HELP FILE

Créer une configuration Enterprise Sign-In personnalisée

Il existe plusieurs moyens de mettre en œuvre Enterprise Sign-In (authentification unique), parmi lesquels créer une configuration personnalisée dans l'onglet Fournisseur d'identité du centre d'organisation. Cette option est la plus fréquemment employée par les entreprises dont le fournisseur ne propose pas de solution d'authentification unique préconfigurée ou qui ont besoin d'un fournisseur d'identité SAML personnalisé.

LogMeIn propose Enterprise Sign-In, une option d'authentification unique (SSO) basée sur le langage SAML. Elle permet aux utilisateurs d'ouvrir une session sur leur produit LogMeIn avec le nom d'utilisateur et le mot de passe fournis par leur entreprise, autrement dit avec les informations d'identification dont ils se servent habituellement pour accéder à d'autres systèmes et outils au sein de l'organisation (messagerie d'entreprise et ordinateurs de travail, par exemple). En plus d'être pratique pour les utilisateurs, cette option leur offre la possibilité de s'authentifier en toute sécurité avec des identifiants qu'ils connaissent bien. En savoir plus.

L'onglet Fournisseur d'identité du centre d'organisation prend en charge différentes configurations. Les administrateurs informatiques peuvent effectuer les configurations automatiquement en utilisant une URL de métadonnées ou en chargeant un fichier de métadonnées SAML, mais aussi procéder manuellement au moyen d'URL de connexion/déconnexion, d'un ID de fournisseur d'identité et d'un certificat de vérification chargé.

Présentation de la configuration générale du fournisseur d'identité

Une relation d'approbation entre les deux parties impliquées a été établie lorsque chaque partie a acquis les métadonnées requises sur le partenaire pour pouvoir exécuter une authentification unique SAML. Sur chaque partie impliquée, les informations de configuration peuvent être entrées de manière dynamique ou manuelle, selon l'interface proposée par le fournisseur d’identité.

Lors de l'introduction des métadonnées du service SAML de LogMeIn au fournisseur d’identité, une option permettant d'ajouter un nouveau fournisseur de services via des métadonnées vous sera peut-être proposée. Dans ce cas, il vous suffit d'entrer les informations suivantes dans le champ d'URL de métadonnées :

https://authentication.logmeininc.com/saml/sp

Dans le cas où votre fournisseur d'identité requiert la saisie manuelle d'informations, vous devrez renseigner manuellement les champs correspondant aux métadonnées. Selon votre fournisseur d'identité, il peut demander d'autres informations ou nommer ces champs différemment. Pour commencer, voici quelques valeurs de configuration à entrer si votre fournisseur d'identité en fait la demande. D'autres valeurs seront ensuite nécessaires selon que votre fournisseur d'identité prend en charge ou non la fonctionnalité RelayState.

  • EntityID : l'ID d'entité du service SAML de LogMeIn est l'URL des métadonnées. Le fournisseur d’identité peut également l'appeler IssuerID ou AppID.
           https://authentication.logmeininc.com/saml/sp
  • Audience : il s'agit de l'ID d'entité du service SAML GoTo. Le fournisseur d'identité peut parfois l'appeler Audience Restriction (restriction d'audience). Il doit être défini sur :
            https://authentication.logmeininc.com/saml/sp
  • Single Logout URL : destination d'une demande de déconnexion ou d'une réponse du fournisseur d'identité à la déconnexion :
            https://authentication.logmeininc.com/saml/SingleLogout
  • NameID format : type d'identificateur d'objet à renvoyer dans l'assertion. Le service SAML de LogMeIn s'attend à :
              EmailAddress

Lors de l'accès à des produits via une connexion initiée par un fournisseur d’identité, certains fournisseurs d'identité prennent en charge la fonctionnalité « RelayState », qui vous permet de diriger des utilisateurs directement vers le produit LogMeIn auquel vous souhaitez qu'ils accèdent. Pour configurer ce paramètre, vous devez définir les champs suivants s'ils sont requis par votre configuration de fournisseur d'identité. Certains fournisseurs d'identité utilisent des dénominations différentes pour ces champs. Dans la mesure du possible, nous avons inclus les autres noms de champs utilisés par certains de ces fournisseurs d'identité.

  • URL du service ACS (consommateur d'assertion) : URL vers laquelle les réponses d'authentification (contenant des assertions) sont renvoyées. Le fournisseur d'identité peut également faire référence à cette URL en tant que URL ACS, URL d'envoi, URL de réponse ou URL d'authentification unique.
  • Destinataire
  • Destination

Si votre fournisseur d'identité prend en charge la fonctionnalité RelayState, vous devez entrer les données suivantes dans tous les champs ci-dessus (lorsqu'ils sont requis par votre fournisseur d'identité, car les fournisseurs d'identité n'exigent pas tous que tous les champs soient renseignés) :
             https://authentication.logmeininc.com/saml/acs

Vous pouvez ensuite définir un RelayState par produit pour autoriser le routage vers différents produits depuis le catalogue d'applications de votre fournisseur d'identité. Vous trouverez ci-dessous les valeurs RelayState à définir pour les produits LogMeIn :

  • GoToMeeting
             https://global.gotomeeting.com
  • GoToWebinar
             https://global.gotowebinar.com
  • GoToTraining
             https://global.gototraining.com
  • OpenVoice
              https://global.openvoice.com
  • GoToAssist (Remote Support)
              https://up.gotoassist.com
  • GoToAssist (Service Desk)
              https://desk.gotoassist.com
  • RescueAssist
              https://console.gotoassist.com
  • Jive
              https://my.jive.com

Si votre fournisseur d'identité ne prend pas en charge la fonctionnalité RelayState, il n'y aura aucune valeur RelayState à définir. Au lieu de cela, définissez les valeurs ACS ci-dessus (URL ACS, Destinataire, Destination) sur les valeurs suivantes pour chaque produit :

  • GoToMeeting
              https://authentication.logmeininc.com/saml/global.gotomeeting.com/acs
  • GoToWebinar
              https://authentication.logmeininc.com/saml/global.gotowebinar.com/acs
  • GoToTraining
              https://authentication.logmeininc.com/saml/global.gototraining.com/acs
  • OpenVoice
               https://authentication.logmeininc.com/saml/global.openvoice.com/acs
  • GoToAssist (Remote Support)
               https://authentication.logmeininc.com/saml/up.gotoassist.com/acs
  • GoToAssist (Service Desk)
               https://authentication.logmeininc.com/saml/desk.gotoassist.com/acs
  • RescueAssist
               https://authentication.logmeininc.com/saml/console.gotoassist.com/acs
  • Jive
               https://authentication.logmeininc.com/saml/my.jive.com/acs

Pendant la configuration manuelle du service SAML de LogMeIn sur le fournisseur d'identité, des options supplémentaires peuvent vous être présentées. Voici une liste des options qui peuvent vous être présentées et des informations vous indiquant si vous devez les activer.

  • Signer l'assertion ou la réponse
    • Activez cette option, le service SAML de LogMeIn requiert la signature du fournisseur d'identité dans la réponse.
  • Chiffrer l'assertion ou la réponse
    • Désactivez cette option, le service SAML ne traite pas les assertions chiffrées pour le moment.
  • Inclure les conditions SAML
    • Activez cette option, elle est requise par le profil authentification Web SAML. Il s'agit d'une option SecureAuth.
  • SubjectConfirmationData Not Before
    • Désactivez cette option, requise par le profil SSO Web SAML. Il s'agit d'une option SecureAuth.
  • Réponse SAML InResponseTo
    • Activez cette option. Il s'agit d'une option SecureAuth.