Introduction
Lorsque vous activez l'application SAML dans Docebo, les utilisateurs peuvent se connecter à leur plateforme en utilisant les identifiants d’une session active d’autres plateformes web. Docebo propose deux types de procédure de configuration pour l'intégration SAML appelées Smart Configuration et Standard Configuration. Cet article présente la différence entre les deux afin que vous puissiez savoir laquelle est la plus adaptée pour vous.
Smart Configuration vs Standard Configuration
Lorsque vous configurez l’intégration entre Docebo et SAML, vous pouvez choisir la procédure Smart Configuration ou Standard Configuration.
Si vous avez configuré l’intégration avant le 25 février 2020, vous avez suivi la procédure Standard Configuration alors que la procédure Smart Configuration est l’option par défaut pour les intégrations faites après le 25 février 2020.
Indépendamment du type de configuration actuellement sélectionnée dans votre plateforme, et de si vous avez déjà configuré l’intégration, vous pouvez la configurer à nouveau à tout moment mais veuillez noter que tous vos paramètres seront perdus et que vous devrez commencer la configuration à partir de zéro.
Voici une comparaison entre les deux types d’intégration :
Configuration Smart |
Configuration Standard |
|
Procédure Guidée |
Configuration guidée pour les principaux fournisseurs d’IdP, facile à utiliser même sans grande expérience technique. |
Respect du protocole standard SAML pour les scénarios SSO avancés. Pas de configuration guidée, mais plus flexible, nécessite une ancienneté technique. |
Validation Certificat x509 |
Validation certificat x509 automatique pour les principaux fournisseurs d’IdP lors du téléversement du certificat. |
Pas de validation du certificat x509 automatique lors du téléversement du certificat. L’intégration permet une utilisation standard basée sur des spécifications de sécurité. L’utilisateur qui configure l’intégration est responsable de la validation du certificat. |
Validation Certificat PEM/CERT |
Validation certificat PEM/CERT automatique pour les principaux fournisseurs d’IdP lors du téléversement du certificat. |
Pas de validation du certificat PEM/CERT automatique lors du téléversement du certificat. L’intégration permet une utilisation standard basée sur des spécifications de sécurité. L’utilisateur qui configure l’intégration est responsable de la validation du certificat. |
Notification d'Expiration Certificat |
La plateforme envoie automatiquement une notification avant l’expiration des certificats x509 et PEM/CERT, à titre de rappel de renouvellement automatique. Les notifications ont un format standard non modifiable et sont envoyées 30 jours, 15 jours, 5 jours et un jour avant l’expiration du certificat. Si l’application Extended Enterprise est active sur votre plateforme, les notifications sont envoyées au domaine principal et à tous les sous-domaines. |
Il n'y a pas de notification envoyée pour le rappel de renouvellement. Le processus de renouvellement doit être exécuté manuellement par la personne en charge de l’intégration. |
En Savoir Plus
Référez-vous aux article suivants pour en savoir plus :
- sur l'intégration Docebo SAML avec la procédure Smart Configuration
- sur l'intégration Docebo SAML avec la procédure Standard Configuration
Flux d'Authentification
Dès le 26 Octobre 2021, Docebo a mis en place un token a courte durée de vie afin d'assurer une meilleure sécurité :
Flux d'Authentification Précédent
Avant le 26 Octobre 2021, la plateforme Docebo envoyait une requête au Fournisseur d'Identité (Identity Provider - IdP) et recevait un token d'accès permanent.
Chaque SSO a un processus légèrement différent mais tous retournent un lien vers la plateforme Docebo avec un token d'accès dans l'URL :
https://mylms.docebosaas.com/learn/home;type=oauth2_response;reenter_cc=0;access_token=9b8de7ed2af145dee78aa4282bf1d3b17baf02cd;expires_in=3600;token_type=Bearer;scope=api
Flux d'Identification avec un Token à Courte Durée de Vie
Le flux d'authentification mis à jour fournit une sécurité supplémentaire en remplaçant le token fourni par le fournisseur d'identité avec un token d'accès utilisé en interne :
Chaque SSO a un processus légèrement différent mais tous retournent un lien vers la plateforme Docebo avec un token à courte durée de vie dans l'URL. Le token à courte durée de vie est à utilisation unique est a une durée de de vie de 30 secondes, il peut être échangé pour des vrais identifiants :
https://mylms.docebosaas.com/learn/signin;type=token_exchange;exchange_token=eyJ0eXAiOiJKV1QiLCJhbGciOiJSU
La plateforme Docebo l'échange automatiquement et en interne par des appels POST contre le token d'accès réel. Cela augment la sécurité mais ne modifie pas le comportement général du SSO.
Bonnes Pratiques
Lorsqu’une intégration SSO et un domaine personnalisé sont configurés en même temps, il est fortement recommandé de configurer le Domaine Personnalisé en premier. Les URL de endpoint nécessaires à l’intégration SSO dépendent de l’URL de la plateforme.