Configuration de l’authentification de connexion

Intégration du provisionnement SCIM avec Okta comme IdP

Ajout de l’intégration SCIM (System for Cross-domain Identity Management) :

1. Dans Okta Admin Console, sélectionnez l’onglet General et définissez SCIM comme méthode de provisionnement.

   

2. Sélectionnez l’onglet Provisioning et cliquez sur le bouton Edit.

   

3. En mode d’édition des paramètres, sélectionnez toutes les actions de provisionnement (options Import.. et Push..), et HTTP Header comme mode Authentication.

   

4. Copiez () l’entrée Base URL depuis la section Provisioning de la page Authentication du Company Dashboard et collez-la dans le champ SCIM Connector base URL d’Okta.

   Copiez () l’entrée API Token depuis la section Provisioning de la page Authentication du Company Dashboard et collez-la dans le champ Authorization d’Okta (sous HTTP HEADER).

   

5. Spécifiez userName comme Unique identifier field for users Okta.

   

6. Cliquez sur le bouton Test Connector Configuration (voir ci-dessus) et assurez-vous que la connexion fonctionne. Si le test de configuration réussit, fermez la fenêtre de test puis enregistrez la configuration ().

   

7. Sélectionnez To App dans l’arborescence de navigation à gauche, puis l’option Edit.

   Activez les options Create Users, Update User Attributes et Deactivate Users, puis cliquez sur Save.

   

Utilisateurs, provisionnement et déprovisionnement des groupes :

1. Sélectionnez l’onglet Push Groups, puis cliquez sur le bouton Refresh App Groups.

   

2. Sélectionnez l’option de page Directory » Groups dans le menu principal.

   

   Dans Groups, vous devriez voir à la fois l’application Groups et Workspaces comme entrées de groupe.

   

3. Créez des groupes Okta « natifs » portant le même nom que le ou les groupes d’application/espaces de travail — dans cet exemple, les groupes Administrators et Workspace importés.

   

4. Sélectionnez un groupe Okta créé, puis cliquez sur le bouton Manage Apps. Dans la fenêtre Assign Applications to <group name>, attribuez l’application SCIM au groupe et cliquez sur lorsque vous avez terminé.

   

5. Revenez à la page Groups et sélectionnez l’onglet Push Groups. Sélectionnez le Find groups by name option dans le menu du bouton Push Groups.

   

6. Saisissez le nom du groupe (ici, Group Administrators), puis choisissez l’option Link Group pour le lier au groupe d’application. Enregistrez cette configuration de liaison ().

   

Gestion des utilisateurs et des groupes

Vous devriez maintenant pouvoir ajouter des membres aux groupes d’application existants ou en retirer.

1. Créez un nouvel utilisateur Okta (Directory » People, puis sélectionnez Add Person). Assurez-vous que l’utilisateur dispose d’une adresse e-mail unique qui n’existe pas dans AltiumLive.

2. Ajoutez le nouvel utilisateur à un groupe Okta attribué à l’application SCIM (Directory » Groups, sélectionnez un groupe, puis utilisez Assign People).

3. Vérifiez que l’utilisateur apparaît dans le tableau de bord de l’entreprise.

Pour créer un nouveau groupe d’utilisateurs via l’application SCIM, créez un nouveau groupe Okta dans la page Groups (), puis, sous l’onglet Push Groups, recherchez le nom du nouveau groupe et choisissez l’option Create Group (plutôt que « Link Group »).

L’application SCIM configurée doit vous permettre de :

• Modifier le prénom / nom de famille et l’adresse e-mail d’un utilisateur.

• Modifier l’appartenance à un groupe.

• Modifier le nom d’un groupe.

• Créer un groupe.

• Supprimer un groupe – dissociez le groupe sous Push Groups avec l’option de suppression depuis l’application.

• Activer ou désactiver un utilisateur – un utilisateur activé recevra un e-mail d’activation.

Les espaces de travail ressemblent aux groupes d’utilisateurs dans Okta, mais ne prennent en charge que la gestion des appartenances. Vous ne pouvez pas créer un nouvel espace de travail ni renommer un espace existant.

Après avoir ajouté ou supprimé un utilisateur d’un groupe Workspace, vous pouvez vérifier le résultat via l’interface Workspace d’Altium 365.

• Le nouvel utilisateur SCIM doit pouvoir se connecter à l’aide du SSO

• Le nouvel utilisateur SCIM doit être automatiquement invité dans le Workspace.

• Une invitation par e-mail ne sera pas envoyée à l’utilisateur.

Intégration avec l’application SAML Microsoft Entra ID

:

1. Connectez-vous au centre d’administration Microsoft Entra.

2. Sélectionnez Identity, puis l’option Enterprise applications.

   

3. Créez votre propre application.

   

4. Sélectionnez Users and groups, puis Add user/group.

   

   

   

    

5. Sélectionnez Single sign-on, Step 1, puis Edit.

   

   

    

6. Copiez () les entrées Entity ID et Single Sign On URL de la section Altium Sign-On Settings de la page Authentication du tableau de bord de l’entreprise. Collez les chaînes copiées dans les champs Entity ID et Assertion Consumer Service URL de la zone de configuration SAML de l’application Microsoft Entra. Assurez-vous que les cases Default sont cochées pour ces champs, puis enregistrez la configuration.

   

7. Téléchargez le fichier XML de métadonnées de fédération créé.

   

8. Téléversez le fichier XML de métadonnées de fédération sur la page Authentication du tableau de bord de l’entreprise (dans la zone 2. SAML Identity Provider configuration de la section Altium Sign-On Settings) puis testez la connexion d’intégration SAML.

Provisionnement :

1. Dans l’écran de gestion de l’application Microsoft Entra, sélectionnez Provisioning dans le panneau de gauche, puis le bouton Get started.

2. Définissez Provision MODE sur Automatic.

3. Copiez () les entrées Base URL et API Token de la section Provisioning de la page Authentication du tableau de bord de l’entreprise, puis collez-les respectivement dans les champs Tenant URL et Secret Token.

   

4. Cliquez sur le bouton Test Connection de provisionnement Microsoft Entra et, si les informations d’identification sont correctement autorisées, Save la configuration.

   

5. Dans la section Mappings, deux ensembles de mappages d’attributs peuvent être sélectionnés : l’un pour les objets Groupe et l’autre pour les objets Utilisateur.

   

6. Sélectionnez chaque mappage pour examiner les attributs synchronisés de Microsoft Entra ID vers votre application. Les attributs sélectionnés comme propriétés de correspondance sont utilisés pour faire correspondre les utilisateurs et les groupes dans votre application lors des opérations de mise à jour. Sélectionnez Save pour valider toute modification.

   

   Vous pouvez éventuellement désactiver la synchronisation des objets de groupe en désactivant le mappage Groups.

7. Sous Settings, le champ Scope définit quels utilisateurs et groupes sont synchronisés. Sélectionnez Sync only assigned users and groups (recommandé) pour synchroniser uniquement les utilisateurs et groupes attribués dans la page Users and groups.

   

8. Une fois votre configuration terminée, définissez Provisioning Status sur On.

   

9. Sélectionnez Save pour démarrer le service de provisionnement Microsoft Entra.

Intégration avec JumpCloud comme fournisseur d’identité

1. Dans l’interface JumpCloud, sélectionnez SSO dans l’arborescence de navigation, puis le bouton Add New Application sur la page SSO.

   

2. Saisissez « saml » dans le champ de recherche de la fenêtre de configuration pour localiser puis installer Custom SAML App.

   

3. Nommez votre instance de Custom SAML App – dans cet exemple, l’étiquette est « Altium ».

   

4. Passez à l’onglet SSO dans l’interface de configuration JumpCloud. Copiez () les entrées Entity ID et Single Sign On URL de la section Altium Sign-On Settings de la page Authentication du tableau de bord de l’entreprise, puis collez-les respectivement dans les champs SP Entity ID et Default URL.

   

5. Saisissez le point de terminaison JumpCloud IDP URL et activez l’option Declare Redirect Endpoint.

   

6. Passez à l’onglet Identity Management dans l’interface JumpCloud. Copiez () les entrées Base URL et API Token de la section Provisioning de la page Authentication du tableau de bord de l’entreprise, puis collez-les dans les champs Base URL et Token Key. Saisissez également une adresse e-mail de test appropriée.

   

7. Effectuez un Test Connection, ce qui affichera un message de confirmation en haut à droite de la page (comme illustré ci-dessous).

   

8. Désactivez (décochez) l’option Group Management, puis Activate la configuration.

   

   Remarque : si vous recevez une erreur de connexion telle que « There was a problem activating Identity Management » en haut de la page ou « Test filter user: unable to get or create user from service » en bas de la page, essayez de saisir une autre adresse e-mail de test, puis sélectionnez à nouveau Activate.

9. De retour dans l’interface JumpCloud, onglet SSO, utilisez l’option Export Metadata pour télécharger le fichier XML de métadonnées SAML résultant.

   

10. Dans la page Authentication du tableau de bord de l’entreprise, importez le fichier XML de métadonnées téléchargé, puis lancez un test d’intégration avec le bouton Test Sign On. Le résultat d’un test d’intégration réussi devrait alors s’afficher. Après confirmation de la connexion, vous pouvez activer l’option Altium Sign-On Settings, puis l’option SSO dans la section Authentication methods.

Authentification SAML SSO avec Microsoft Administrative Domain Federated Services (AD FS)

Suivez les étapes ci-dessous pour configurer la connexion de votre organisation Altium 365 afin d’utiliser votre instance AD FS pour l’authentification SSO.

Prérequis

• Accès administrateur au compte entreprise de l’organisation dans Altium 365.

• Accès administrateur à l’instance AD FS.

Configuration d’AD FS

1. Ouvrez l’application AD FS Management (généralement Start → Windows Administrative Tools → AD FS Management).

2. Accédez à Relying Party Trusts et cliquez sur l’option Add Relying Party Trust... (1).

3. Dans la fenêtre contextuelle, veillez à sélectionner Claims aware (2), puis cliquez sur Start (3).

   

4. À l’étape Select Data Source, sélectionnez Enter data about the relying party manually (1), puis cliquez sur Next (2).

   

5. Indiquez un nom d’affichage pour l’approbation de confiance. Cet exemple utilise AltiumLive comme nom d’affichage.

   

6. Selon votre configuration de sécurité, vous pouvez spécifier un certificat facultatif de chiffrement de jeton. Aux fins de ce guide, nous n’en utiliserons pas.

   

7. À l’étape Configure URL, veillez à sélectionner l’option Enable support for the SAML 2.0 WebSSO protocol (1) et saisissez https://identity.live.altium.com/AssertionConsumerService dans le champ Relying party SAML 2.0 SSO service URL: (2). Cliquez sur Next (3).

   

8. À l’étape Configure Identifiers, fournissez un identifiant pour cette approbation de confiance dans le champ de saisie (1). L’identifiant doit être repris depuis l’entrée Entity ID située dans la zone SAML Single Sign-On de la page Dashboard Authentication. Veillez à cliquer sur le bouton Add (2).

   

   Le résultat doit ressembler à ce qui suit. Cliquez sur Next.

   

9. Selon votre configuration de sécurité, vous pouvez choisir des stratégies facultatives de contrôle d’accès à l’étape suivante. Pour cet exemple, nous ne sélectionnerons aucune stratégie supplémentaire et poursuivrons avec l’option Permit everyone.

   

10. Vérifiez la configuration et sélectionnez Next.

    

11. Tous les paramètres ne sont pas disponibles lors de la configuration de l’approbation de confiance. Pour permettre à SHA-1 d’être utilisé comme algorithme de hachage sécurisé, cliquez avec le bouton droit sur le nom de la Relying Party Trust que vous venez d’ajouter et sélectionnez Properties.

    

12. Dans la fenêtre des propriétés, sélectionnez l’onglet Advanced (1) et définissez SHA-1 comme algorithme de hachage sécurisé (2). Cliquez sur OK pour enregistrer les modifications.

    

13. De retour dans la fenêtre de gestion AD FS, sélectionnez l’approbation de confiance de partie de confiance que vous avez ajoutée et sélectionnez l’option Edic Claim Issuance Policy...

    

14. Dans la fenêtre Edit Claim Issuance Policy, sélectionnez Add Rule...

    

15. À l’étape Choose Rule Type de l’assistant, assurez-vous que Send LDAP Attributes as Claims est sélectionné, puis cliquez sur Next.

    

16. Fournissez un Claim rule name (1), sélectionnez Active Directory comme Attribute store (2), puis sélectionnez un LDAP Attribute (3) à partir de l’ID qui contient le nom d’utilisateur du compte Altium. Cet attribut doit être mappé à Name ID dans le Outgoing Claim Type (3). Cliquez sur Finish (4).

    

    Important Note: Pour cet exemple, nous avons mappé Surname ou Last name pour contenir la valeur requise. Votre configuration peut être différente.

    

17. Assurez-vous que la stratégie d’émission des revendications est enregistrée en cliquant sur OK.

    

Cela termine la configuration d’AD FS.

Configuration d’Altium 365

1. Accédez à la page Authentication du tableau de bord de l’entreprise et chargez le fichier FederationMetadata.xml que vous avez téléchargé précédemment (voir la section Configuration SSO du tableau de bord ci-dessous pour plus d’informations). La configuration doit être importée, et les valeurs de X509 Certificate, Identity Provider Issuer et IdP Single Sign-On URL doivent être visibles. Cliquez sur le bouton Test Sign On pour tester la configuration.

2. Dans l’écran de connexion, saisissez les identifiants utilisateur conformément aux exigences de votre organisation, puis cliquez sur Sign in.

   

3. L’assertion sera renvoyée à Altium 365. Si l’écran affiche un message Test SAML connection was successful!, alors la configuration a été correctement effectuée. Vous pouvez afficher la réponse SAML en cliquant sur le bouton See Response . Cliquez sur Back to Settings pour revenir à la page Authentication.

4. Sur la page Authentication, activez les options Altium Sign-On Settings et SSO .

Cela termine la configuration. À partir de ce moment, les utilisateurs de votre organisation devraient pouvoir se connecter à Altium 365 en utilisant l’AD FS de votre organisation comme IdP SSO.

Configuration SAML SSO avec Amazon Web Services (AWS) Identity Access Management (IAM) Identity Center

1. Accédez à IAM Identity Center et ajoutez une application SAML 2.0 personnalisée (Add Application).

   

   

2.  Copiez () les entrées Entity ID  et Single Sign On URL  depuis la section Altium Sign-On Settings  de la page Authentication du tableau de bord de l’entreprise, puis collez-les dans les paramètres d’URL de métadonnées AWS. Confirmez les paramètres avec Submit.

   

3. Téléchargez le fichier de métadonnées depuis la zone IAM Identity Center metadata.

   

4. Accédez à Edit attribute mappings.

   

5. Ajoutez ${user:email} et le Format comme unspecified.

   

6. Créez de nouveaux utilisateurs dans AWS – les noms des utilisateurs doivent être au format user@domain.com.

   Attribuez l’application aux utilisateurs créés ou à un groupe.

   

7. L’option Provisioning sur la page Authentication du tableau de bord de l’entreprise doit être désactivée.

   Actuellement, le provisionnement sortant automatique via SCIM n’est pas pris en charge par AWS.

8. Assurez-vous que les mêmes utilisateurs existent à la fois côté Altium et côté IAM. Les utilisateurs doivent être nommés selon le format user@domain.com.

   

9. Sur la page Authentication du tableau de bord de l’entreprise, chargez le fichier XML que vous avez téléchargé précédemment (voir la section Configuration SSO du tableau de bord ci-dessous pour plus d’informations). Cliquez sur le bouton Test Sign On pour tester la configuration.

10. Vous serez ensuite redirigé vers la page de connexion AWS. Saisissez vos identifiants utilisateur AWS. Vous devriez être redirigé vers le tableau de bord et voir le message Test SAML connection was successful!.

11. Après un test réussi, activez les options Altium Sign-On Settings et SSO .