Configuration de la connexion à OutSite avec son propre fournisseur d'identité (authentification unique - Single sign-on)

Si les utilisateurs sont connectés au domaine, ils peuvent se connecter à des sites OutSite via une authentification unique.

Il existe deux façons de le faire :

  • Par un fournisseur d'identité sur la base du protocole OpenID Connect, par exemple Azure ou Google.
  • Par un « Secure Token Service » (STS).

    Attention :

    Cette méthode de connexion n'est adaptée qu'aux organisations disposant d'une connaissance approfondie de la configuration de l’authentification unique. Vous êtes responsable de garantir une configuration correcte. AFAS Support ne peut pas vous aider à cet égard.

Contenu

Importer OAuth Id et OAuth account par utilisateur

Vous fixez par utilisateur le OAuth Id et OAuth account par l'intermédiaire d'une importation. Vous pouvez éventuellement automatiser ce processus avec un travail / une tâche en lot automatique via AFAS Remote ou l’UpdateConnector KnUser. L'importation est décrite ci-dessous.

Vous devez d'abord effectuer l'importation, autrement les utilisateurs ne pourront plus se connecter après le passage à l’authentification unique !

Attention :

L'utilisateur OutSite n'est pas lié via le champ UPN dans l'onglet Général des caractéristiques de l'utilisateur dans Profit. Ce champ est destiné aux utilisateurs InSite et Profit Windows en association avec une authentification unique.

Pour OutSite, l'utilisateur est lié via la valeur que vous importez par utilisateur dans le champ OAuth Id.

Cette valeur doit donc être égale à la valeur de la « demande » reçue par AFAS Online lorsque l'utilisateur se fait authentifier auprès du fournisseur d'identité lors de la connexion à OutSite.

Pour lier l'utilisateur dans le fournisseur d'identité à un utilisateur OutSite afin qu'il puisse se connecter au moyen d'une authentification unique, vous devez importer deux valeurs par utilisateur. Vous utilisez pour ce faire une importation (saisie) pour l'utilisateur.

  1. Allez à : Généralités / Gestion / Import / Utilisateur / Utilisateur saisie.

    Importez les champs Utilisateur, OAuth Id et OAuth account.

    Attention :

    Il peut arriver que les utilisateurs à importer se connectent également par une authentification unique dans Profit et/ou InSite. Le champ UPN est alors rempli dans l'onglet Général de l'utilisateur. Dans ce cas, importez aussi toujours la valeur pour le champ UPN pour cet utilisateur.

    Si vous ne le faites pas, ce champ pour l'utilisateur sera vide lors de l'importation et l'utilisateur ne pourra plus se connecter à Profit / InSite au moyen d'une authentification unique.

  2. Le résultat de l'importation est que dans les propriétés de l'utilisateur, onglet OutSite, vous voyez que l’OAuth account est lié :

Déterminer la méthode de connexion

Vous déterminez par OutSite si les utilisateurs se connectent avec le nom d'utilisateur/mot de passe ou au moyen d'une authentification unique. Une combinaison des deux méthodes pour un seul site n'est pas possible, vous devez faire un choix.

Configurer l'authentification unique :

  1. Allez à : Généralités / In & OutSite / Site.
  2. Ouvrez l'OutSite, onglet Connexion.
  3. Sélectionnez Fournisseur d’identité propre dans Méthode.
  4. Copiez le Redirect-URI dans le presse-papier, vous en aurez besoin à l’étape suivante.
  5. Laissez l'écran ouvert et continuez avec l'une des options suivantes.
    • Option 1 : Configuration d’OpenID Connect
    • Option 2 : Configuration d’un Secure Token Service propre

Option 1 : Configuration d’OpenID Connect (par exemple Azure ou Google)

Configuration du fournisseur d'identité

Configurez tout d'abord le fournisseur d'identité. Créez un secret client et un ID client et ajoutez le redirect-URI pour OutSite dans le fournisseur d’identité. Voir plus loin la description générale de la configuration.

Configuration d’OpenID Connect :

  1. Retournez dans Profit, l'écran avec les paramètres de l'OutSite y est encore ouvert.
  2. Rendez-vous sur l'onglet : Connexion.
  3. Cochez Utiliser le protocole OpenID Connect.
  4. Complétez les champs.

Étant donné que dans l'exemple de l'importation pour l'utilisateur 31399.élève, la valeur élève@afassupport.onmicrosoft.com a été importée dans le champ OAuth Id, il est important que cette valeur soit également déterminée en tant que «upn » dans le fournisseur d'identité.