Le flux SAML générique d’EK fonctionne avec Okta prêt à l’emploi. Si vous ne l’avez pas déjà fait, consultez la Vue d’ensemble de SAML SSO pour comprendre le fonctionnement de l’intégration avant de commencer.
Conditions préalables
- Vous disposez d’un accès administrateur à votre organisation Okta.
- Vous disposez d’un accès Super Admin à votre instance EK sur site.
- Vous connaissez le nom de domaine pleinement qualifié (FQDN) de votre hôte backend EK (par exemple
ek-api.corp.acme.com). - Vous connaissez le domaine de messagerie pour lequel vous souhaitez activer SSO (par exemple
acme.com).
Partie 1 — Configurer Okta
Créer une nouvelle application SAML dans Okta
Créer une nouvelle intégration d'application
Dans votre console d’administration Okta, accédez à Applications → Applications et cliquez sur Créer une intégration d’application. Sélectionnez SAML 2.0 comme méthode de connexion.
Saisir les paramètres SAML
À l’étape Configurer SAML, saisissez les valeurs suivantes :
| Champ | Valeur |
|---|---|
| URL d’authentification unique | https://<your-FQDN>/backend/user/generic/sso/saml/acs/admin |
| URL du destinataire | https://<your-FQDN>/backend/user/generic/sso/saml/acs/admin |
| URL de destination | https://<your-FQDN>/backend/user/generic/sso/saml/acs/admin |
| Restriction d’audience (ID d’entité) | https://<your-FQDN>/backend/user/generic/sso/saml/acs/admin |
| État de relais par défaut | default ou définissez le nom de domaine |
Ajouter des déclarations d'attributs
Toujours à l’étape Configurer SAML, faites défiler vers le bas jusqu’à Déclarations d’attributs et ajoutez les éléments suivants :
| Nom | Format de nom | Valeur |
|---|---|---|
email | Basic | user.email |
first_name | Basic | user.firstName |
last_name | Basic | user.lastName |
user_name | Basic | user.login |
DisplayName | Basic | user.displayName |
objectIdentifier | Non spécifié | user.getInternalProperty("id") |
Partie 2 — Récupérer les métadonnées Okta
Une fois l’application Okta créée, récupérez l’URL des métadonnées IdP :
Partie 3 — Enregistrer le domaine dans EK
Envoyez une requêtePOST au point de terminaison d’enregistrement de domaine :
Champs obligatoires
| Champ | Description |
|---|---|
enterprise_id | Le domaine de messagerie de vos utilisateurs (par exemple acme.com). |
provider | "okta" |
metadata_url | L’URL des métadonnées de la Partie 2. |
backend_root_url | (Optionnel) Obligatoire uniquement dans les configurations de proxy pour assurer un routage correct. |
Authentification
Le point de terminaison nécessite votre clé API EK et votre secret passés en tant qu’en-têtesX-API-KEY et X-API-SECRET.
En cas de succès, un enregistrement est créé dans la table sso_providers sur le backend.
Partie 4 — Configurer le frontend
Une fois le domaine enregistré, définissez la variable d’environnement du frontend et redémarrez le service frontend.Ouvrir le fichier d'environnement du frontend
Sur votre serveur de déploiement sur site, ouvrez
onprem-deployment/.env.web.Ajouter la variable d'environnement
Ajoutez la ligne suivante, en remplaçant
acme.com par votre domaine de messagerie réel :Tester l’intégration
Connectez-vous à EK avec un utilisateur réel@<domain> pour confirmer que le flux fonctionne de bout en bout. Si l’utilisateur s’authentifie correctement mais qu’il lui est refusé l’accès, vérifiez votre configuration de contrôle d’accès SAML — consultez le guide EK SAML Access Controls and Automated Team/Project Assignment.