d'authentification unique SAML.

Cartographier les utilisateurs individuellement

Si vous devez définir ou modifier les identifiants SSO des utilisateurs individuellement, recherchez l'utilisateur et/ou utilisez le filtre statut de l'identifiant SSO pour trouver plus facilement l'utilisateur. Ensuite, dans le tableau, double-cliquez sur le champ ID SSO situé à côté de l'utilisateur et saisissez l'ID SSO correct.

manual sso id.png

 

Après avoir configuré le mappage utilisateur, cliquez sur Créer une configuration pour continuer.

 

Exigences relatives au fichier de correspondance SAML ID .csv

Une ligne valide dans le fichier de correspondance SAML ID .csv suit le format suivant :

samlId,username

Une ligne peut être invalide si

  • Il y a moins de deux éléments dans la ligne
  • L’identifiant SAML et/ou le nom d’utilisateur ne sont pas fournis
  • Le nom d’utilisateur fourni n’existe pas
  • L’utilisateur avec le nom d’utilisateur fourni n’est pas membre de l’organisation
  • L’organisation principale de l’utilisateur avec le nom d’utilisateur fourni n’est pas la même que l’organisation en cours de modification
  • L’identifiant SAML fourni a déjà été utilisé par un autre utilisateur

Un exemple de fichier de mappage valide ressemble à ceci :

exempleSamlId,exempleUsername exempleSamlId2,exempleUsername2 exempleSamlId3,exempleUsername3

 

Étape 6 : Activez votre configuration SSO SAML

Après avoir créé votre configuration SSO SAML, vous devrez l'activer explicitement pour que la configuration prenne effet.

Cliquez sur Activer dans la configuration. Votre configuration apparaîtra alors comme Active.

AzureID Activation x2 callout.png

 

Étape 7 : Mettre à jour les options d’authentification SSO SAML

Workiva recommande vivement d'obliger les utilisateurs à se connecter via l'authentification unique (SSO) afin de simplifier le processus de connexion et d'offrir une meilleure expérience globale. Après avoir créé et activé votre configuration SSO SAML :

  1. Sous l'onglet Authentification unique, la section Forcer l'authentification unique et exceptions présente deux options d'authentification :

    • Forcer les utilisateurs à se connecter à l'aide de l'authentification unique (SSO ) (Recommandé) : Les utilisateurs non administrateurs sont obligés d'utiliser l'authentification unique, tandis que les administrateurs de la sécurité de l'organisation peuvent continuer à se connecter à l'aide de leur nom d'utilisateur et de leur mot de passe. Cette option est idéale si votre entreprise souhaite imposer l'authentification unique (SSO) tout en permettant aux administrateurs de la sécurité de l'organisation d'accéder à la plateforme en cas de problème avec l'authentification unique.

      Remarque : Assurez - vous d’effectuer des tests complets et d’être absolument certain
      de la fiabilité de votre configuration d’authentification unique SAML avant d’activer cette option.
    • Forcer les administrateurs de sécurité de l'organisation à se connecter à l'aide de l'authentification unique: Les administrateurs de sécurité de l'organisation sont obligés d'utiliser l'authentification unique. Cette option est particulièrement adaptée si les politiques de sécurité de l'entreprise ne prévoient pas d'exempter les utilisateurs de l'obligation d'authentification unique (SSO). Pour activer cette option, vous devrez également cocher Forcer les utilisateurs à se connecter à l'aide de l'authentification unique.
  2. Après avoir sélectionné vos options, cliquez sur Enregistrer.

Si vous le souhaitez, vous pouvez autoriser des utilisateurs spécifiques à se connecter sans SSO SAML en les ajoutant à la liste des exceptionsSSO .

Remarque : Avant de forcer l’authentification unique SAML , assurez-vous d’ajouter les utilisateurs nécessaires à la liste des exceptions SSO afin d’éviter de bloquer l’
accès à leurs comptes.

 

Configurez l'authentification unique SAML avec votre fournisseur d'identité.

L'administrateur de votre fournisseur d'identité peut se référer aux étapes ci-dessous pour savoir comment configurer l'authentification unique SAML avec les fournisseurs d'identité courants.

Caractéristiques prises en charge

  • SSO initié par le SP
  • Authentification unique initiée par le fournisseur d'identité
  • Déconnexion unique initiée par le fournisseur d'identité (SLO)
  • Liste d'exceptions SSO
  • Chiffrement d'assertion optionnel

 

Étape 1 : Ajouter l’intégration

  1. Connectez-vous au portail d'administration Okta et sous Applications, sélectionnez Parcourir le catalogue d'applications.
  2. Dans le catalogue d’intégration des applications , recherchez Workiva et sélectionnez-le. Cliquez ensuite sur Ajouter une intégration.
  3. Définissez les paramètres généraux conformément à vos politiques et procédures informatiques. Cliquez ensuite sur Suivant.

 

Étape 2 : Saisir les métadonnées Okta dans Workiva

Dans la section SAML 2.0, laissez le champ vide État du relais par défaut. Téléchargez le fichier XML de métadonnées à charger dans Workiva comme indiqué dans Étape 4 dans Workiva : Saisissez les métadonnées de votre fournisseur d’identité dans Workiva.
Une façon de télécharger le fichier XML consiste à copier l'URL des métadonnées, à la coller dans un navigateur, puis à enregistrer la page au format XML.

 

Étape 3 : Saisir les métadonnées Workiva dans Okta

Utilisation des URL Workiva trouvées à l' étape 3 de Workiva : Envoyer les métadonnées Workiva à l'administrateur de votre fournisseur d'identité :

  • Copiez et collez l'URL ACS Workiva dans le champ URL ACS Okta .
  • Copiez et collez l'URL d'audience Workiva dans le champ URL d'audience Okta .

 

Étape 4 : Modifier les attributs et les revendications

Dans les attributs et les revendications d’Okta, il est recommandé de faire correspondre le nom d’utilisateur Workiva (insensible à la casse) à l’attribut Primary NameID, de sorte que Workiva associe automatiquement l’attribut au nom d’utilisateur Workiva lorsque l’utilisateur se connecte pour la première fois avec la SSO. Toutefois, cette cartographie dépend de vos politiques informatiques spécifiques.

Si ces attributs ne correspondent pas, vous devrez mapper manuellement l'attribut au nom d'utilisateur correspondant comme décrit dans Étape 5 dans Workiva : Définir le mappage utilisateur avant que l'utilisateur puisse se connecter avec SSO.

 

Processus SSO initié par le SP

Le processus de connexion est initié depuis l'URL SP app.wdesk.com, eu.wdesk.com ou apac.wdesk.com de votre organisation d'origine.

  1. Depuis votre navigateur, accédez à la page de connexion Workiva.
  2. Saisissez votre nom d'utilisateur Workiva.
  3. Cliquez sur « Se connecter avec l'authentification unique ».
  4. Vous serez redirigé vers la page de connexion de votre organisation.
  5. Saisissez vos identifiants et réussissez les éventuelles vérifications supplémentaires prévues par les politiques de votre organisation.
  6. Vous serez redirigé vers Workiva et connecté à l'interface.

Étape 1 : Créer l'application

  1. Connectez-vous au portail d'administration Azure et accédez à Microsoft Entra ID > Applications d'entreprise.
  2. Cliquez sur Nouvelle application.
  3. Recherchez Workiva et sélectionnez-le.
    Sachez que si vous prévoyez de mettre en œuvre SCIM, vous devrez créer une application personnalisée.
  4. Nommez l’application, puis cliquez sur Créer.
  5. Une fois l'application créée, accédez à Authentification unique > SAML.

 

Étape 2 : Saisissez les métadonnées Workiva dans Microsoft Azure

  1. Modifier la Configuration SAML de base.
  2. Utilisation des URL Workiva trouvées à l' étape 3 de Workiva : Envoyer les métadonnées Workiva à l'administrateur de votre fournisseur d'identité :
    1. Copiez et collez l'identifiant Workiva (ID d'entité) dans le champ Identifiant Azure (ID d'entité).
    2. Copiez et collez l'URL de réponse Workiva dans le champ URL de réponse Azure (URL du service de consommation d'assertion).
    3. (Facultatif) Copiez et collez l'URL de connexion Workiva dans le champ URL de connexion Azure .
    4. Laissez le champ État du relais vide.
    5. (Facultatif) Copiez et collez l'URL de déconnexion Workiva dans le champ URL de déconnexion Azure .

 

Étape 3 : Modifier les attributs et les revendications

Une fois la configuration enregistrée, modifiez les Attributs et revendications. Il est recommandé de faire correspondre le nom d'utilisateur Workiva (sans tenir compte de la casse) à l'attribut NameID principal, afin que Workiva associe automatiquement cet attribut au nom d'utilisateur Workiva lorsque l'utilisateur se connecte pour la première fois via l'authentification unique (SSO). Toutefois, cette cartographie dépend de vos politiques informatiques spécifiques.

  • Si ces attributs ne correspondent pas, vous devrez mapper manuellement l'attribut au nom d'utilisateur correspondant comme décrit dans Étape 5 dans Workiva : Définir le mappage utilisateur avant que l'utilisateur puisse se connecter avec SSO.
  • Workiva ne prend en compte que la demande requise Identifiant unique d’utilisateur (NameID) pour les utilisateurs et toute demande supplémentaire sera ignorée.

 

Étape 4 : Saisissez les métadonnées Microsoft Azure dans Workiva

Si vous saisissez les métadonnées Microsoft Azure dans Workiva via une URL de métadonnées de fédération, vous trouverez cette URL dans la configuration SSO SAML Azure.

Si vous entrez les métadonnées Microsoft Azure dans Workiva via un fichier XML de métadonnées, dans la section Certificats SAML, cliquez sur Télécharger à côté de Métadonnées de fédération XML. Ensuite, téléchargez le fichier XML de métadonnées dans Workiva.

Remarque : Si
vous utilisez Microsoft Azure comme fournisseur d’identité, assurez- vous que le champ URL de connexion Workiva (dans les options avancées ) reste vide, sinon des erreurs de connexion se produiront.

Si vous souhaitez une URL de déconnexion ( dans les options avancées) mais que cette valeur n'est pas trouvée dans votre fichier de métadonnées XML téléchargé, vous devrez coller cette valeur manuellement.

 

 

Cet article vous a-t-il été utile ?
Utilisateurs qui ont trouvé cela utile : 10 sur 34
Les administrateurs sécurité de l’organisation peut suivre les étapes ci-dessous pour configurer l’authentification u...