Les administrateurs sécurité de l’organisation peut suivre les étapes ci-dessous pour configurer l’authentification unique SAML paramètres pour l’organisation. L’authentification unique (SSO) basée sur SAML permet aux membres d’accéder à Workiva par l’intermédiaire d’un fournisseur d’identité (IdP). Avant de configurer les paramètres, assurez-vous d’avoir lu Qu’est-ce que l’authentification unique SAML ?.
Note : Les Org Security Admins doivent être ajoutés à un espace de travail afin d'accéder à Organization Admin.
Incrément 1 : Naviguer vers les paramètres SAML SSO
- Accédez à l'administration de l'organisation.
- Cliquez sur Security dans le menu de gauche.
- Cliquez sur l'onglet Single Sign-On .
Incrément 2 : Activer SAML SSO
- Sous l'onglet Single Sign-On et dans la section SAML Settings , cochez l'option Enable SAML Single Sign-On .
Note : Le fait de cocher uniquement la case Enable SAML Single Sign-On n'aura aucune incidence sur l'expérience de connexion/se connecter de l'utilisateur. Les utilisateurs pourront toujours se connecter avec leur nom d'utilisateur et leur mot de passe jusqu'à ce que vous ayez complètement terminé la configuration de l'authentification unique SAML.
- Cliquez sur Enregistrer les modifications.
Incrément : Accéder aux URL SAML SSO
Après avoir activé SAML SSO :
- Sous l'onglet Single Sign-On , cliquez sur IdP Settings.
- Faites défiler la page jusqu'à la section Service Provider Details .
- Vous verrez l'URL de connexion , l'URL de métadonnées , l'URL de consommation , et l'URL de service de déconnexion . Ces URL sont propres à chaque organisation et ne peuvent être modifiées. Elles contiendront app.wdesk.com, eu.wdesk.com ou apac.wdesk.com.
- Copier et coller l'URL des métadonnées dans la fenêtre d'un navigateur permet de télécharger automatiquement le fichier XML des métadonnées de Workiva. Vous pouvez également copier et enregistrer ces valeurs d'URL.
Incrément 4 : Intégrer Workiva avec le fournisseur d'identité
Voir les incréments ci-dessous pour savoir comment intégrer Workiva avec les fournisseurs d'identité courants.
Pour configurer le SSO avec Okta :
- Connectez-vous au portail d'administration Okta, et sous Applications, sélectionnez Parcourir le catalogue d'applications.
- Dans le catalogue d'intégration des applications , recherchez Workiva et sélectionnez-le. Cliquez ensuite sur Ajouter une intégration.
- Définissez les paramètres généraux en fonction de vos politiques et procédures informatiques. Cliquez ensuite sur Next.
- Dans la section SAML 2.0, laissez vide le champ Default Relay State . Télécharger le fichier XML de métadonnées pour le charger dans Workiva comme planifié dans . Incrément 7 : Configurer les paramètres IdP. Une façon de télécharger le fichier XML est de copier l'URL des métadonnées, de la coller dans un navigateur, puis d'enregistrer la page sous forme de fichier XML.
- En utilisant les URL de Workiva recherchées dans Incrément 3 : Accéder aux URL SAML SSO:
- Copiez et collez l'URL du consommateur de Workiva dans le champ Okta ACS URL .
- Copiez et collez l'URL des métadonnées de Workiva dans le champ Okta Audience URL .
- Dans les attributs et les réclamations d'Okta, il est recommandé de faire correspondre le nom d'utilisateur Workiva (insensible à la casse) à l'attribut Primary NameID, de sorte que Workiva mappe automatiquement l'attribut au nom d'utilisateur Workiva lorsque l'utilisateur se connecte avec SSO pour la première fois. Toutefois, ce mappage dépend de vos politiques informatiques spécifiques.
- Si ces attributs ne correspondent pas, vous devrez associer manuellement l'attribut au nom d'utilisateur correspondant, comme décrit dans Étape 5 : Définir les paramètres de l'ID utilisateur SAML SSO avant que l'utilisateur ne puisse se connecter avec SSO.
Pour configurer le SSO avec Azure :
- Connectez-vous au portail d'administration Azure et allez sur Microsoft Entra ID > Enterprise applications.
- Cliquez sur Nouvelle application.
- Recherchez Workiva et sélectionnez-le. Toutefois, si vous envisagez de mettre en œuvre le SCIM, vous devrez créer une application personnalisée.
- Nommez l'application, puis cliquez sur Create.
- Une fois l'application créée, allez sur Connexion/se connecter > SAML.
- Édition de la configuration SAML de base .
- En utilisant les URL de Workiva recherchées dans Incrément 3 : Accéder aux URL SAML SSO.
- Copiez et collez l'URL des métadonnées de Workiva dans le champ Azure Identifier (Entity ID) .
- Copiez et collez l'URL du consommateur de Workiva dans le champ Azure Reply URL (Assertion Consumer Service URL) .
- Copiez et collez l'URL de connexion de Workiva dans le champ Azure Sign-on URL (optionnel).
- Laissez le champ Relay State vide.
- Copiez et collez l'URL de déconnexion de Workiva dans le champ Azure Logout URL (optionnel).
- Une fois la configuration enregistrée, éditez le site Attributs & Claims. Il est recommandé de faire correspondre le nom d'utilisateur Workiva (insensible à la casse) à l'attribut Primary NameID, afin que Workiva associe automatiquement l'attribut au nom d'utilisateur Workiva lorsque l'utilisateur se connecte avec SSO pour la première fois. Toutefois, ce mappage dépend de vos politiques informatiques spécifiques.
- Si ces attributs ne correspondent pas, vous devrez associer manuellement l'attribut au nom d'utilisateur correspondant, comme décrit dans Étape 5 : Définir les paramètres de l'ID utilisateur SAML SSO avant que l'utilisateur ne puisse se connecter avec SSO.
- Workiva ne prend en compte que la demande requise Identifiant unique de l'utilisateur (NameID) pour les utilisateurs et toute demande supplémentaire sera ignorée.
- Après avoir défini les attributs et les revendications, dans la section SAML Certificates , cliquez sur Download à côté de Federation Metadata XML pour télécharger le fichier XML de métadonnées à charger dans Workiva comme planifié à Étape 7 : Définir les paramètres IdP (IdP Settings).
Incrément : Définir les paramètres de l'ID utilisateur SAML SSO
- Sous l'onglet Single Sign-On , cliquez sur SAML Settings.
- Faites défiler vers le bas jusqu'à la section SAML User ID Settings .
- Il est fortement recommandé de vérifier les paramètres SAML User ID is Wdesk Username et Case-insensitive SAML ID . Elles permettent à Wdesk de s'attendre à ce que l'attribut NameID principal entrant corresponde au nom d'utilisateur de Wdesk, sans tenir compte de la casse, lorsque l'utilisateur se connecte. Par exemple, cela permet à
User.Name.Example
de correspondre àuser.name.example
. - Cliquez ensuite sur Enregistrer les modifications.
Cependant, si vous n'êtes pas en mesure de configurer cela en raison d'une politique, vous devrez établir manuellement une correspondance entre l'ID SAML et le nom d'utilisateur Wdesk :
- Sous l'onglet Single Sign-On , cliquez sur User Mapping.
- Vous pouvez soit charger un fichier de correspondance SAML ID .csv (voir SAML ID .csv mapping file requirements), soit définir manuellement l'ID SAML dans le profil de chaque utilisateur (ce qui annulera le contrôle de correspondance du nom d'utilisateur).
Exigences relatives au fichier de correspondance SAML ID .csv
Une ligne valide dans le fichier de correspondance SAML ID .csv suit le format suivant :
samlId,username
Une ligne peut être invalide si
- Il y a moins de deux éléments dans la ligne
- L’identifiant SAML et/ou le nom d’utilisateur ne sont pas fournis
- Le nom d’utilisateur fourni n’existe pas
- L’utilisateur avec le nom d’utilisateur fourni n’est pas membre de l’organisation
- L’organisation principale de l’utilisateur avec le nom d’utilisateur fourni n’est pas la même que l’organisation en cours de modification
- L’identifiant SAML fourni a déjà été utilisé par un autre utilisateur
Un exemple de fichier de mappage valide ressemble à ceci :
exampleSamlId,exampleUsername
exampleSamlId2,exampleUsername2
exampleSamlId3,exampleUsername3
D’autres points sont à noter :
- Aucun en-tête n’est nécessaire dans le fichier de correspondance
- Toutes les lignes seront traitées et les lignes non valides seront ignorées
- S’il y a des noms d’utilisateur en double, seule la première ligne avec ce nom d’utilisateur sera utilisée
- Si un nom d’utilisateur fourni a déjà une correspondance existante, celle-ci sera mise à jour en fonction de ce qui est fourni dans le fichier de correspondance
- Si des lignes sont ignorées, les échecs seront consignés dans le journal d’activité de l’authentification unique SAML
Incrément : Définir les paramètres du NameIdentifier (optionnel)
Sous l'onglet Single Sign-On et dans SAML Settings, vous verrez la section NameIdentifier Settings .
Par défaut, dans la plupart des configurations, le paramètre NameIdentifier element in Subject statement est défini. Cela signifie que Wdesk vérifiera la présence de l'élément NameIdentifier dans l'énoncé Subject.
Toutefois, vous pouvez modifier ce paramètre afin que l'application recherche l'attribut dans la réponse SAML en sélectionnant l'option NameIdentifier element is Attribute , et en collant l'emplacement souhaité. Cliquez ensuite sur Save Changes pour enregistrer cette définition.
Note : La plupart des admin sécurité de l'org ne modifieront pas les paramètres NameIdentifier par rapport à leur valeur par défaut. Avant d'effectuer des modifications, contactez le service d'assistance Workiva pour obtenir de l'aide.
Incrément 7 : Configurer les paramètres IdP
Pour charger votre fichier XML de métadonnées IdP :
- Sous l'onglet Single Sign-On , cliquez sur IdP Settings.
- Cliquez sur Parcourir pour localiser et choisir votre fichier.
- Cliquez sur Upload. Vos modifications seront automatiquement enregistrées si le chargement est réussi.
Note : Si vous utilisez Azure comme fournisseur d'identité, assurez-vous que le champ IdP Initiated Sign-in URL n'est pas renseigné, sinon des erreurs de connexion/se connecter se produiront.
- Si vous voulez une IdP Sign-out Service URL et une Sign-out Redirect URL et que ces valeurs ne sont pas recherchées dans votre fichier de métadonnées XML téléchargé, vous devrez coller ces valeurs séparément dans leurs champs respectifs dans la section Identity Provider Information .
Si vous devez saisir les paramètres IdP manuellement, au lieu de charger un fichier, entrez les détails appropriés dans les champs Identity Provider Information . Les champs obligatoires sont les suivants : Identity Provider URL, Binding, Issuer, et Certificate. Cliquez ensuite sur Enregistrer les modifications pour terminer.
Incrément : Mise à jour des options d'exigences SAML SSO
Après avoir configuré l'installation SAML et validé son bon fonctionnement, vous pouvez mettre à jour les options d'exigences SAML.
- Sous l'onglet Single Sign-On et dans la section SAML Settings , vous verrez les options d'exigences SAML :
- Enable SAML Single Sign-On: Les utilisateurs peuvent se connecter avec SAML SSO ou continuer à utiliser leur nom d'utilisateur et leur mot de passe.
Note : Cette option doit être cochée pour que le SSO fonctionne correctement.
- Exiger une connexion/se connecter SAML pour les utilisateurs: Les utilisateurs non-administrateurs devront utiliser SAML SSO (c'est-à-dire qu'ils ne pourront plus utiliser leur nom d'utilisateur et leur mot de passe), tandis que les admins sécurité de l'org pourront continuer à se connecter en utilisant leur nom d'utilisateur et leur mot de passe.
Note : Assurez-vous d'effectuer des tests complets et d'être totalement confiant dans votre configuration SAML SSO avant d'activer cette option.
- Require SAML Single Sign-On for Org Security Admins: Les admins sécurité de l'org devront utiliser SAML SSO (c'est-à-dire qu'ils ne pourront plus utiliser leur nom d'utilisateur et leur mot de passe). Pour activer cette option, vous devrez également cocher Require SAML Single Sign-On for Users.
- Enable SAML Single Sign-On: Les utilisateurs peuvent se connecter avec SAML SSO ou continuer à utiliser leur nom d'utilisateur et leur mot de passe.
- Cliquez sur Enregistrer les modifications.
Note : Avant d'exiger le SSO SAML, assurez-vous d'ajouter les utilisateurs de contournement nécessaires pour éviter de verrouiller les utilisateurs hors de leurs comptes.