IDP Integration
Aperçu général
Les fournisseurs d’identité stockent et gèrent les identités numériques, offrant aux entreprises un moyen de gérer l’accès et les privilèges, tout en maintenant des normes de sécurité élevées.
L’intégration IDP peut être utilisée pour récupérer ces informations, valider l’identité des utilisateurs finaux, enrichir les capacités de segmentation du contenu et étendre la surveillance du comportement des utilisateurs. Cette fonctionnalité fournit un identifiant utilisateur fiable et sécurisé sur n’importe quel système sans avoir besoin de définir l’identifiant utilisateur unique pour chaque système avec des variables différentes.
L’utilisation d’IDP comme identifiant d’utilisateur devrait être la solution de prédilection pour tous les nouveaux systèmes.
Les intégrations IDP sont accessibles depuis le centre d’administration sur admin.walkme.com .
Cas d’utilisation
- L’authentification IDP de l’utilisateur final est un prérequis pour présenter le contenu WalkMe.
- Étendre les capacités de segmentation du contenu par les paramètres IDP (par exemple, les groupes, la région, le service, etc.).
- Surveillance précise des données sur l’ensemble des systèmes.
Plateformes prises en charge
L’intégration IDP de WalkMe prend en charge l’utilisation de plusieurs protocoles d’authentification, notamment OAuth 2.0, OpenID Connect et SAML, afin d’authentifier les utilisateurs auprès de leur fournisseur IDP organisationnel et d’obtenir des attributs utilisateur pouvant être utilisés ultérieurement pour la segmentation et l’analyse dans WalkMe. Chaque fournisseur IDP qui prend en charge ces protocoles doit fonctionner avec WalkMe. WalkMe prend en charge le flux initié par SP.
Qu’est-ce qu’OAuth 2.0 ?
OAuth 2.0, qui représente « Open Authorization » (ouvrir l’autorisation), est une norme conçue pour permettre à un site ou une application d’accéder aux Resources hébergées par d’autres applications Web au nom d’un utilisateur. OAuth 2.0 est le protocole d’autorisation standard de l’industrie.
Qu’est-ce qu’OpenID Connect ?
OpenID Connect est une simple couche d’identité au-dessus du protocole OAuth 2.0, qui permet aux clients informatiques de vérifier l’identité d’un utilisateur final sur la base de l’authentification effectuée par un serveur d’autorisation, ainsi que d’obtenir des informations de profil de base sur l’utilisateur final dans une manière interopérable et de type REST.
L’intégration IDP prend actuellement en charge les fournisseurs suivants :
- Okta
- G-Suite
- ADFS
- AzureAD
- PingID
- Les fournisseurs d’identité qui utilisent OpenID
Outre OpenID Connect, le protocole d’authentification le plus courant est SAML. Pour obtenir des instructions sur la création et la configuration d’une intégration à l’aide de SAML, veuillez vous reporter à notre article sur l’intégration IDP SAML.
Prérequis
Une application IDP doit être créée pour servir de pont entre l’IDP et le Centre d’intégration WalkMe.
Un guide d’instructions est disponible dans l’écran de configuration du Centre d’administration pour tous les systèmes pris en charge.
Ajouter un fournisseur d’identité
1. Dans l’onglet Intégrations IDP du Centre d’administration, cliquez sur le bouton « + Ajouter un fournisseur d’identité »
2. Sélectionnez le type de protocole OAuth 2.0
3. Fournissez les paramètres de configuration appropriés pour la connexion
-
- Fournisseur IDP : sélectionnez un fournisseur à partir de la liste
- Nom de l’IDP – Nom de la connexion
- ID client – Identifiant public pour les applications
- Secret client – Secret connu uniquement de l’application et du serveur d’autorisation
- Domaine du fournisseur IDP : domaine de votre organisation
- Pour OpenID Connect :
- Fournisseur IDP : sélectionnez OpenID Connect à partir de la liste des fournisseurs Oath2.0
- Nom de l’IDP – Nom de la connexion
- ID client – Identifiant public pour les applications
- Secret client – Secret connu uniquement de l’application et du serveur d’autorisation
- URL de découverte du fournisseur IDP
- Portée du fournisseur IDP
- Politique de sécurité du contenu
- Votre fournisseur IDP
- Utiliser le jeton d’identification pour obtenir les propriétés des utilisateurs finaux – Cochez le bouton bascule pour l’activer
4. Cliquez sur « Enregistrer et suivant » une fois prêt
- Notez que nous n’exigeons pas d’URL de déconnexion
5. Choisissez un identifiant d’utilisateur final unique pour identifier les utilisateurs
- Vous n’avez besoin que d’un seul identificateur ; nous n’avons ni besoin d’informations supplémentaires sur le groupe ni d’autres attributs
6. Sélectionnez les propriétés souhaitées et assurez-vous que le type de données correct a été choisi :
-
- Chaîne
- Numéro
- Date
7. Sélectionnez les systèmes auxquels vous souhaitez affecter l’intégration IDP
- Pour chaque système, vous pouvez activer séparément l’intégration IDP sur les environnements souhaités
8. Utilisez le bouton bascule pour appliquer la SSO
9. Cliquez sur « Finish » (finir).
10. Un message apparaîtra vous indiquant si votre IDP a été ajouté avec succès ou pas
- Vous pouvez désormais segmenter le contenu à l’aide des attributs importés dans Insights et dans l’éditeur sous Attributs utilisateur > IDP avec les conditions de filtrage appropriées en fonction du type de champ de données défini.
- Pour en savoir plus, cliquez ici.
Gestion d’un fournisseur d’identité
En survolant la ligne d’un fournisseur d’identité, plusieurs options s’offrent à vous :
- Supprimer
- Gérer l’affectation du système
- Importer des propriétés
- Modifier
- Développer
Supprimer
- Cliquez sur l’icône de la corbeille pour « supprimer » un fournisseur d’identité.
Gérer l’affectation du système
- Cliquez sur l’icône « + » pour ouvrir l’écran de gestion de l’affectation du système.
- Sélectionnez ou désélectionnez les systèmes que vous souhaitez affecter au fournisseur d’identité
- Vous pouvez également utiliser la bascule pour appliquer la SSO
- Cliquez sur le bouton « Save Changes » (enregistrer les changements) une fois que vous avez fini
Importer des propriétés
- Cliquez sur l’icône de la liste et puis sur le bouton « Import Properties » (importer les propriétés) pour modifier ou ajouter des propriétés importées supplémentaires
Ces attributs seront utilisés pour la segmentation du contenu et la création de rapports dans Insights.
Modifier
- Cliquez sur l’icône en forme de crayon pour modifier les paramètres du fournisseur d’identité
- Vous serez en mesure de modifier tous les champs renseignés dans la configuration initiale du fournisseur d’identité
Développer/Réduire la vue
- Utilisez l’icône de la flèche pour ouvrir et réduire la vue élargie
- Une fois développé, vous verrez tous les systèmes attribués à un fournisseur d’identité et si Enforce SSO a été activé ou pas
Les meilleures pratiques
Configuration « Enforce SSO » (Appliquer l’authentification unique)
- Lorsque l’authentification IDP doit être activée avant d’ouvrir la page Web à l’utilisateur final, si le jeton IDP n’est pas reconnu, l’utilisateur final sera redirigé vers sa page de connexion IDP.
- Chaque fois que l’utilisateur final ne parvient pas à s’authentifier auprès de l’IDP pour des raisons telles que l’IDP était en panne, le client a oublié les informations d’identification ou l’utilisateur final n’a pas été affecté à l’application de l’IDP, l’authentification unique sera désactivée pendant 1 heure et l’identifiant de l’utilisateur sera automatiquement réduit à la méthode « WalkMe ID » en tant que fallback, ou WalkMe ne se chargera pas, selon la configuration du client.
- Après 1 heure – si le jeton IDP n’est toujours pas reconnu, l’utilisateur final sera à nouveau redirigé vers sa page de connexion IDP, sinon, la connexion à l’IDP ne sera pas nécessaire. Il est important de s’assurer que cela est absolument clair pour le client. Sinon, N’activez PAS cette option.
- Lorsque désactivé – L’authentification IDP est tentée lors du chargement de la page, mais s’il n’y a pas de jeton actif pour IDP, l’utilisateur final ne sera pas redirigé vers IDP. L’identifiant de l’utilisateur sera automatiquement réduit à la méthode « ID WalkMe » ou WalkMe ne se chargera pas, selon la configuration du client.
Limites
- L’extension du navigateur Safari n’est pas prise en charge par IDP
- La modification de l’identificateur d’utilisateur affecte la manière dont WalkMe identifie les utilisateurs finaux et peut réinitialiser les configurations « Play once » (lecture unique)
- L’utilisateur doit avoir des autorisations d’administrateur pour le centre d’administration
- IDP doit être configuré sur le système requis
- Les utilisateurs finaux doivent utiliser IDP pour s’authentifier auprès de ce système
- Si votre entreprise a une CSP (Content Security Policy ou Politique de sécurité du contenu), elle bloquera les appels vers le fournisseur IDP
- Afin de surmonter cela, la bonne URL doit être ajoutée dans les paramètres CSP de la configuration de l’extension
- Après l’attribution des systèmes, le paramètre UUID des systèmes attribués est automatiquement défini sur IDP et les paramètres sont publiés de sorte qu’aucune autre action n’est requise
- Pour que les modifications de l’IDP prennent effet, les systèmes du client doivent être mis à jour vers la dernière version de WalkMe (cela peut être réalisé en publiant les paramètres)
- Pour les comptes d’entreprise, vous devez cocher « Mettre à jour vers la dernière version de WalkMe » lors de la publication
Mobile Web :
- Mobile Web sera automatiquement activé une fois que la configuration IDP est terminée.
- Si Mobile Web est ajouté après IDP / OneID a déjà été activé, les utilisateurs devront désactiver puis réactiver IDP pour la prise en charge de Mobile Web