HELP FILE

Configuration manuelle du Single Sign-On

Une fois que vous avez configuré une organisation avec des utilisateurs associés à des comptes d'utilisateur, vous pouvez configurer l'authentification unique (SSO) SAML pour vos utilisateurs via un fournisseur d'identité (IdP) externe. Le fournisseur d'identité peut être un service tel que les services ADFS, un fournisseur tiers tel que OneLogin, Okta, Azure, etc., ou une solution personnalisée. Une fois configurés, vos utilisateurs peuvent se connecter à partir du site Web du fournisseur d’identité ou du site Web de votre produit LogMeIn à l'aide du lien Utiliser mon identifiant d'entreprise (Use my company ID) dans le formulaire de connexion de LogMeIn.

Retour à Single Sign-On

Nous proposons une documentation spécifique pour :

• Active Directory Federation Services v2.0
• Active Directory Federation Services v3.0

De nombreux fournisseurs d'identité et de gestion de l’accès fournissent une documentation spécifique à LogMeIn pour configurer l'authentification unique (SSO).

Pour les autres fournisseurs ou un fournisseur d’identité SAML personnalisé, les informations ci-dessous peuvent vous aider dans la configuration.

Une relation de confiance entre les deux parties impliquées a été établie lorsque chaque partie a acquis les métadonnées requises sur le partenaire pour pouvoir exécuter une authentification unique SAML. Sur chaque partie impliquée, les informations de configuration de LogMeIn peuvent être entrées de manière dynamique ou manuelle, selon l'interface proposée par le fournisseur d’identité.

Lors de l’introduction des métadonnées du service SAML de LogMeIn au fournisseur d’identité, une option permettant d’ajouter un nouveau fournisseur de services via des métadonnées vous sera peut-être proposée. Dans ce cas, il vous suffit simplement de remplir le champ d’URL de métadonnées avec :

https://login.citrixonline.com/saml/sp

Dans le cas où votre fournisseur d’identité requiert la saisie manuelle d’informations, vous devrez entrer manuellement les champs correspondant aux métadonnées LogMeIn. Selon votre fournisseur d’identité, il peut demander d'autres informations ou appeler ces champs différemment. Pour commencer, voici quelques valeurs de configuration qui doivent être entrées si votre fournisseur d’identité en fait la demande. Ensuite, selon que votre fournisseur d’identité prend en charge ou non la fonctionnalité appelée RelayState, d'autres valeurs devront être entrées.

• EntityID : l’ID d’entité du service SAML de LogMeIn est l'URL des métadonnées. Le fournisseur d’identité peut parfois l’appeler IssuerID ou AppID.
         https://login.citrixonline.com/saml/sp
• Audience : il s’agit de l’ID d'entité du service SAML de LogMeIn. Un fournisseur d’identité peut parfois l’appeler restriction d'audience (Audience Restriction). Il doit être défini sur :
  https://login.citrixonline.com/saml/sp
• Single Logout URL : destination d'une demande de déconnexion ou réponse du fournisseur d’identité à la déconnexion :
          https://login.citrixonline.com/saml/SingleLogout
• NameID format : type d'identificateur d'objet à renvoyer dans l'assertion. Le service SAML de LogMeIn s’attend à :
            EmailAddress

Lors de l'accès à des produits via une connexion initiée par un fournisseur d’identité, certains fournisseurs d’identité prennent en charge une fonctionnalité appelée « RelayState », qui vous permet de diriger des utilisateurs directement sur le produit LogMeIn auquel vous souhaitez qu’ils accèdent. Pour configurer ce paramètre, les champs suivants, s’ils sont requis par votre configuration de fournisseur d’identité doivent être définis en conséquence. Certains fournisseurs d’identité utilisent des dénominations différentes pour ces champs. Dans la mesure du possible, nous avons inclus les autres noms de champs utilisés par certains de ces fournisseurs d’identité.

• URL du service ACS (consommateur d'assertion) : URL sur laquelle les réponses d’authentification (contenant des assertions) sont renvoyées. Le fournisseur d’identité peut également faire référence à cette URL en tant que URL ACS, URL d’envoi, URL de réponse, ou URL Single Sign-On.
• Destinataire
• Destination

Si votre fournisseur d’identité prend en charge la fonctionnalité RelayState, tous les champs ci-dessus (où ceux requis par votre fournisseur d'identité - les fournisseurs d'identité ne demanderont pas tous que tous les champs soient renseignés) doivent être renseignés avec :
              https://login.citrixonline.com/saml/acs

Vous pouvez ensuite définir un RelayState par produit pour autoriser le routage vers différents produits depuis le catalogue d'applications de votre fournisseur d'identité. Vous trouverez ci-dessous les valeurs RelayState à définir pour les produits LogMeIn :

• GoToMeeting
           https://global.gotomeeting.com
• GoToWebinar
           https://global.gotowebinar.com
• GoToTraining
           https://global.gototraining.com
• OpenVoice
            https://global.openvoice.com
• GoToAssist (Remote Support/Service Desk/Monitoring)
            https://app.gotoassist.com

Si votre fournisseur d'identité ne prend pas en charge la fonctionnalité RelayState, il n'y aura aucune valeur RelayState à définir. Au lieu de cela, définissez les valeurs ACS ci-dessus (URL ACS, Destinataire, Destination) sur les valeurs suivantes pour chaque produit :

• GoToMeeting
            https://login.citrixonline.com/saml/global.gotomeeting.com/acs
• GoToWebinar
            https://login.citrixonline.com/saml/global.gotowebinar.com/acs
• GoToTraining
            https://login.citrixonline.com/saml/global.gototraining.com/acs
• OpenVoice
             https://login.citrixonline.com/saml/global.openvoice.com/acs
• GoToAssist (Remote Support/Service Desk/Monitoring)
             https://login.citrixonline.com/saml/app.gotoassist.com/acs

Pendant la configuration manuelle du service SAML de LogMeIn sur le fournisseur d'identité, des options supplémentaires peuvent vous être présentées. Voici une liste des options qui peuvent vous être présentées et si vous devez les activer ou les désactiver.

• Signer l'assertion ou la réponse
  • Activez cette option, le service SAML de LogMeIn requiert la signature du fournisseur d'identité dans la réponse.
• Chiffrer l’assertion ou la réponse
  • Désactivez cette option, le service SAML ne traite pas les assertions chiffrées pour le moment.
• Inclure les conditions SAML
  • Activez cette option, elle est requise par le profil SSO Web SAML. Il s’agit d’une option SecureAuth.
• SubjectConfirmationData Not Before
  • Désactivez cette option, requise par le profil SSO Web SAML. Il s’agit d’une option SecureAuth.
• Réponse SAML InResponseTo
  • Activez cette option. Il s’agit d’une option SecureAuth.