IDP Integration
Aperçu général
Les fournisseurs d’identité stockent et gèrent les identités numériques, offrant aux entreprises un moyen de gérer l’accès et les privilèges, tout en maintenant des normes de sécurité élevées.
L’intégration IDP peut être utilisée pour récupérer ces informations, valider l’identité des utilisateurs finaux, enrichir les capacités de segmentation du contenu et étendre la surveillance du comportement des utilisateurs. Cette fonctionnalité fournit un identifiant utilisateur fiable et sécurisé sur n’importe quel système sans avoir besoin de définir l’identifiant utilisateur unique pour chaque système avec des variables différentes.
L’utilisation d’IDP comme identifiant d’utilisateur devrait être la solution de prédilection pour tous les nouveaux systèmes.
Les intégrations IDP sont accessibles depuis le centre d’administration sur admin.walkme.com .
Cas d’utilisation
- L’authentification IDP de l’utilisateur final est un prérequis pour présenter le contenu WalkMe.
- Étendre les capacités de segmentation du contenu par les paramètres IDP (par exemple, les groupes, la région, le service, etc.).
- Surveillance précise des données sur l’ensemble des systèmes.
Plateformes prises en charge
L’intégration IDP de WalkMe prend en charge l’utilisation de plusieurs protocoles d’authentification, notamment OAuth 2.0, OpenID Connect et SAML, afin d’authentifier les utilisateurs auprès de leur fournisseur IDP organisationnel et d’obtenir des attributs utilisateur pouvant être utilisés ultérieurement pour la segmentation et l’analyse dans WalkMe. Chaque fournisseur IDP qui prend en charge ces protocoles doit fonctionner avec WalkMe. WalkMe prend en charge le flux initié par SP.
Qu’est-ce qu’OAuth 2.0 ?
OAuth 2.0, qui représente « Open Authorization » (ouvrir l’autorisation), est une norme conçue pour permettre à un site ou une application d’accéder aux Resources hébergées par d’autres applications Web au nom d’un utilisateur. OAuth 2.0 est le protocole d’autorisation standard de l’industrie.
Qu’est-ce qu’OpenID Connect ?
OpenID Connect est une simple couche d’identité au-dessus du protocole OAuth 2.0, qui permet aux clients informatiques de vérifier l’identité d’un utilisateur final sur la base de l’authentification effectuée par un serveur d’autorisation, ainsi que d’obtenir des informations de profil de base sur l’utilisateur final dans une manière interopérable et de type REST.
L’intégration IDP prend actuellement en charge les fournisseurs suivants :
- Okta
- G-Suite
- ADFS
- AzureAD
- PingID
- Fournisseurs d’identités qui utilisent OpenID
Outre OpenID Connect, le protocole d’authentification le plus courant est SAML. Pour obtenir des instructions sur la création et la configuration d’une intégration à l’aide de SAML, veuillez vous reporter à notre article sur l’intégration IDP SAML.
Prérequis
Une application IDP doit être créée pour servir de pont entre l’IDP et le Centre d’intégration WalkMe.
Un guide d’instructions est disponible dans l’écran de configuration du Centre d’administration pour tous les systèmes pris en charge.
Ajouter un fournisseur d’identité
1. Dans l’onglet Intégrations IDP du Centre d’administration, cliquez sur le bouton « + Ajouter un fournisseur d’identité »
2. Sélectionnez le type de protocole OAuth 2.0
3. Fournissez les paramètres de configuration appropriés pour la connexion
-
- Fournisseur IDP : sélectionnez un fournisseur à partir de la liste
- Nom de l’IDP – Nom de la connexion
- ID client – Identifiant public des applications
- Secret client – Secret connu uniquement de l’application et du serveur d’autorisation
- Domaine du fournisseur IDP : domaine de votre organisation
- Pour OpenID Connect :
- Fournisseur IDP : sélectionnez OpenID Connect à partir de la liste des fournisseurs Oath2.0
- Nom de l’IDP – Nom de la connexion
- ID client – Identifiant public des applications
- Secret client – Secret connu uniquement de l’application et du serveur d’autorisation
- URL de découverte du fournisseur IDP
- Portée du fournisseur IDP
- Politique de sécurité du contenu
- Votre fournisseur IDP
- Utiliser le jeton d’identification pour obtenir les propriétés des utilisateurs finaux – Cochez le bouton bascule pour l’activer
4. Cliquez sur « Enregistrer et suivant » une fois prêt
- Notez que nous n’exigeons pas d’URL de déconnexion
5. Choisissez un identifiant d’utilisateur final unique pour identifier les utilisateurs
- Vous n’avez besoin que d’un seul identificateur ; nous n’avons ni besoin d’informations supplémentaires sur le groupe ni d’autres attributs
6. Sélectionnez les propriétés souhaitées et assurez-vous que le type de données correct a été choisi :
-
- Chaîne
- Numéro
- Date
7. Sélectionnez les systèmes auxquels vous souhaitez affecter l’intégration IDP
- Pour chaque système, vous pouvez activer séparément l’intégration IDP sur les environnements souhaités
8. Utilisez le bouton bascule pour appliquer la SSO
9. Cliquez sur « Finish » (finir).
10. Un message apparaîtra vous indiquant si votre IDP a été ajouté avec succès ou pas
- Vous pouvez désormais segmenter le contenu à l’aide des attributs importés dans Insights et dans l’éditeur sous Attributs utilisateur > IDP avec les conditions de filtrage appropriées en fonction du type de champ de données défini.
- Pour en savoir plus, cliquez ici.
Gestion d’un fournisseur d’identité
En survolant la ligne d’un fournisseur d’identité, plusieurs options s’offrent à vous :
- Supprimer
- Gérer l’affectation du système
- Importer des propriétés
- Modifier
- Développer
Supprimer
- Cliquez sur l’icône de la corbeille pour « supprimer » un fournisseur d’identité.
Gérer l’affectation du système
- Cliquez sur l’icône « + » pour ouvrir l’écran de gestion de l’affectation du système.
- Sélectionnez ou désélectionnez les systèmes que vous souhaitez affecter au fournisseur d’identité
- Vous pouvez également utiliser la bascule pour appliquer la SSO
- Cliquez sur le bouton « Save Changes » (enregistrer les changements) une fois que vous avez fini
Importer des propriétés
- Cliquez sur l’icône de la liste et puis sur le bouton « Import Properties » (importer les propriétés) pour modifier ou ajouter des propriétés importées supplémentaires
Ces attributs seront utilisés pour la segmentation du contenu et la création de rapports dans Insights.
Modifier
- Cliquez sur l’icône en forme de crayon pour modifier les paramètres du fournisseur d’identité
- Vous serez en mesure de modifier tous les champs renseignés dans la configuration initiale du fournisseur d’identité
Développer/Réduire la vue
- Utilisez l’icône de la flèche pour ouvrir et réduire la vue élargie
- Une fois développé, vous verrez tous les systèmes attribués à un fournisseur d’identité et si Enforce SSO a été activé ou pas
Les meilleures pratiques
Configuration « Enforce SSO » (Appliquer l’authentification unique)
- Lorsque l’authentification IDP doit être activée avant d’ouvrir la page Web à l’utilisateur final, si le jeton IDP n’est pas reconnu, l’utilisateur final sera redirigé vers sa page de connexion IDP.
- Chaque fois que l’utilisateur final ne parvient pas à s’authentifier auprès de l’IDP pour des raisons diverses telles que l’IDP était en panne, le client a oublié les informations d’identification ou l’utilisateur final n’a pas été affecté à l’application de l’IDP, l’authentification unique sera désactivée pendant 1 heure et l’identifiant de l’utilisateur sera automatiquement réduit à la méthode « WalkMe ID » en tant que fallback, ou WalkMe ne se chargera pas, selon la configuration du client.
- Après 1 heure – si le jeton IDP n’est toujours pas reconnu, l’utilisateur final sera à nouveau redirigé vers sa page de connexion IDP, sinon, la connexion à l’IDP ne sera pas nécessaire. Il est important de s’assurer que cela est absolument clair pour le client. Sinon, N’activez PAS cette option.
- Lorsque désactivé – L’authentification IDP est tentée lors du chargement de la page, mais s’il n’y a pas de jeton actif pour IDP, l’utilisateur final ne sera pas redirigé vers IDP. L’identifiant de l’utilisateur sera automatiquement réduit à la méthode « ID WalkMe » ou WalkMe ne se chargera pas, selon la configuration du client.
Limites
- L’extension du navigateur Safari n’est pas prise en charge par IDP
- La modification de l’identificateur d’utilisateur affecte la manière dont WalkMe identifie les utilisateurs finaux et peut réinitialiser les configurations « Play once » (lecture unique)
- L’utilisateur doit avoir des autorisations d’administrateur pour le centre d’administration
- IDP doit être configuré sur le système requis
- Les utilisateurs finaux doivent utiliser IDP pour s’authentifier auprès de ce système
- Si votre entreprise a CSP (Content Security Policy ou Politique de sécurité du contenu), elle bloquera les appels vers le fournisseur IDP
- Afin de surmonter cela, la bonne URL doit être ajoutée dans les paramètres CSP de la configuration de l’extension
- Après l’attribution des systèmes, le paramètre UUID des systèmes attribués est automatiquement défini sur IDP et les paramètres sont publiés de sorte qu’aucune autre action n’est requise
- Pour que les modifications de l’IDP prennent effet, les systèmes du client doivent être mis à jour vers la dernière version de WalkMe (cela peut être réalisé en publiant les paramètres)
- Pour les comptes d’entreprise, vous devez cocher « Mettre à jour vers la dernière version de WalkMe » lors de la publication
- Lors de l’importation d’une propriété de type de date, seuls les formats suivants sont pris en charge :
- 2018-02-20
- 2018-02-20T14:32:00
- 12/30/2018
- L’importation d’une chaîne ou d’un nombre en tant que date ne fonctionnera pas dans la segmentation du filtrage/de l’Éditeur d’Insights
Mobile Web :
- Mobile Web sera automatiquement activé une fois que la configuration IDP est terminée.
- Si Mobile Web est ajouté après IDP / OneID a déjà été activé, les utilisateurs devront désactiver puis réactiver IDP pour la prise en charge de Mobile Web
Résolution des problèmes communs
L’utilisateur n’est pas assigné
Pour empêcher que cela se produise, tous les employés doivent être assignés à WalkMe. La personne du département informatique de votre entreprise devrait être en mesure de vous aider avec cela en modifiant le paramètre d’accès à l’application WalkMe dans votre fournisseur IDP pour tous les employés.
EUID n’a pas été trouvé dans le profil de l’utilisateur
Pour remédier à cela, vous pouvez soit sélectionner un EUID différent, qui est disponible pour tous les employés affectés à WalkMe, ou vous pouvez individuellement ajouter les informations manquantes aux utilisateurs concernés.
Client expiré / Clés secrètes expirées
Si la clé est expirée, vous devrez la recréer et ensuite mettre à jour les nouvelles clés dans la connexion IDP concernée dans la page Intégrations IDP dans le Centre d’administration WalkMe.
Client invalide / Clés secrètes invalides
Assurez-vous que vous avez copié les clés correctes et ensuite, collez-les dans la connexion IDP concernée dans la page Intégrations IDP dans le Centre d’administration WalkMe.