Avertissement : cet article explique comment utiliser la Configuration SAML héritée. Si votre plateforme a été migrée vers la nouvelle configuration SAML, veuillez consulter l’article Docebo for SAML - Configuration smart et standard.
Introduction
L’application SAML de votre plateforme vous permet de configurer l’authentification unique (SSO) à l’aide de divers fournisseurs d’identité. De cette façon, les utilisateurs peuvent se connecter à leur plateforme d’apprentissage à l’aide des identifiants de sessions actives d’autres plateformes web.
À noter : la plateforme offre deux options pour la configuration SAML : Smart et Standard. Pour un aperçu des différences, consultez l’article Introduction à Docebo for SAML.
Cet article fournit des instructions générales pour les configurations Smart et Standard.
Configurer SAML avec des fournisseurs d’identité spécifiques
Si vous configurez SAML pour qu’il fonctionne avec Okta, Microsoft Entra ID (Azure AD), OneLogin ou Google, consultez également les articles suivants qui fournissent des instructions spécifiques :
- Configuration d’Okta
- Configuration de Microsoft Entra ID (Azure AD)
- Exemple de configuration de OneLogin
- Configuration de Google (s'ouvre dans un nouvel onglet)
De plus, lors de la configuration de SAML, n’oubliez pas de définir le Chiffrement de l'assertion sur Non chiffré, car ce paramètre est entièrement pris en charge.
Prérequis
L’application SAML doit être activée sur votre plateforme, comme décrit dans l’article Managing apps and features.
Si vous prévoyez de configurer l’authentification unique SAML pour un domaine personnalisé ou pour un domaine secondaire, vous devez d’abord configurer le domaine dans la Gestion des domaines.
Accéder à la page des paramètres SAML de la plateforme
Pour commencer, ouvrez la page des paramètres SAML et sélectionnez le type de configuration souhaité.
→ Vous devez effectuer cette opération sur la plateforme (plateforme principale ou client Extended Enterprise) pour laquelle vous configurez l’authentification unique.
Pour une plateforme principale :
- sélectionnez Menu de navigation > Modules et intégrations (icône puzzle) > SAML.
Pour un client Extended Enterprise :
- sélectionnez Menu de navigation > Configuration (icône clé à molette) > Configuration de la plateforme et outils > Gestion de l’entreprise étendue.
- cliquez sur l’icône d’engrenage à côté du client pour lequel vous configurez le SSO.
- dans la navigation verticale, sélectionnez Paramètres SAML 2.0. Sélectionnez ensuite Activer la configuration personnalisée pour ce client.
Astuce : notez que la page des paramètres SAML 2.0 aura la même apparence dans les deux cas (plateforme principale ou client Extended Enterprise).
Une fois la page des paramètres SAML 2.0 ouverte, sélectionnez si vous souhaitez utiliser le type de configuration Smart ou Standard. La configuration avec l’option Smart est légèrement plus simple, mais si nécessaire, vous pouvez également basculer vers le type de configuration Standard.
Avertissement : s’il existe déjà une configuration SAML sur la page, le fait de passer de Smart à Standard ou vice versa entraînera la perte de vos paramètres précédents, même si vous ne cliquez pas sur Enregistrer les modifications.
Cochez ensuite la case Actif pour activer les champs de configuration. Certains des champs que vous voyez sont spécifiques au type de configuration que vous avez sélectionné (Smart ou Standard), tandis que d’autres paramètres sont communs aux deux.
Passez à la configuration des paramètres SAML pour le type de configuration que vous avez choisi, comme décrit dans les chapitres suivants : Paramètres SAML pour la configuration Smart ou Paramètres SAML pour la configuration Standard.
Lorsque vous avez terminé, cliquez sur Enregistrer les modifications.
Paramètres SAML pour la configuration Smart
Ce chapitre couvre les paramètres à configurer si vous sélectionnez le type de configuration Smart.
|
Champ de paramètres SAML (Configuration Smart) |
Notes |
| URL SSO | Le endpoint SAML HTTP de votre fournisseur d’identité. Il s’agit de l’adresse web réelle où les requêtes SAML sont envoyées pour initier l’authentification. |
| Émetteur | Obtenu auprès du fournisseur d’identité. Il s’agit d’un identifiant unique pour le service SAML de votre compte auprès du fournisseur d’identité. Par exemple, pour OneLogin, il s’agit de l’URL de l'émetteur, pour Microsoft Entra, il s’agit de l’Identifiant Microsoft Entra. |
| Certificat X509 | Ici, vous devez téléverser le certificat X.509 que vous obtenez auprès du fournisseur d’identité. → Votre certificat X.509 sera validé lors du téléversement. Voir le chapitre Validation et expiration du certificat. |
| Autoriser le certificat du fournisseur de services (facultatif) |
Ce certificat permet à la plateforme de signer les requêtes d’authentification SAML et les assertions envoyées au fournisseur d’identité. Certains fournisseurs d’identité ou fédérations peuvent exiger que les fournisseurs de services détiennent un certificat. Ici, vous pouvez téléverser un fichier de certificat CRT et un fichier de clé privée PEM. Pour plus d’informations, consultez le chapitre Certificat du fournisseur de services. → Vos certificats PEM et CRT seront validés lors du téléversement. Cela inclut la vérification qu’ils constituent une paire de clés correspondante. Voir le chapitre Validation et expiration du certificat. |
| Attribut du nom d'utilisateur | Définissez quel champ (attribut) du fournisseur d’identité sera utilisé pour identifier de manière unique l’utilisateur sur la plateforme d’apprentissage. - Le champ sélectionné doit être renseigné pour tous vos utilisateurs du côté du fournisseur d’identité, et également distinct pour chaque utilisateur. - Le champ du fournisseur d’identité que vous sélectionnez dans Attribut du nom d'utilisateur sera mis en correspondance avec le champ Nom d'utilisateur sur la plateforme. |
| Comportement du SSO |
Dans cette section, vous pouvez configurer la façon dont les utilisateurs se connectent à la plateforme avec le SSO. Vous pouvez au choix : Pour plus d’informations, consultez l’article General guidance for SSO configuration > SSO behavior. |
|
Comportement de déconnexion (facultatif) |
Sélectionnez cette option si vous souhaitez que les utilisateurs soient automatiquement déconnectés du fournisseur d’identité lorsqu’ils se déconnectent de la plateforme. → Pour pouvoir configurer cela, vous devez d’abord avoir téléversé le Certificat du fournisseur de services (fichiers CRT et PEM) Lorsque cette option est sélectionnée, le champ de texte Endpoint déconnexion apparaît. Ici, vous devez définir l’URL vers laquelle les utilisateurs atterriront après s’être déconnectés de la plateforme et du fournisseur d’identité. Grâce à cette configuration, les utilisateurs peuvent atterrir sur une URL différente de celle utilisée pour le SSO. |
| Métadonnées SAML 2.0 SP |
Vous pouvez copier l’ID d'entité, l’URL de connexion et l’URL de déconnexion affichés ici pour les saisir dans la configuration de votre fournisseur d’identité. Ici, vous pouvez également télécharger le fichier de métadonnées, si votre fournisseur l’exige. |
|
Provisionnement des utilisateurs (facultatif) |
Le provisionnement des utilisateurs vous permet de créer automatiquement un nouvel utilisateur sur la plateforme si l’authentification SSO est valide, mais que cet utilisateur n’existe pas encore sur la plateforme. Pour obtenir des instructions, consultez le chapitre Provisionnement des utilisateurs. |
Validation et expiration du certificat
Uniquement pour la configuration Smart, la plateforme valide automatiquement les certificats téléversés, suit également leur expiration et vous en informe. Cela s’applique à la fois aux fichiers de Certificat X509 et de Certificat du fournisseur de services.
Validation : une fois le téléversement du fichier de certificat terminé, un message apparaîtra pour vous informer si le ou les fichiers téléversés sont valides ou non.
Vous pouvez appuyer sur le bouton Voir les détails pour vérifier comment la plateforme a lu et validé vos fichiers de certificat, y compris le statut de validité et les dates d’expiration.
Expiration :
Votre plateforme utilisera automatiquement les dates d’expiration de vos certificats téléversés pour envoyer à tous les Superadmins de la plateforme des notifications obligatoires concernant les mises à jour nécessaires de votre configuration SAML à l’approche de votre date d’expiration (30, 15, 5 et un jours avant l’expiration du certificat). Les notifications ne peuvent pas être modifiées ou désactivées. De cette façon, vous pouvez mettre à jour votre configuration SAML avant son expiration, afin que vos utilisateurs ne soient pas bloqués lors de la connexion à la plateforme. Pour les plateformes Extended Enterprise, des notifications seront envoyées pour les configurations SAML à la fois sur la plateforme principale et sur tous les clients Extended Enterprise.
Paramètres SAML pour la configuration Standard
Ce chapitre couvre les paramètres à configurer si vous sélectionnez le type de configuration Standard.
|
Champ de paramètres SAML (Configuration Standard) |
Remarques |
| ID du fournisseur d'identité | Obtenu auprès du fournisseur d’identité. Il s’agit d’un identifiant unique pour le service SAML de votre compte auprès du fournisseur d’identité. Par exemple, pour OneLogin, il s’agit de l’URL de l'émetteur, pour Microsoft Entra, il s’agit de l’Identifiant Microsoft Entra. |
| Autoriser le certificat du fournisseur de services (facultatif) |
Ce certificat permet à la plateforme de signer les requêtes d’authentification SAML et les assertions envoyées au fournisseur d’identité. Cochez cette case pour téléverser un fichier de certificat CRT et un fichier de clé privée PEM. Pour plus d’informations, consultez le chapitre Certificat du fournisseur de services. Notez que pour la configuration standard, les fichiers téléversés ne sont pas automatiquement validés. Il vous appartient de vérifier qu’ils constituent une paire de clés correspondante. ! Si vous modifiez une configuration préexistante et désactivez l'option Autoriser le certificat du fournisseur de services, assurez-vous d’avoir enregistré les certificats ailleurs, car ils seront automatiquement supprimés lorsque vous enregistrerez la configuration SAML. |
| Algorithme de signature | Sélectionnez l’algorithme de chiffrement SHA-256 pour valider votre fournisseur d’identité. Vous devez également définir le même du côté du fournisseur d’identité. Remarque : l’algorithme SHA-1 n’est plus pris en charge. |
| Métadonnées XML | Dans ce champ, vous devez coller le contenu du fichier de métadonnées XML obtenu auprès de votre fournisseur d’identité. |
| Attribut du nom d'utilisateur |
Définissez quel champ (attribut) du fournisseur d’identité sera utilisé pour identifier de manière unique l’utilisateur sur la plateforme d’apprentissage. - Le champ sélectionné doit être renseigné pour tous vos utilisateurs du côté du fournisseur d’identité, et également distinct pour chaque utilisateur. - Le champ du fournisseur d’identité que vous sélectionnez dans Attribut du nom d'utilisateur sera mis en correspondance avec le champ de la plateforme sélectionné dans Champ unique. |
| Champ unique (la valeur par défaut est Nom d'utilisateur) |
Définissez quel champ utilisateur sur la plateforme (Nom d'utilisateur, UUID, E-mail) sera mis en correspondance avec le champ du fournisseur d’identité défini dans Attribut du nom d'utilisateur. → Ici, il est recommandé de définir le champ Nom d'utilisateur. Remarque : l’UUID est un identifiant d’utilisateur unique en lecture seule au sein de la plateforme.
|
| Comportement du SSO |
Dans cette section, vous pouvez configurer la façon dont les utilisateurs se connectent à la plateforme avec le SSO. Vous pouvez au choix : Pour plus d’informations, consultez l’article General guidance for SSO configuration > SSO behavior. |
| Comportement de déconnexion (facultatif) |
Ici, vous pouvez définir si l’utilisateur doit également être automatiquement déconnecté du fournisseur d’identité lorsqu’il se déconnecte de la plateforme. Pour que la demande de déconnexion soit acceptée par un fournisseur d’identité, la demande de déconnexion doit généralement être signée. |
| Métadonnées SAML 2.0 SP |
Une fois que vous avez effectué toutes les autres configurations, vous pouvez appuyer sur Enregistrer les modifications au bas de la page. Cliquez ensuite sur Télécharger pour télécharger le fichier de métadonnées XML.
|
|
Provisionnement des utilisateurs (facultatif) |
Le provisionnement des utilisateurs vous permet de créer automatiquement un nouvel utilisateur sur la plateforme si l’authentification SSO est valide, mais que cet utilisateur n’existe pas encore sur la plateforme. Pour obtenir des instructions, consultez le chapitre Provisionnement des utilisateurs. |
Certificat du fournisseur de services
Le certificat du fournisseur de services est principalement utilisé pour la signature et le chiffrement dans l’authentification basée sur SAML. Il est composé de deux éléments :
- Le certificat (fichier CRT) : contient la clé publique et les informations d’identification sur le service, signées par une autorité de certification (CA) de confiance.
- La clé privée (fichier PEM) : il s’agit de la clé privée correspondante qui peut être utilisée pour créer des signatures numériques.
Par exemple, lors de l’envoi d’une requête d’authentification SAML au fournisseur d’identité (IdP), la plateforme signe la requête à l’aide de sa clé privée (dans le fichier PEM). L’IdP vérifie ensuite la signature à l’aide de la clé publique contenue dans le certificat (fichier CRT).
Vous devez téléverser à la fois le fichier de clé privée et le fichier de certificat. Aucun des deux fichiers ne peut contenir d’informations supplémentaires (le fichier PEM ne doit contenir que la clé privée et le fichier CRT ne doit contenir que le certificat).
De plus, les hachages des fichiers CRT et PEM doivent correspondre, ce qui signifie que la clé publique du certificat correspond à la clé privée. Cela garantit qu’ils ont été générés ensemble en tant que paire de clés. Dans la configuration Smart, cela est automatiquement validé. En revanche, dans la configuration Standard, il vous incombe de vous assurer de l’exactitude des fichiers téléversés.
Exemple de certificat au format CRT :
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----Exemple de clé privée au format PEM :
-----BEGIN RSA PRIVATE KEY----- MIIEowIBAAKCAQEAwS2ucXntCD59zCC27PCMr3+oHGaqIv1m9GkNf/I0CiX/hvlY UwzWy7UP91ccLSTvJYF4917WWxhN8HBqBNYCwiOoPkdFUXC0VF6Fxc6ti33thKqi 7u8uR+ZwFTjdaeW9mJQt9qC1bdlvvbo0fmTbrcUC5/975USpejfxtMLX4znX3Dkc xD5gdBE3kgwwZmlchkSYSWngxBIbs6HtCvsVx1hEQjiPPClWO6U3+Ho5Lb981JNV vaRVWzbcE8osE7Ogt0j7R5PNkvgFtJttPAEjZZBa4CDM2IXRJahrF5Kyk4BWukeh Sn2Kw7C/lf5SD2n0tFiiqHdK8mLvQEC0h+gJ2wIDAQABAoIBAQCqpZT0zxURdEqi GMAe3Hwax/UUaaif0iOxgl+Xh7hqwphQflGEw9G3D5I0F3JfesH66r2WH+PRgs3O uS8eaIL1RpRnt4PHZn0WDo2zaFir4akAyc+2q/jBMRIP3TTSSE1MzJExzVOX3z0z Z5rZkHTysxdXI7wpkpb3zRWqbXhSUwyvLxHFWOamRNJb/LjiLko30pblyGZG744Q XmoHrDcpN46OpZTITMqF8SJbnJXKKPzIWRvTVxVRUzVwth4OgXFNPkfyJgsZ1DD+ wFvH+kI72l9yhF9UcI0IoEbk6I5Ao3O6O3+X6FV2YJhFPb4vfhKJI1irMS+rpCzB h9prqE4BAoGBAOC4rnPb7bltW7+7Dvi3e5CO1SfKBShFhmPM6mYSC6A2uSjcjfG5 Phgjc7pDbH2Ec0wdYezJUAsXFCrNAbVECSrSfoDqncar9cJUA61xT2q2CcUbvHYJ w7rroQk4WYXhxov9K4PiSljateyDelAxrstfRcokyHu8fT8C02k6hmcBAoGBANwR DfckqbFfcSsWvpTGT7gVv6aDuKGgfmvrUElDgY6K6Nt49pdiExXKI3jdx7JIkqZg t8LnXC4tFgLpFXkxHnikIW4twt0qrhe19z9phq6AW8d6rcePM7TuAVpXLzhWHPK6 UY4PESl4SBzoB4yyWKCDBcsDBJrOh8cYCWFg+ezbAoGADa9ReF7BSFR/jNqAW+cY kEISevzTeZNaTsOQ1qxsptIOTo232yuTu3aVOpeWiMJDHzR+3SOZS0OZh826N+av xDrTV1hySUH5kl75ZluLIY16ZNV+kZWgpMZqpRwYX43TQH0nZD2ol2aiQ4fyL+YG pf3kSx4YU2i0G905MKROwQECgYAMMUmzyq04LZCIkZ8HgSFDkrjmkd+13L2EXyo4 lOvlqN6T4lTPOFjUWTmz5Z29y/WMEEm+G7FowYi5qo5NA6KrjnRntVNZi21egO9s 7PzQSD5NhAeCyfVUbedXSQNNvL+n1xjTpRQPVyGvsE9SxULRydCVWdp0dULijftf EM9oBwKBgBzpA1Qj9fgj7hOVCDdrqcuX3/qWmuwiqV+bjGK2FPrW/7G5BSNsj8Gc /KuXgcZCPMRlobEue5ha0kFnPbUGhYngqJQEmsodkbK3Kz21zHOP4nTc3FublfLo Hzsrl5PEUsehiA+lf6TZtW/Jlo5vnrGEchSgTau09I4meN803DdX -----END RSA PRIVATE KEY-----
Remarques importantes concernant le comportement du SSO : le Comportement du SSO est testé avec des fournisseurs d’identité standard. Généralement, étant donné que Docebo démarre le SSO initié par le fournisseur d’identité, le premier appel n’est pas sécurisé puisque les utilisateurs doivent encore saisir leurs propres identifiants dans le fournisseur d’identité. La configuration du côté du fournisseur d’identité créera ensuite un canal sécurisé.
Provisionnement des utilisateurs
Le provisionnement des utilisateurs vous permet de créer automatiquement un nouvel utilisateur sur la plateforme si l’authentification SSO est valide, mais que cet utilisateur n’existe pas encore sur la plateforme. Il vous permet également de mettre à jour automatiquement les détails d’un utilisateur sur la plateforme en fonction des informations correspondantes dans le fournisseur d’identité.
Astuce : par défaut, un utilisateur est considéré comme existant déjà sur la plateforme si son Nom d'utilisateur correspond au champ du fournisseur d’identité que vous avez défini comme Attribut du nom d'utilisateur.
Uniquement dans la configuration SAML Standard, vous pouvez si besoin définir un champ de correspondance différent (UUID ou E-mail au lieu de Nom d'utilisateur) dans le Champ unique.
Activer la création d'utilisateurs provisionnés :
Pour commencer, cochez l'option Activer. Une fois le provisionnement activé, un utilisateur se connectant via SSO qui n’existe pas encore sur la plateforme sera créé à la volée, par défaut avec le Nom d'utilisateur de la plateforme = le champ du fournisseur défini dans Attribut du nom d'utilisateur.
→ Remarque pour la configuration standard : si au lieu de Nom d'utilisateur, un champ unique différent est défini pour la correspondance, veuillez noter que l’option UUID ne permettra pas la création d’utilisateurs provisionnés, et que l’option E-mail ne fonctionnera correctement que si tous les utilisateurs ont des e-mails distincts.
Remarque sur le placement par défaut dans la branche : pour le SSO sur la plateforme racine, les utilisateurs nouvellement créés seront placés dans la branche racine. Pour le SSO sur un client Extended Enterprise, les utilisateurs nouvellement créés seront placés dans la branche associée au client.
Ajouter plus de champs provisionnés :
En plus du Nom d'utilisateur, vous souhaiterez peut-être renseigner d’autres détails d’un utilisateur provisionné à l’aide des informations récupérées auprès du fournisseur d’identité.
Vous configurez cela dans la section Ajouter des champs.
- Saisissez le nom d’un champ d'utilisateur de la plateforme ou d’un champ supplémentaire d’utilisateur dans la zone de texte en haut, puis cliquez sur Ajouter. Le champ saisi apparaîtra sous l’en-tête Nom du champ .
- Maintenant, dans la case Déclaration d'attribut à côté du champ nouvellement ajouté, saisissez l’attribut correspondant du fournisseur d’identité que vous souhaitez utiliser pour ce champ.
Répétez les deux étapes précédentes pour tous les champs que vous souhaitez provisionner. Notez que chaque champ de la plateforme et champ du fournisseur d’identité ne peut être utilisé qu’une seule fois. Vous ne pouvez pas faire correspondre plusieurs champs de la plateforme au même attribut, ou vice versa.
Champs d'utilisateur pris en charge pour le provisionnement SAML :
Nom d'utilisateur, Prénom, Nom, E-mail, Nom de la branche, Code de la branche, Langue et Champs supplémentaires.
| Champ dans la plateforme | Notes |
| Nom d'utilisateur | |
| Prénom Nom |
Si dans Paramètres avancés > Auto-inscription de la plateforme vous avez coché l'option Le prénom et le nom sont requis pour s'inscrire, assurez-vous d’inclure ces champs dans la section Ajouter des champs, afin que les utilisateurs provisionnés puissent être créés. |
| Nom de la branche | |
| Code de la branche | |
| Langue | Dans le champ de langue de votre fournisseur d’identité, l’entrée doit utiliser l’un des codes de langue que la plateforme utilise pour identifier les langues (en = anglais, de = allemand, etc.). Si le code fourni pour ce champ pour un utilisateur spécifique ne correspond à aucun des codes de langue de la plateforme, la langue par défaut définie sur la plateforme lui sera attribuée lors de l’activation. |
| Champs supplémentaires |
Si vous souhaitez renseigner le champ supplémentaire d’utilisateur pays (country) via SSO, une valeur acceptable serait l’ID du pays (Country ID) ou le Nom du pays (Country Name) tels que listés dans l’article intitulé List of ISO 3166-1 countries. Si vous avez défini certains champs supplémentaires d'utilisateur comme obligatoires sur la plateforme, assurez-vous qu’ils sont mappés ici afin qu’ils puissent être renseignés, car sinon l’utilisateur ne pourra pas être créé correctement. |
Verrouiller les champs d'utilisateur provisionnés :
Cochez la case Verrouiller les champs d'utilisateur provisionnés pour empêcher les utilisateurs de modifier, dans Mon profil, les champs d'utilisateur provisionnés. Ces champs apparaîtront grisés et marqués comme désactivés (disabled), afin que l’utilisateur ne puisse pas modifier la valeur obtenue auprès du fournisseur d’identité.
→ Pour certaines limitations et problèmes importants pouvant survenir avec des champs verrouillés, veuillez vous reporter à l’article Conseils génériques pour la configuration du SSO > Verrouiller les champs des utilisateurs provisionnés.
Mettre à jour les champs provisionnés :
Cochez la case Si l'utilisateur existe déjà, mettre à jour ses informations pour mettre à jour automatiquement, au sein de la plateforme, les valeurs de tous les champs provisionnés qui ont été modifiés du côté du fournisseur d’identité. Si vous ne sélectionnez pas cette option, vous devrez copier manuellement toutes les modifications pour maintenir les champs provisionnés alignés.
Cliquez sur Enregistrer les modifications pour terminer la configuration.
Comparaison des champs d'utilisateur avec SAML et l'application Automation
Selon le champ, vous pouvez les importer via CSV, via SAML, ou via l’application Automation.
Voici une comparaison des champs que vous pouvez importer via Automation ou via le SSO SAML :
| Champ de données d'utilisateur Docebo | Application Automation | SSO SAML |
|---|---|---|
| Username (Nom d'utilisateur) | Oui | Oui |
| First name (Prénom) | Oui | Oui |
| Name (Nom) | Oui | Oui |
| Email (E-mail) | Oui | Oui |
| Level (Niveau) | Oui | |
| Profile name (Nom du profil) | Oui | |
| Branch name (Nom de la branche) | Oui | Oui |
| Branch code (Code de la branche) | Oui | Oui |
| Branch name path (Chemin du nom de la branche) | Oui | |
| Branch code path (Chemin du code de la branche) | Oui | |
| Password (Mot de passe) | Oui | |
| Hashed password (Mot de passe haché) | Oui | |
| Active (Actif) | Oui | |
| Force password change (Forcer le changement de mot de passe) | Oui | |
| Expires on (Expire le) | Oui | |
| Language (Langue) | Oui | Oui |
| Date format (Format de la date) | Oui | |
| Time zone (Fuseau horaire) | Oui | |
| New username (Nouveau nom d'utilisateur) | Oui | |
| User ID (ID de l'utilisateur) | ||
| Is manager (Est manager) | Oui | |
| UUID | ||
| Direct manager (Manager Direct) | Oui (Remarque : pour renseigner cela, le champ s'appelle Est manager) |
|
| Other manager types (Autres types de managers) | ||
| Additional fields (Champs supplémentaires) | Oui | Oui |
À noter : la création de branches dans SAML n’est pas prise en charge via l’importation CSV. Tous les utilisateurs seront automatiquement placés dans la branche racine dans les configurations à domaine unique ou, si l’application Extended Enterprise est active, dans la branche correspondant au sous-domaine concerné.
Lors de la définition de votre stratégie de provisionnement, demandez-vous si vous souhaitez surveiller vos utilisateurs ou envoyer des notifications avant le lancement. Si c’est le cas, vous devrez précharger ces utilisateurs.
Meilleures pratiques
Remplissage automatique des groupes
Afin de tirer le meilleur parti de cette intégration, vous pouvez configurer des groupes automatiques, puis utiliser l’application Règles d'inscription de Docebo pour inscrire automatiquement ces groupes à des cours ou à des plans de formation. Ainsi, lorsqu’un nouvel utilisateur est créé, vous n’avez pas besoin de l’affecter manuellement à des groupes, des cours ou des plans de formation.
Veuillez noter qu’afin d’associer correctement les champs SAML nouvellement ajoutés et les champs supplémentaires de la plateforme nouvellement ajoutés et de les utiliser pour remplir automatiquement des groupes, vous devez toujours vous déconnecter à la fois de la plateforme et du fournisseur d’identité. Par conséquent, assurez-vous d’avoir activé l’option dans la section Comportement de déconnexion. Si cette option n’est pas cochée, ce processus de provisionnement d’utilisateurs ne se lancera pas.
Endpoints SAML simplifiés
Pour certains fournisseurs d’identité SAML, les endpoints SAML standard fournis par les métadonnées XML ne sont pas autorisés. Dans ce cas, Docebo propose des endpoints simplifiés. Docebo dispose de métadonnées SAML 2.0 sans la partie chaîne de requête (query string), les rendant ainsi acceptables par OpenSAML :
http(s)://exampleLMS.docebosaas.com/simplesaml/modules/saml/sp/saml2-logout.php/default-sp
http(s)://exampleLMS.docebosaas.com/simplesaml/modules/saml/sp/saml2-acs.php/default-sp
Configurer un domaine après la configuration du SSO SAML
Si un domaine personnalisé ou un domaine secondaire doit être configuré après que le SSO SAML a déjà été configuré, vous devrez :
- Configurer entièrement le domaine personnalisé ou le domaine secondaire sur votre plateforme, comme indiqué dans l’article correspondant : Domain management: Configuring custom domains ou Domain management: Configuring secondary domains.
- Accéder à la page des paramètres SAML et, dans la section des métadonnées SAML 2.0, copier les nouvelles informations (telles que l’ID d'entité, l’URL de connexion ou l’URL de déconnexion) et les utiliser pour mettre à jour la configuration du côté du fournisseur d’identité. De cette façon, le fournisseur d’identité sera connecté au domaine nouvellement configuré plutôt qu’à l’URL précédente de la plateforme.
Certification AWS
Docebo est disponible dans le catalogue SSO AWS.
Autres remarques
À noter : pour éviter les configurations SAML incorrectes, Docebo a mis en place un bloqueur depuis avril 2018. Si la connexion continue de faire des allers-retours, Docebo a ajouté un dispositif d'arrêt qui affichera une page d'erreur. De plus, le navigateur déclenchant la boucle sera suspendu pendant une heure.