Configurer le SSO confidentiel et l'approvisionnement avec PingID

Étape 1 : Enregistrer une nouvelle demande dans PingID

1. Connectez-vous à la console d'administration de Ping Identity.
2. Accédez à Applications. Sélectionnez + Ajouter une application.

   

Étape 2 : Configurer PingID pour le SSO SAML

1. Choisissez SAML comme type d'application et configurez le nom de l'application comme Arrow SSO.

2. Sélectionnez Configurer.

   

3. Pour la configuration SAML, sélectionnez Entrée manuelle.
   • Pour l'URL ACS, saisissez https://sso.nitro.dashlane.com/saml/callback
   • Pour l'identifiant de l'entité, saisissez dashlane-nitro-sso
   • Enregistrer les modifications

     

4. Sous Attribute Mappings, sélectionnez Adresse e-mail pour les mappings PingOne et Save.

   

   

Étape 3 : Téléchargez les métadonnées PingID

1. Dans l'onglet Aperçu, sélectionnez Télécharger les métadonnées.
2. Activez le bouton en haut à droite pour activer l'application.

   

3. Ouvrez le fichier de métadonnées XML téléchargé sur votre ordinateur à l'aide du Bloc-notes sur Windows ou de TextEdit sur Mac, par exemple.

   

4. Tout sélectionner et copiez le contenu du fichier XML.

   

Étape 4 : Configurer Arrow avec les métadonnées PingID

1. Connectez-vous à la console d'administration Arrow
2. Dans la section Intégrations du menu de gauche, sélectionnez Authentification unique. Si vous avez déjà commencé la configuration, sélectionnez Modifier. Sinon, sélectionnez Configurer un SSO confidentiel.

   

3. Passez à l'étape 2 : enregistrez les métadonnées de votre IdP et collez les métadonnées XML copiées précédemment.
4. Sélectionnez Enregistrer.

   

Étape 5 : Vérifiez votre domaine auprès de DNS Provider

1. À l'étape 3 : Vérifiez vos domaines dans l'Admin Console, saisissez le domaine e-mail de votre entreprise et sélectionnez Vérifier le domaine. Notez les boutons de copie que vous utiliserez pour copier le nom d'hôte et les valeurs TXT sur votre fournisseur DNS public.

   

2. Dans un nouvel onglet de navigateur, accédez à votre fournisseur DNS public et ajoutez un enregistrement TXT. Les étapes exactes varient en fonction de votre fournisseur.

   

3. Collez le nom d'hôte et la valeur TXT de la console d'administration Arrow dans le nouvel enregistrement TXT, puis sélectionnez Enregistrer.

   

4. Après avoir saisi l'enregistrement, attendez quelques minutes, puis dans la console d'administration Arrow, sélectionnez Vérifier le domaine.
   

   Les modifications du DNS public peuvent prendre jusqu'à 24 heures, mais la plupart des nouveaux enregistrements prennent 5 minutes ou moins. Si cela ne fonctionne pas la première fois, attendez quelques minutes et sélectionnez à nouveau Vérifier le domaine.

   

(Facultatif) Approvisionnement juste à temps

Vous pouvez activer Just in Time Provisioning pour ajouter automatiquement n'importe quel employé possédant vos domaines vérifiés lors de sa première tentative de connexion.

Avant d'activer le provisionnement juste à temps :

• Assurez-vous que les membres de votre plan ont déjà été ajoutés à l'application Arrow SAML de votre IdP.
• Une fois que vous l'avez activée, ils peuvent installer l'extension Arrow Smart et créer leur compte.
• S'il n'y a plus de places dans votre forfait, les membres ne pourront pas se connecter tant que vous n'aurez pas acheté de places supplémentaires.
• Si vous utilisez Just in Time Provisioning en même temps qu'une autre méthode de provisionnement automatique telle que SCIM ou AD Sync, assurez-vous d'ajouter tous les membres de votre plan à vos groupes synchronisés. Sinon, les membres du plan qui ne sont pas ajoutés aux groupes synchronisés seront supprimés lors de la prochaine synchronisation de l'annuaire.

  

En savoir plus sur Just in Time Provisioning

Étape 6 : Attribuer des utilisateurs dans PingID

1. Dans Ping Identity, ouvrez l'application Arrow et sélectionnez l'icône de modification sous Access.
2. Sélectionnez le groupe d'utilisateurs auquel vous souhaitez accéder à Arrow et enregistrez les modifications.

   

Étape 7 : Testez votre configuration SSO

1. Retournez à la console d'administration Arrow et testez la connexion.
2. Un message de réussite s'affiche si le SSO a été configuré comme prévu.

   

Étape 8 : Activez le SSO pour tous les utilisateurs

1. Une fois les tests réussis, activez le SSO dans Arrow Étape 4 : Activer le SSO pour les domaines vérifiés.
2. Informez les membres de la nouvelle méthode de connexion SSO. Les membres dont le compte a été créé avec un mot de passe principal doivent se connecter une dernière fois avec ce mot de passe principal avant d'activer le SSO.
3. Assurez-vous que les membres peuvent se connecter à l'aide de leur identifiant PingID.

Pour voir comment fonctionne le processus pour les membres du plan, consultez cet article : Migrez les membres existants de votre plan vers le SSO

Étape 1 : Générez un jeton d'API SCIM dans Arrow

1. Connectez-vous à la console d'administration Arrow
2. Dans la section Intégrations, sélectionnez Approvisionnement puis Approvisionnement confidentiel.
3. Sélectionnez Configurer ou Modifier si vous avez déjà commencé la configuration.

   

   Si cette option est grisée et n'est pas disponible, soit vous devez d'abord configurer le SSO confidentiel, soit vous avez déjà configuré le SSO auto-hébergé, le SCIM ou Active Directory.

4. À l'étape 1 : Générer un jeton d'API SCIM, sélectionnez Générer un jeton.
5. Copiez le jeton de l'API SCIM à l'étape 2 : Copier le jeton.
6. Activez le bouton pour l'étape 3 : activer le provisionnement automatique des utilisateurs.

   

Étape 2 : Générer un jeton d'API SCIM dans PingID

1. Ouvrez la console d'administration PingIdentity et ouvrez l'onglet Provisioning sous Intégrations

   

2. Sélectionnez l'icône plus à côté de Provisioning et sélectionnez Nouvelle connexion. Sélectionnez Identity Store.

   

3. Sélectionnez SCIM Outbound et Next.
4. Ajoutez un nom à la connexion — suggestion : Arrow User SCIM — et sélectionnez Suivant.

   

5. Copiez l'URL du point de terminaison SCIM depuis la console d'administration Arrow et saisissez la valeur sous l'URL de base SCIM.
6. Sélectionnez le jeton OAuth 2 Bearer comme méthode d'authentification.
7. Pour le jeton d'accès OAuth, saisissez le jeton d'API SCIM copié depuis la console d'administration Arrow.
8. Sélectionnez Tester la connexion

   

   Remarque : Le test de connexion échouera si vous n'avez pas terminé l'étape 1 : générer intégralement le jeton d'API SCIM dans Arrow.

Étape 1 : Configurer l'approvisionnement de groupe avec SAML dans PingID

1. Sélectionnez Identity Provider, SP Connections, Arrow, puis Identity Mapping. Sélectionnez ensuite Suivant.
• Pour Prolonger le contrat, saisissez DashlaneSharingGroups.
• Pour Attribute Name Format, saisissez basic.
2. Sélectionnez Suivant.

   

3. Sélectionnez le nom de l'instance de l'adaptateur, puis la description, puis LDAP et DashlaneSharingGroups :
   • Pour Source, sélectionnez Expression dans la liste déroulante.

   • Dans Value, entrez ce code :

     #groupName = new java.util.ArrayList (), #groups = #this .get (« DS.MemberOf ») ! =nul ? #this .get (« DS.MemberOf ») .getValues ()  : {}, #i = 0, #groups. {#group = new javax.Naming.LDAP.LDAPName (#groups [#i]), #cn = #group .getRDN (#group .size () - 1) .getValue () .toString (), #group .toString () .matches (». *INSERT-MATCHING.* ») ? (#groupName .add (« INSERT-GROUP-NAMES-YOU-WANT-TO-SYNC-HERE »)) : null, #i = #i + 1}, new org.sourceid.saml20.adapter.attribute.AttributeValue (#groupName )
4. Sélectionnez Mettre à jour l'expression, puis Suivant.

   

   Remarque : Si vous recevez un message d'erreur à cette étape, retournez dans Data Store. Sélectionnez Suivant. Sélectionnez ensuite Afficher tous les attributs et MemberOf dans les listes déroulantes. Sélectionnez ensuite Ajouter un attribut, puis Suivant trois fois, puis Enregistrer.

   

   

5. Sélectionnez Gestion des clusters. Sélectionnez ensuite Configuration répliquée et Terminé.

   

Étape 2 : Configurer l'approvisionnement de groupe avec SAML dans Arrow

1. Connectez-vous à la console d'administration Arrow
2. Accédez à Intégration, sélectionnez Approvisionnement, puis Provisionnement confidentiel.
3. Sélectionnez Configurer ou Modifier si vous avez déjà commencé la configuration.

   

4. Accédez à la section Approvisionnement des groupes vers le bas.
5. Activez le provisionnement des groupes à l'étape 2 : activez la synchronisation des groupes.

   

(SSO) Message d'erreur : nous n'avons pas pu vérifier votre connexion SSO

Erreur lors du test de connexion avec Arrow dans la console d'administration. Cette erreur peut également s'afficher lorsque vous essayez d'enregistrer les métadonnées.

Comment y remédier

• Vérifiez que vous ouvrez la console d'administration et que vous vous y connectez depuis l'extension Arrow Smart.

  Installez l'extension Arrow Smart

• Si le portail d'administration de votre IdP est ouvert, déconnectez-vous de votre compte administrateur sur PingID et fermez l'onglet du navigateur avant de tester à nouveau la connexion avec Arrow.
• Si l'erreur persiste, contactez notre équipe d'assistance.

  Contacter un agent via la console d'administration