Passer au contenu principal
Ce guide s’adresse aux administrateurs informatiques et d’identité qui gèrent une instance EK en local. Toute référence à « votre IdP », « votre administrateur IdP » ou « votre domaine de courrier électronique » concerne l’infrastructure de votre organisation — pas les services gérés par Automation Anywhere.
Ce guide vous accompagne à travers le processus en deux étapes pour activer SAML SSO pour un domaine de courrier électronique : partager les métadonnées SP d’EK avec votre IdP, puis télécharger les métadonnées de votre IdP vers EK. Vous n’êtes pas familier avec le fonctionnement interne de SAML SSO d’EK ? Commencez par l’aperçu SAML SSO.

Conditions préalables

Avant de commencer, confirmez les éléments suivants :
  • Votre déploiement EK en local fonctionne avec à la fois le backend (<your-backend-host>) et le frontend (<your-frontend-host>) accessibles depuis le navigateur de l’utilisateur. L’IdP doit uniquement recevoir les réponses SAML HTTP-POST à <your-backend-host>/user/generic/sso/saml/acs/admin — il n’a pas besoin de connectivité sortante directe vers votre backend si vous fournissez les métadonnées SP sous forme de fichier téléchargé.
  • Vous êtes connecté à EK en tant qu’administrateur super. L’onglet Métadonnées SSO et tous ses points de terminaison sous-jacents sont réservés aux super administrateurs.
  • Votre IdP est conforme à SAML 2.0 et peut soit utiliser les métadonnées XML SP / URL, soit être configuré manuellement avec un ID d’entité SP et une URL ACS.
  • Votre IdP est configuré pour envoyer l’adresse de courrier électronique de l’utilisateur comme NameID SAML, en utilisant le format urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress. EK utilise le NameID pour rechercher ou provisionner les comptes utilisateur.
  • Vous connaissez le domaine de courrier électronique pour lequel vous souhaitez activer SSO (par exemple acme.com). SSO est clé par domaine, donc tous les utilisateurs partageant ce domaine — alice@acme.com, bob@acme.com, etc. — seront acheminés vers le même IdP.
  • Vous connaissez le mode SSO du frontend que votre déploiement utilise. Ceci est contrôlé par la variable d’environnement VITE_ALLOW_ONLY_SSO_LOGIN sur le frontend :
    • true — SSO à un clic. Le domaine est codé en dur via VITE_SSO_ENTERPRISE_ID et doit correspondre exactement au domaine pour lequel vous téléchargez les métadonnées.
    • false (par défaut) — SSO modal par email. Le domaine est dérivé de l’e-mail de l’utilisateur lors de la connexion. Plusieurs domaines peuvent chacun avoir leurs propres métadonnées téléchargées.

Partie 1 — Fournir les métadonnées SP à votre IdP

Votre administrateur IdP doit enregistrer EK en tant qu’application SAML dans votre IdP avant de pouvoir télécharger les métadonnées IdP. EK rend cela simple en publiant ses métadonnées SP via un point de terminaison public bien connu — aucune copie manuelle de champs requise.

Le point de terminaison des métadonnées SP

Le backend EK publie ses métadonnées SP à : 
https://<your-backend-host>/saml/well-known/sp-metadata
La réponse est un EntityDescriptor SAML 2.0 conforme aux normes contenant l’ID d’entité de votre instance, l’URL ACS, le format NameID requis et le certificat de signature SP (s’il est configuré). Le point de terminaison n’est pas authentifié par conception afin que votre IdP puisse le récupérer directement.
Pour la référence complète — comportement du point de terminaison, XML d’exemple, composants garantis vs optionnels, et les variables d’environnement backend (CUSTOM_ENTITY_ID_FOR_GENERIC_SSO, SAML_SP_CERT_FILE, SAML_SP_KEY_FILE) qu’un opérateur en local peut paramétrer au moment du déploiement — voir Point de terminaison des métadonnées SP.

Comment partager les métadonnées SP

Si votre IdP peut atteindre l’hôte backend EK, envoyez l’URL bien connue directement à votre administrateur IdP :
https://<your-backend-host>/saml/well-known/sp-metadata
La plupart des IdP modernes (Okta, Entra ID, Ping, OneLogin, Auth0, etc.) peuvent importer les métadonnées SP à partir d’une URL et remplissent automatiquement la configuration SP — ID d’entité, URL ACS, format NameID et certificat de signature — à partir de celle-ci.
Si votre IdP ne peut pas atteindre directement l’hôte backend — courant dans les réseaux segmentés, les environnements isolés, ou lorsque votre IdP est un SaaS en dehors de votre périmètre d’entreprise — téléchargez le XML et transmettez-le à votre administrateur IdP hors bande :
curl -o ek_sp_metadata.xml https://<your-backend-host>/saml/well-known/sp-metadata
Votre administrateur IdP télécharge ek_sp_metadata.xml dans l’écran de configuration de l’application SAML du IdP. Vous devez uniquement ré-exporter et ré-télécharger lorsque la configuration SP change — généralement un changement de nom d’hôte backend, une rotation de certificat de signature SP, ou un changement de remplacement d’ID d’entité.

Configuration manuelle (lorsque l’IdP ne peut pas consommer les métadonnées)

Si votre IdP nécessite que les champs soient saisis manuellement, utilisez les valeurs du XML des métadonnées SP. Les champs les plus couramment requis sont :
ChampValeur
ID d’entité / AudienceL’attribut entityID sur <md:EntityDescriptor> dans la réponse des métadonnées SP. Par défaut, l’URL ACS ; peut être remplacé au moment du déploiement via CUSTOM_ENTITY_ID_FOR_GENERIC_SSO.
URL ACS / URL de réponse / URL d’authentification uniquehttps://<your-backend-host>/user/generic/sso/saml/acs/admin — toujours l’hôte backend, jamais le frontend.
LiaisonHTTP-POST
Format NameIDurn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
Signer les demandes d’authentificationtrue si votre déploiement EK a un certificat SP configuré (annoncé dans les métadonnées comme AuthnRequestsSigned) ; sinon false.
Assertions signées souhaitéestrue — toujours. EK exige des assertions signées.
L’IdP doit envoyer l’adresse de courrier électronique de l’utilisateur comme NameID SAML. Si l’IdP envoie un ID interne opaque à la place, la connexion échouera ou créera des comptes avec des clés incorrectes.

Ce que votre administrateur IdP doit vous fournir en retour

Une fois que l’application SAML est créée dans votre IdP, demandez à votre administrateur IdP le XML des métadonnées SAML IdP. C’est le fichier que vous téléchargerez à la partie 2. Presque tous les IdP peuvent produire ce fichier. Noms courants pour celui-ci dans les interfaces IdP :
IdPOù le trouver
OktaLien « Métadonnées du fournisseur d’identité » sur l’onglet Connexion de l’application
Entra ID / Azure ADTéléchargement du « XML des métadonnées de fédération » sous le panneau SSO
Ping / OneLogin / Auth0 / ADFS / KeycloakGénéralement étiqueté « Métadonnées » ou « Métadonnées SAML », téléchargeable en XML
Le XML doit être un EntityDescriptor SAML 2.0 valide contenant un IDPSSODescriptor avec au moins l’entityID de l’IdP, un emplacement et une liaison SingleSignOnService, et le certificat de signature de l’IdP afin que EK puisse vérifier les assertions.

Partie 2 — Télécharger les métadonnées IdP

Avec le XML des métadonnées IdP en main, vous pouvez maintenant l’enregistrer contre un domaine de courrier électronique dans votre instance EK.

Ouvrir l’onglet Métadonnées SSO

1

Connectez-vous à EK

Connectez-vous à EK en tant qu’administrateur super.
2

Ouvrir le tableau de bord Super Admin

Allez à votre menu de compte en haut à droite et cliquez sur Tableau de bord Super Admin.
3

Accédez à l'onglet Métadonnées SSO

Basculez vers l’onglet Métadonnées SSO. Vous verrez un tableau des mappages domaine → métadonnées existants avec trois colonnes :
  • Domaine SSO — le domaine de courrier électronique pour lequel les métadonnées sont enregistrées (par exemple acme.com).
  • Mise à jour — la dernière fois que les métadonnées pour ce domaine ont été téléchargées ou remplacées.
  • Actions — contrôles pour télécharger, mettre à jour ou supprimer les métadonnées stockées pour cette ligne.
Utilisez la zone de recherche en haut à droite pour filtrer par domaine. Le tableau peut être trié par Domaine SSO ou Mise à jour.

Ajouter des métadonnées pour un nouveau domaine

1

Ouvrir la boîte de dialogue Ajouter des métadonnées

Cliquez sur Ajouter des métadonnées en haut à droite de l’onglet Métadonnées SSO. Si aucun domaine n’est encore configuré, vous pouvez également cliquer sur la carte d’état vide.
Boîte de dialogue Ajouter des métadonnées
2

Entrez le domaine de courrier électronique

Dans le champ Domaine de courrier électronique de l’équipe SSO, entrez le domaine auquel SSO doit s’appliquer — par exemple acme.com. Utilisez uniquement la portion domaine de l’adresse e-mail : pas de @, pas de chemin, pas de schéma. La valeur est normalisée en minuscules à l’enregistrement.
Si votre déploiement s’exécute en mode SSO à un clic (VITE_ALLOW_ONLY_SSO_LOGIN=true), cette valeur doit correspondre exactement à VITE_SSO_ENTERPRISE_ID. Une non-correspondance signifie que le bouton SSO redirigera les utilisateurs vers un domaine sans métadonnées téléchargées, et l’authentification échouera au backend.
3

Choisir votre méthode de téléchargement et fournir le XML

Sélectionnez le fichier .xml que votre administrateur IdP a fourni. Seuls les fichiers avec une extension .xml sont acceptés.
4

Soumettre

Cliquez sur Télécharger les métadonnées. La boîte de dialogue se ferme, une notification toast confirme le téléchargement, et le nouveau domaine apparaît dans le tableau.
Chaque domaine peut avoir au maximum un document de métadonnées IdP actif à la fois. Un nouvel envoi pour le même domaine remplace les métadonnées existantes — voir Mettre à jour les métadonnées pour un domaine existant ci-dessous.

Mettre à jour les métadonnées pour un domaine existant

Les IdP font tourner les certificats de signature et changent occasionnellement les points de terminaison. Lorsque cela se produit, coordonnez-vous avec votre administrateur IdP afin que le nouveau XML soit téléchargé vers EK avant que l’IdP ne commence à signer les assertions avec la nouvelle clé.
1

Trouver la ligne du domaine

Localisez le domaine dans le tableau Métadonnées SSO.
2

Cliquer sur Mettre à jour

Cliquez sur Mettre à jour dans la colonne Actions de la ligne.
3

Fournir le nouveau XML

La boîte de dialogue Mettre à jour les métadonnées SSO s’ouvre avec le domaine pré-rempli et verrouillé. Vous ne pouvez pas changer le domaine lors d’une mise à jour — si vous devez repurposer l’entrée, supprimez-la et ré-ajoutez-la. Choisissez votre méthode de téléchargement et fournissez le nouveau XML comme vous le feriez pour un nouveau domaine.
4

Soumettre

Cliquez sur Mettre à jour les métadonnées. Le remplacement prend effet immédiatement — la prochaine connexion SSO pour ce domaine utilisera les nouvelles métadonnées.

Télécharger les métadonnées actuellement stockées

Cliquez sur l’icône de téléchargement dans la colonne Actions de la ligne. Le fichier est enregistré sous <domain>_saml_metadata.xml. Utile pour :
  • Confirmer quelles métadonnées IdP sont actuellement actives sur cette instance EK.
  • Fournir une copie à votre équipe de sécurité ou de conformité pour l’audit.
  • Faire une sauvegarde avant d’effectuer une mise à jour.

Supprimer les métadonnées pour un domaine

1

Cliquer sur Supprimer

Cliquez sur Supprimer dans la colonne Actions de la ligne.
2

Confirmer

Dans la boîte de dialogue de confirmation, lisez l’avertissement, cochez la case d’accusé de réception — « Je comprends que cela désactivera SSO pour tous les utilisateurs de ce domaine » — et cliquez sur Supprimer.
La suppression est irréversible. Après la suppression :
  • EK n’a plus les métadonnées IdP en dossier pour ce domaine.
  • Toute nouvelle tentative de connexion SSO des utilisateurs @<domain> échouera.
  • Les comptes existants — email/mot de passe, Google OAuth, ou comptes provisionés par les connexions SSO précédentes — ne sont pas supprimés, mais ces utilisateurs ne pourront plus se connecter via SSO.
Pour restaurer SSO pour le domaine, vous devrez télécharger à nouveau le XML des métadonnées IdP.

Liste de contrôle de bout en bout

Utilisez ceci comme guide opérationnel lors de l’activation de SAML SSO pour un nouveau domaine de courrier électronique sur votre instance EK en local.
1

Partager les métadonnées SP d'EK avec votre administrateur IdP

Donnez à votre administrateur IdP les métadonnées SP de votre backend EK — pas l’hôte frontend.
  • Si votre IdP peut atteindre le backend directement, pointez-les vers : 
    https://<your-backend-host>/saml/well-known/sp-metadata
  • Sinon, téléchargez le XML et transmettez-le hors bande : 
    curl -o ek_sp_metadata.xml https://<your-backend-host>/saml/well-known/sp-metadata
2

Votre administrateur IdP crée l'application SAML

Une fois qu’ils ont les métadonnées SP, votre administrateur IdP enregistre EK en tant qu’application SAML dans votre IdP. Confirmez avec eux que :
  • Le NameID est défini sur l’adresse e-mail de l’utilisateur.
  • Les assertions sont signées.
  • L’audience / ID d’entité correspond à la valeur dans les métadonnées SP d’EK.
3

Recevoir le XML des métadonnées IdP

Demandez à votre administrateur IdP le XML des métadonnées IdP une fois que l’application est créée. C’est le fichier que vous téléchargerez à l’étape suivante.
4

Télécharger les métadonnées IdP vers EK

Connectez-vous à EK en tant qu’administrateur super, ouvrez Tableau de bord Super Admin → Métadonnées SSO, et cliquez sur Ajouter des métadonnées. Entrez le domaine de courrier électronique et téléchargez le XML.
5

Tester la connexion

Testez avec un vrai utilisateur @<domain>. Si l’utilisateur s’authentifie avec succès mais se voit refuser l’accès, vérifiez votre configuration des contrôles d’accès SAML — voir le guide Contrôles d’accès SAML.
6

Documenter le changement

Enregistrez les éléments suivants dans votre système interne de gestion des changements : le domaine, le type d’IdP, la date du téléchargement, et quel super administrateur a effectué le téléchargement.
7

Planifier un renouvellement des métadonnées

Notez quand le certificat de signature de votre IdP doit être renouvelé et définissez un rappel pour télécharger les métadonnées mises à jour avant cette date. Utilisez l’action Mettre à jour dans l’onglet Métadonnées SSO lorsque de nouvelles métadonnées sont disponibles.
Vous rencontrez des problèmes ? Voir le guide Dépannage et référence SSO.