Configurer le SSO confidentiel et le provisionnement avec Okta

Étape 1 : enregistrer une nouvelle demande dans Okta

1. Ouvrez votre console d'administration Okta et développez le menu Applications. Sélectionnez Applications et créez une intégration d'applications.

   

2. Sur la page d'intégration de la création d'une nouvelle application, sélectionnez l'option SAML 2.0 puis sélectionnez Suivant.

   

3. Dans les paramètres généraux, saisissez « Flèche » pour le nom de l'application.
4. Téléchargez le logo Arrow pour le logo de l'application et sélectionnez Suivant.

   https://www.pngrepo.com/svg/331360/dashlane-v2

   

5. Dans Configure SAML, saisissez « https://sso.nitro.dashlane.com/saml/callback » pour le champ URL d'authentification unique et « dashlane-nitro-sso » pour le champ Audience URI (SP Entity ID).
6. Faites défiler la page vers le bas de la page et sélectionnez Suivant.

   

7. Sur la page Help Okta Support, sélectionnez Je suis une cliente d'Okta qui ajoute une application interne et sélectionnez Terminer.

   

Étape 2 : Téléchargez les métadonnées Okta

1. Sélectionnez Se connecter, puis Afficher les instructions de configuration SAML.

   

2. Dans la section Facultatif, sélectionnez et copiez toutes les métadonnées de votre IdP.

   

Étape 3 : Configurer Arrow avec les métadonnées Okta

1. Connectez-vous à la console d'administration Arrow
2. Dans la section Intégrations du menu de gauche, sélectionnez Authentification unique. Si vous avez déjà commencé la configuration, sélectionnez Modifier. Sinon, sélectionnez Configurer un SSO confidentiel.

   

3. Accédez à l'étape 2 : enregistrez les métadonnées de votre IdP et collez les métadonnées copiées précédemment.
4. Sélectionnez Enregistrer.

   

Étape 4 : Vérifiez votre domaine auprès de DNS Provider

1. À l'étape 3 : Vérifiez vos domaines sur la console d'administration, saisissez le domaine e-mail de votre entreprise et sélectionnez Vérifier le domaine. Notez les boutons de copie que vous utiliserez pour copier le nom d'hôte et les valeurs TXT sur votre fournisseur DNS public.

   

2. Dans un nouvel onglet de navigateur, accédez à votre fournisseur DNS public et ajoutez un enregistrement TXT. Les étapes exactes varient en fonction de votre fournisseur.

   

3. Collez le nom d'hôte et la valeur TXT de la console d'administration Arrow dans le nouvel enregistrement TXT, puis sélectionnez Enregistrer.

   

4. Après avoir saisi l'enregistrement, attendez quelques minutes, puis dans la console d'administration Arrow, sélectionnez Vérifier le domaine.

   

(Facultatif) Approvisionnement juste à temps

Vous pouvez activer Just In Time Provisioning pour ajouter automatiquement n'importe quel employé possédant vos domaines vérifiés lors de sa première tentative de connexion.

Avant d'activer le provisionnement juste à temps, assurez-vous que les membres de votre plan ont déjà été ajoutés à l'application Arrow SAML de votre IdP.

Une fois que vous l'avez activée, ils peuvent installer l'extension Arrow Smart et créer leur compte.

S'il n'y a plus de places dans votre forfait, les membres ne pourront pas se connecter tant que vous n'aurez pas acheté de places supplémentaires.

Si vous utilisez le provisionnement à temps avec une autre méthode d'approvisionnement automatique, telle que la synchronisation SCIM ou AD, assurez-vous d'ajouter tous les membres de votre plan à vos groupes synchronisés. Sinon, les membres du plan qui ne sont pas ajoutés aux groupes synchronisés seront supprimés lors de la prochaine synchronisation de l'annuaire.

En savoir plus sur Just in Time Provisioning

Étape 5 : Attribuer des utilisateurs et des groupes dans Okta

1. Accédez à l'application Arrow dans la console d'administration Okta, sélectionnez Assignments, puis Attribuer. Sélectionnez Attribuer aux personnes pour tester.

   

Étape 6 : Testez votre configuration SSO

1. Retournez à la console d'administration Arrow et testez la connexion.
2. Un message de réussite s'affiche si le SSO a été configuré comme prévu.

   

Étape 7 : Activez le SSO pour tous les utilisateurs

1. Une fois les tests réussis, activez le SSO dans Arrow Step 4 : Activez le SSO pour les domaines vérifiés.
2. Informer les utilisateurs de la nouvelle méthode de connexion SSO. Les utilisateurs dont le compte a été créé avec un mot de passe principal doivent se connecter une dernière fois avec ce mot de passe principal avant d'activer le SSO. Pour savoir comment fonctionne le processus pour les utilisateurs, consultez cet article :

   Migrez les membres existants de votre plan vers le SSO

3. Assurez-vous que les utilisateurs peuvent se connecter à l'aide de leurs informations d'identification Microsoft.

   

Étape 1 : Générez un jeton d'API SCIM dans Arrow

1. Connectez-vous à la console d'administration Arrow
2. Dans la section Intégrations, sélectionnez Approvisionnement puis Approvisionnement confidentiel.
3. Sélectionnez Configurer ou Modifier si vous avez déjà commencé la configuration.

   

   Si cette option est grisée et n'est pas disponible, soit vous devez d'abord configurer le SSO confidentiel, soit vous avez déjà configuré le SSO auto-hébergé, le SCIM ou Active Directory.

4. À l'étape 1 : Générer un jeton d'API SCIM, sélectionnez Générer un jeton.
5. Copiez le jeton de l'API SCIM à l'étape 2 : Copier le jeton.
6. Activez le bouton pour l'étape 3 : activer le provisionnement automatique des utilisateurs.

   

Étape 2 : Configurer le jeton d'API SCIM dans Okta

1. Dans votre application Arrow SAML d'Okta, sélectionnez l'onglet Général, puis sélectionnez Modifier.
2. Cochez la case : Activez le provisionnement SCIM et sélectionnez Enregistrer.

   

3. Sélectionnez l'onglet Approvisionnement et sélectionnez Modifier.
4. Collez les valeurs SCIM de la console d'administration Arrow dans les champs de texte d'Okta.
5. Pour l'URL de base du connecteur SCIM, copiez et collez l'URL depuis Arrow.
6. Dans le champ Identifiant unique pour les utilisateurs, saisissez « e-mail ».
7. Activez toutes les actions d'approvisionnement prises en charge, à l'exception des groupes push et des groupes d'importation.
8. Pour le mode d'authentification, sélectionnez En-tête HTTP.
9. Pour l'autorisation, copiez et collez le jeton SCIM dans le champ Arrow and the Bearer.

   

10. Dans la fenêtre contextuelle de configuration du connecteur de test, vous devriez recevoir un message de réussite.

    

11. Enregistrez la configuration.

Étape 3 : Commencer l'approvisionnement

1. Dans l'onglet Approvisionnement, sélectionnez Paramètres, Accéder à l'application et Modifier.
2. Activez la création d'utilisateurs, mettez à jour les attributs des utilisateurs, désactivez les utilisateurs et sélectionnez Enregistrer.

   

Étape 1 : Configurer le provisionnement de groupe avec SAML dans Okta

1. Dans votre application Arrow SAML dans Okta, sélectionnez l'onglet Général, puis dans la section Paramètres SAML, sélectionnez Modifier.

   

2. Accédez à la section Déclarations des attributs des groupes (facultatif) :
   • Dans le champ Nom, saisissez « DashlaneSharingGroups »
   • Pour le format du nom, sélectionnez Non spécifié dans la liste déroulante
   • Pour Filter, sélectionnez Matches Regex dans la liste déroulante
   • Dans Valeur, entrez. *

     

Étape 2 : Configurer l'approvisionnement de groupe avec SAML dans Arrow

1. Connectez-vous à la console d'administration Arrow
2. Accédez à Intégration, sélectionnez Paramètres d'approvisionnement dans la section Intégrations, puis sélectionnez Approvisionnement confidentiel.
3. Sélectionnez Configurer ou Modifier si vous avez déjà commencé la configuration.

   

4. Accédez à la session de provisionnement de groupe vers le bas.
5. Activez le provisionnement des groupes à l'étape 2 : activez la synchronisation des groupes.

   

Erreur d'identification d'entité (SSO)

Cette erreur apparaît lorsque l'URI de l'audience (ID d'entité SP) a une valeur autre que dashlane-nitro-sso.

Comment y remédier

• Vérifiez que vous avez saisi « https://sso.nitro.dashlane.com/saml/callback » pour l'URL d'authentification unique et « dashlane-nitro-sso » pour l'URI de l'audience (ID d'entité SP). Tous les autres champs peuvent être laissés seuls, sauf si vous avez une configuration personnalisée dont vous savez qu'elle est différente.

(SSO) Erreur de connexion depuis Okta Tile

L'erreur ci-dessous se produit généralement lorsque vous essayez d'accéder à Arrow en dehors de l'Arrow Smart Extension.

Comment y remédier

La connexion SSO doit être effectuée à l'aide de l'extension Arrow Smart.

Vous pouvez utiliser une autre option si vous souhaitez que vos utilisateurs accèdent à Arrow sans passer directement par l'extension. Il devra être installé dans le navigateur pour fonctionner :

1. Ouvrez l'application Arrow sur votre portail d'administration Okta.
2. Ouvrez l'onglet Général et dans la section Paramètres de l'application, sélectionnez Ne pas afficher l'icône de l'application aux utilisateurs et Enregistrer.

   

3. Développez le menu déroulant Applications dans le volet de gauche, puis sélectionnez Applications.
4. Sélectionnez Parcourir le catalogue d'applications.
5. Recherchez « Bookmark App », sélectionnez-la dans la liste des résultats, puis sélectionnez Ajouter dans le volet de gauche.
6. Ajoutez https://app.dashlane.com dans la zone URL et une flèche pour le libellé de l'application.
7. Sélectionnez OK.

(SSO) Message d'erreur : nous n'avons pas pu vérifier votre connexion SSO

Erreur lors du test de connexion avec Arrow dans la console d'administration. Cette erreur peut également s'afficher lorsque vous essayez d'enregistrer les métadonnées.

Comment y remédier

1. Vérifiez que vous ouvrez la console d'administration et que vous vous y connectez depuis l'extension Arrow Smart.

   Installez l'extension Arrow Smart

2. Si le portail d'administration de votre IdP est ouvert, déconnectez-vous de votre compte administrateur dans Okta et fermez l'onglet du navigateur avant de tester à nouveau la connexion avec Arrow.

(SCIM) Erreur : SCIM_ERROR_CANNOT_UPDATE_IMMUTABLE_ATTRIBUTE

Une tentative est en cours pour modifier un attribut non modifiable (le nom d'utilisateur/adresse e-mail d'Arrow). Active Directory sur site est le fournisseur d'identité, et Okta est le fournisseur SSO synchronisé avec Active Directory sur site. Votre équipe comptait déjà des utilisateurs d'Arrow avant de configurer SCIM. L'erreur « attribut immuable » fait référence à l'UUID.

Comment y remédier

1. Vérifiez que le schéma d'Okta est défini sur « nom d'utilisateur » et « e-mail ».
2. Vérifiez que l'adresse e-mail de l'utilisateur dans Okta correspond à son adresse e-mail Arrow.

(SSO) Renouveler un certificat de signature SAML pour l'application Arrow

1. Connectez-vous à la console d'administration Okta.
2. Accédez aux applications, sélectionnez l'application Arrow, puis sélectionnez Se connecter.
3. Dans Certificats de signature SAML, sélectionnez Actions pour le nouveau certificat.
4. Sélectionnez Afficher les métadonnées de l'IdP. Une nouvelle fenêtre de navigateur s'ouvrira.

   

5. Enregistrez les métadonnées sur votre bureau.
6. Ouvrez le fichier téléchargé dans un éditeur de texte, sélectionnez tout le texte et copiez-le dans votre presse-papiers.
7. Ouvrez la console d'administration Arrow. Dans la section Intégrations du menu latéral, sélectionnez Authentification unique, puis Modifier l'authentification unique confidentielle.
8. Passez à l'étape 2 : enregistrez vos métadonnées et supprimez tout ce texte.
9. Collez le nouveau fichier que vous avez copié dans votre presse-papiers à l'étape 6.
10. Sélectionnez Enregistrer.
11. Sélectionnez Tester la connexion SSO pour vérifier que la mise à jour est réussie.
12. Demandez à un membre de l'équipe de tester le login.