> ## Documentation Index
> Fetch the complete documentation index at: https://ai-kb.automationanywhere.com/llms.txt
> Use this file to discover all available pages before exploring further.

# Guide de configuration des métadonnées SSO

> Instructions étape par étape pour activer SAML 2.0 SSO sur votre instance EK en local en enregistrant votre IdP et en téléchargeant ses métadonnées.

<Note>
  Ce guide s'adresse aux administrateurs informatiques et d'identité qui gèrent une instance EK en local. Toute référence à « votre IdP », « votre administrateur IdP » ou « votre domaine de courrier électronique » concerne l'infrastructure de votre organisation — pas les services gérés par Automation Anywhere.
</Note>

Ce guide vous accompagne à travers le processus en deux étapes pour activer SAML SSO pour un domaine de courrier électronique : partager les métadonnées SP d'EK avec votre IdP, puis télécharger les métadonnées de votre IdP vers EK.

Vous n'êtes pas familier avec le fonctionnement interne de SAML SSO d'EK ? Commencez par l'[aperçu SAML SSO](/super-admin/sso/saml-sso-how-it-works).

## Conditions préalables

Avant de commencer, confirmez les éléments suivants :

* Votre **déploiement EK en local** fonctionne avec à la fois le backend (`<your-backend-host>`) et le frontend (`<your-frontend-host>`) accessibles depuis le navigateur de l'utilisateur. L'IdP doit uniquement recevoir les réponses SAML HTTP-POST à `<your-backend-host>/user/generic/sso/saml/acs/admin` — il n'a **pas** besoin de connectivité sortante directe vers votre backend si vous fournissez les métadonnées SP sous forme de fichier téléchargé.
* Vous êtes connecté à EK en tant qu'**administrateur super**. L'onglet Métadonnées SSO et tous ses points de terminaison sous-jacents sont réservés aux super administrateurs.
* Votre IdP est conforme à SAML 2.0 et peut soit utiliser les métadonnées XML SP / URL, soit être configuré manuellement avec un ID d'entité SP et une URL ACS.
* Votre IdP est configuré pour envoyer l'adresse de courrier électronique de l'utilisateur comme `NameID` SAML, en utilisant le format `urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress`. EK utilise le NameID pour rechercher ou provisionner les comptes utilisateur.
* Vous connaissez le **domaine de courrier électronique** pour lequel vous souhaitez activer SSO (par exemple `acme.com`). SSO est clé par domaine, donc tous les utilisateurs partageant ce domaine — `alice@acme.com`, `bob@acme.com`, etc. — seront acheminés vers le même IdP.
* Vous connaissez le **mode SSO du frontend** que votre déploiement utilise. Ceci est contrôlé par la variable d'environnement `VITE_ALLOW_ONLY_SSO_LOGIN` sur le frontend :
  * `true` — SSO à un clic. Le domaine est codé en dur via `VITE_SSO_ENTERPRISE_ID` et doit correspondre exactement au domaine pour lequel vous téléchargez les métadonnées.
  * `false` *(par défaut)* — SSO modal par email. Le domaine est dérivé de l'e-mail de l'utilisateur lors de la connexion. Plusieurs domaines peuvent chacun avoir leurs propres métadonnées téléchargées.

## Partie 1 — Fournir les métadonnées SP à votre IdP

Votre administrateur IdP doit enregistrer EK en tant qu'application SAML dans votre IdP avant de pouvoir télécharger les métadonnées IdP. EK rend cela simple en publiant ses métadonnées SP via un point de terminaison public bien connu — aucune copie manuelle de champs requise.

### Le point de terminaison des métadonnées SP

Le backend EK publie ses métadonnées SP à :

```
https://<your-backend-host>/saml/well-known/sp-metadata
```

La réponse est un `EntityDescriptor` SAML 2.0 conforme aux normes contenant l'ID d'entité de votre instance, l'URL ACS, le format NameID requis et le certificat de signature SP (s'il est configuré). Le point de terminaison n'est pas authentifié par conception afin que votre IdP puisse le récupérer directement.

<Tip>
  Pour la référence complète — comportement du point de terminaison, XML d'exemple, composants garantis vs optionnels, et les variables d'environnement backend (`CUSTOM_ENTITY_ID_FOR_GENERIC_SSO`, `SAML_SP_CERT_FILE`, `SAML_SP_KEY_FILE`) qu'un opérateur en local peut paramétrer au moment du déploiement — voir [Point de terminaison des métadonnées SP](/super-admin/sso/sp-metadata-endpoint).
</Tip>

### Comment partager les métadonnées SP

<AccordionGroup>
  <Accordion title="Option A — Fournir l'URL">
    Si votre IdP peut atteindre l'hôte backend EK, envoyez l'URL bien connue directement à votre administrateur IdP :

    ```
    https://<your-backend-host>/saml/well-known/sp-metadata
    ```

    La plupart des IdP modernes (Okta, Entra ID, Ping, OneLogin, Auth0, etc.) peuvent importer les métadonnées SP à partir d'une URL et remplissent automatiquement la configuration SP — ID d'entité, URL ACS, format NameID et certificat de signature — à partir de celle-ci.
  </Accordion>

  <Accordion title="Option B — Télécharger et transmettre le fichier">
    Si votre IdP ne peut pas atteindre directement l'hôte backend — courant dans les réseaux segmentés, les environnements isolés, ou lorsque votre IdP est un SaaS en dehors de votre périmètre d'entreprise — téléchargez le XML et transmettez-le à votre administrateur IdP hors bande :

    ```bash theme={null}
    curl -o ek_sp_metadata.xml https://<your-backend-host>/saml/well-known/sp-metadata
    ```

    Votre administrateur IdP télécharge `ek_sp_metadata.xml` dans l'écran de configuration de l'application SAML du IdP. Vous devez uniquement ré-exporter et ré-télécharger lorsque la configuration SP change — généralement un changement de nom d'hôte backend, une rotation de certificat de signature SP, ou un changement de remplacement d'ID d'entité.
  </Accordion>
</AccordionGroup>

### Configuration manuelle (lorsque l'IdP ne peut pas consommer les métadonnées)

Si votre IdP nécessite que les champs soient saisis manuellement, utilisez les valeurs du XML des métadonnées SP. Les champs les plus couramment requis sont :

| Champ                                                        | Valeur                                                                                                                                                                                            |
| ------------------------------------------------------------ | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| **ID d'entité / Audience**                                   | L'attribut `entityID` sur `<md:EntityDescriptor>` dans la réponse des métadonnées SP. Par défaut, l'URL ACS ; peut être remplacé au moment du déploiement via `CUSTOM_ENTITY_ID_FOR_GENERIC_SSO`. |
| **URL ACS / URL de réponse / URL d'authentification unique** | `https://<your-backend-host>/user/generic/sso/saml/acs/admin` — toujours l'hôte backend, jamais le frontend.                                                                                      |
| **Liaison**                                                  | HTTP-POST                                                                                                                                                                                         |
| **Format NameID**                                            | `urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress`                                                                                                                                          |
| **Signer les demandes d'authentification**                   | `true` si votre déploiement EK a un certificat SP configuré (annoncé dans les métadonnées comme `AuthnRequestsSigned`) ; sinon `false`.                                                           |
| **Assertions signées souhaitées**                            | `true` — toujours. EK exige des assertions signées.                                                                                                                                               |

<Warning>
  L'IdP doit envoyer l'adresse de courrier électronique de l'utilisateur comme `NameID` SAML. Si l'IdP envoie un ID interne opaque à la place, la connexion échouera ou créera des comptes avec des clés incorrectes.
</Warning>

### Ce que votre administrateur IdP doit vous fournir en retour

Une fois que l'application SAML est créée dans votre IdP, demandez à votre administrateur IdP le **XML des métadonnées SAML IdP**. C'est le fichier que vous téléchargerez à la partie 2.

Presque tous les IdP peuvent produire ce fichier. Noms courants pour celui-ci dans les interfaces IdP :

| IdP                                           | Où le trouver                                                                              |
| --------------------------------------------- | ------------------------------------------------------------------------------------------ |
| **Okta**                                      | Lien *« Métadonnées du fournisseur d'identité »* sur l'onglet *Connexion* de l'application |
| **Entra ID / Azure AD**                       | Téléchargement du *« XML des métadonnées de fédération »* sous le panneau SSO              |
| **Ping / OneLogin / Auth0 / ADFS / Keycloak** | Généralement étiqueté *« Métadonnées »* ou *« Métadonnées SAML »*, téléchargeable en XML   |

Le XML doit être un `EntityDescriptor` SAML 2.0 valide contenant un `IDPSSODescriptor` avec au moins l'`entityID` de l'IdP, un emplacement et une liaison `SingleSignOnService`, et le certificat de signature de l'IdP afin que EK puisse vérifier les assertions.

## Partie 2 — Télécharger les métadonnées IdP

Avec le XML des métadonnées IdP en main, vous pouvez maintenant l'enregistrer contre un domaine de courrier électronique dans votre instance EK.

### Ouvrir l'onglet Métadonnées SSO

<Steps>
  <Step title="Connectez-vous à EK">
    Connectez-vous à EK en tant qu'administrateur super.
  </Step>

  <Step title="Ouvrir le tableau de bord Super Admin">
    Allez à votre menu de compte en haut à droite et cliquez sur **Tableau de bord Super Admin**.
  </Step>

  <Step title="Accédez à l'onglet Métadonnées SSO">
    Basculez vers l'onglet **Métadonnées SSO**. Vous verrez un tableau des mappages domaine → métadonnées existants avec trois colonnes :

    * **Domaine SSO** — le domaine de courrier électronique pour lequel les métadonnées sont enregistrées (par exemple `acme.com`).
    * **Mise à jour** — la dernière fois que les métadonnées pour ce domaine ont été téléchargées ou remplacées.
    * **Actions** — contrôles pour télécharger, mettre à jour ou supprimer les métadonnées stockées pour cette ligne.

    Utilisez la zone de recherche en haut à droite pour filtrer par domaine. Le tableau peut être trié par **Domaine SSO** ou **Mise à jour**.
  </Step>
</Steps>

### Ajouter des métadonnées pour un nouveau domaine

<Steps>
  <Step title="Ouvrir la boîte de dialogue Ajouter des métadonnées">
    Cliquez sur **Ajouter des métadonnées** en haut à droite de l'onglet Métadonnées SSO. Si aucun domaine n'est encore configuré, vous pouvez également cliquer sur la carte d'état vide.<br /><img src="https://mintcdn.com/automationanywhere/GwZtgh73O0-NsEVq/img/sa/sso/add-metadata-dialog.png?fit=max&auto=format&n=GwZtgh73O0-NsEVq&q=85&s=59176f248d196eb7d6ea959a50732843" alt="Boîte de dialogue Ajouter des métadonnées" width="700" height="438" data-path="img/sa/sso/add-metadata-dialog.png" />
  </Step>

  <Step title="Entrez le domaine de courrier électronique">
    Dans le champ **Domaine de courrier électronique de l'équipe SSO**, entrez le domaine auquel SSO doit s'appliquer — par exemple `acme.com`. Utilisez uniquement la portion domaine de l'adresse e-mail : pas de `@`, pas de chemin, pas de schéma. La valeur est normalisée en minuscules à l'enregistrement.

    <Warning>
      Si votre déploiement s'exécute en mode SSO à un clic (`VITE_ALLOW_ONLY_SSO_LOGIN=true`), cette valeur doit correspondre exactement à `VITE_SSO_ENTERPRISE_ID`. Une non-correspondance signifie que le bouton SSO redirigera les utilisateurs vers un domaine sans métadonnées téléchargées, et l'authentification échouera au backend.
    </Warning>
  </Step>

  <Step title="Choisir votre méthode de téléchargement et fournir le XML">
    <Tabs>
      <Tab title="Télécharger un fichier">
        Sélectionnez le fichier `.xml` que votre administrateur IdP a fourni. Seuls les fichiers avec une extension `.xml` sont acceptés.
      </Tab>

      <Tab title="Coller le contenu XML">
        Collez le XML des métadonnées IdP complet directement dans la zone de texte. Le contenu doit commencer par `<?xml ...?>` ou `<EntityDescriptor ...>`.
      </Tab>
    </Tabs>
  </Step>

  <Step title="Soumettre">
    Cliquez sur **Télécharger les métadonnées**. La boîte de dialogue se ferme, une notification toast confirme le téléchargement, et le nouveau domaine apparaît dans le tableau.
  </Step>
</Steps>

<Note>
  Chaque domaine peut avoir au maximum un document de métadonnées IdP actif à la fois. Un nouvel envoi pour le même domaine remplace les métadonnées existantes — voir *Mettre à jour les métadonnées pour un domaine existant* ci-dessous.
</Note>

### Mettre à jour les métadonnées pour un domaine existant

Les IdP font tourner les certificats de signature et changent occasionnellement les points de terminaison. Lorsque cela se produit, coordonnez-vous avec votre administrateur IdP afin que le nouveau XML soit téléchargé vers EK **avant** que l'IdP ne commence à signer les assertions avec la nouvelle clé.

<Steps>
  <Step title="Trouver la ligne du domaine">
    Localisez le domaine dans le tableau Métadonnées SSO.
  </Step>

  <Step title="Cliquer sur Mettre à jour">
    Cliquez sur **Mettre à jour** dans la colonne Actions de la ligne.
  </Step>

  <Step title="Fournir le nouveau XML">
    La boîte de dialogue **Mettre à jour les métadonnées SSO** s'ouvre avec le domaine pré-rempli et verrouillé. Vous ne pouvez pas changer le domaine lors d'une mise à jour — si vous devez repurposer l'entrée, supprimez-la et ré-ajoutez-la. Choisissez votre méthode de téléchargement et fournissez le nouveau XML comme vous le feriez pour un nouveau domaine.
  </Step>

  <Step title="Soumettre">
    Cliquez sur **Mettre à jour les métadonnées**. Le remplacement prend effet immédiatement — la prochaine connexion SSO pour ce domaine utilisera les nouvelles métadonnées.
  </Step>
</Steps>

### Télécharger les métadonnées actuellement stockées

Cliquez sur l'**icône de téléchargement** dans la colonne Actions de la ligne. Le fichier est enregistré sous `<domain>_saml_metadata.xml`.

Utile pour :

* Confirmer quelles métadonnées IdP sont actuellement actives sur cette instance EK.
* Fournir une copie à votre équipe de sécurité ou de conformité pour l'audit.
* Faire une sauvegarde avant d'effectuer une mise à jour.

### Supprimer les métadonnées pour un domaine

<Steps>
  <Step title="Cliquer sur Supprimer">
    Cliquez sur **Supprimer** dans la colonne Actions de la ligne.
  </Step>

  <Step title="Confirmer">
    Dans la boîte de dialogue de confirmation, lisez l'avertissement, cochez la case d'accusé de réception — *« Je comprends que cela désactivera SSO pour tous les utilisateurs de ce domaine »* — et cliquez sur **Supprimer**.
  </Step>
</Steps>

<Danger>
  La suppression est irréversible. Après la suppression :

  * EK n'a plus les métadonnées IdP en dossier pour ce domaine.
  * Toute nouvelle tentative de connexion SSO des utilisateurs `@<domain>` échouera.
  * Les comptes existants — email/mot de passe, Google OAuth, ou comptes provisionés par les connexions SSO précédentes — ne sont **pas** supprimés, mais ces utilisateurs ne pourront plus se connecter via SSO.

  Pour restaurer SSO pour le domaine, vous devrez télécharger à nouveau le XML des métadonnées IdP.
</Danger>

## Liste de contrôle de bout en bout

Utilisez ceci comme guide opérationnel lors de l'activation de SAML SSO pour un nouveau domaine de courrier électronique sur votre instance EK en local.

<Steps>
  <Step title="Partager les métadonnées SP d'EK avec votre administrateur IdP">
    Donnez à votre administrateur IdP les métadonnées SP de votre backend EK — pas l'hôte frontend.

    * Si votre IdP peut atteindre le backend directement, pointez-les vers :
      ```
      https://<your-backend-host>/saml/well-known/sp-metadata
      ```
    * Sinon, téléchargez le XML et transmettez-le hors bande :
      ```bash theme={null}
      curl -o ek_sp_metadata.xml https://<your-backend-host>/saml/well-known/sp-metadata
      ```
  </Step>

  <Step title="Votre administrateur IdP crée l'application SAML">
    Une fois qu'ils ont les métadonnées SP, votre administrateur IdP enregistre EK en tant qu'application SAML dans votre IdP. Confirmez avec eux que :

    * Le NameID est défini sur l'adresse e-mail de l'utilisateur.
    * Les assertions sont signées.
    * L'audience / ID d'entité correspond à la valeur dans les métadonnées SP d'EK.
  </Step>

  <Step title="Recevoir le XML des métadonnées IdP">
    Demandez à votre administrateur IdP le XML des métadonnées IdP une fois que l'application est créée. C'est le fichier que vous téléchargerez à l'étape suivante.
  </Step>

  <Step title="Télécharger les métadonnées IdP vers EK">
    Connectez-vous à EK en tant qu'administrateur super, ouvrez **Tableau de bord Super Admin → Métadonnées SSO**, et cliquez sur **Ajouter des métadonnées**. Entrez le domaine de courrier électronique et téléchargez le XML.
  </Step>

  <Step title="Tester la connexion">
    Testez avec un vrai utilisateur `@<domain>`. Si l'utilisateur s'authentifie avec succès mais se voit refuser l'accès, vérifiez votre configuration des contrôles d'accès SAML — voir le guide [**Contrôles d'accès SAML**](/super-admin/sa-access-controls).
  </Step>

  <Step title="Documenter le changement">
    Enregistrez les éléments suivants dans votre système interne de gestion des changements : le domaine, le type d'IdP, la date du téléchargement, et quel super administrateur a effectué le téléchargement.
  </Step>

  <Step title="Planifier un renouvellement des métadonnées">
    Notez quand le certificat de signature de votre IdP doit être renouvelé et définissez un rappel pour télécharger les métadonnées mises à jour avant cette date. Utilisez l'action **Mettre à jour** dans l'onglet Métadonnées SSO lorsque de nouvelles métadonnées sont disponibles.
  </Step>
</Steps>

***

Vous rencontrez des problèmes ? Voir le guide [Dépannage et référence SSO](/super-admin/sso/saml-sso-troubleshooting).