Pour authentifier les utilisateurs de la fonction SSO, Dashlane requiert l'installation du connecteur SSO. Ce dernier doit être hébergé dans un environnement contrôlé par votre entreprise.
Cet article vous propose de découvrir comment configurer le connecteur SSO à l'aide des services Microsoft Azure. Pour résumer, le connecteur SSO fait partie d'Azure App Service et est exécuté sur le sous-domaine de votre choix sur https://azurewebsites.net.
Ainsi, le terminal du connecteur SSO peut par exemple ressembler à ceci : https://ssodemonentreprise.azurewebsites.net. Dans les étapes ci-dessous, nous vous proposons un modèle qui acceptera quelques paramètres liés à la configuration du connecteur SSO, puis déploiera automatiquement le connecteur SSO sur le sous-domaine spécifié.
Déployer le connecteur SSO sur Microsoft Azure
Configurer le modèle Azure Resource Manager (ARM)
1. Connectez-vous au portail Azure.
2. Cliquez sur le lien suivant pour ouvrir le modèle : modèle ARM.
3. Choisissez l'abonnement et le groupe de ressources pour le déploiement du connecteur SSO.
4. Sélectionnez la région de déploiement du connecteur SSO.
5. Pour le nom du site, choisissez un sous-domaine unique où le connecteur SSO sera hébergé. Par exemple, si vous choisissez ssodemonentreprise, le terminal du connecteur SSO sera https://ssodemonentreprise.azurewebsites.net.
6. Sélectionnez l'UGS et la capacité de plan de service pour le service Web sur lequel vous voulez exécuter le connecteur SSO. Nous recommandons B1 et une capacité de 1.
7. Pour remplir le reste du modèle, reportez-vous à la section suivante.
Copier les valeurs du fichier de configuration
Lorsque vous instanciez le service du connecteur SSO, vous devez le configurer de manière à ce qu'il soit spécifique aux besoins de votre entreprise. Le fichier de configuration téléchargé depuis la console d'administration de Dashlane permet de configurer le connecteur SSO. Les informations suivantes doivent être saisies dans la console d'administration afin que le fichier de configuration puisse être généré, puis téléchargé :
- Les métadonnées SAML du fournisseur d'identité.
- Le terminal du connecteur SSO, c'est-à-dire le terminal qui permet d'accéder au connecteur SSO. Il doit correspondre au nom du site dans la section ci-dessus. Dans notre exemple, le terminal du connecteur SSO sera https://ssodemonentreprise.azurewebsites.net.
- La clé du connecteur SSO générée par la console d'administration de Dashlane, à savoir la clé unique qui permet à Dashlane de proposer une architecture de sécurité à divulgation nulle de connaissance. Veuillez noter que si cette clé est perdue, toutes les données utilisateur le seront aussi. Veillez à stocker la clé dans un endroit sûr et facile à mémoriser.
Lorsque vous avez généré le fichier de configuration, ouvrez-le dans le Bloc-notes ou dans un autre éditeur de texte. Copiez une par une chacune des valeurs du fichier de configuration dans le modèle. Par exemple, pour un fichier de configuration qui comporte les valeurs suivantes...
DASHLANE_SSO_CONNECTOR_ENDPOINT=https://dashlanesso.azurewebsites.net
DASHLANE_SSO_SAML_IDP_CERTIFICATE=MIIC.........VO1B
DASHLANE_SSO_SAML_IDP_ENTRYPOINT=https://login.microsoftonline.com/00000000-0000-0000-0000-000000000000/saml2
DASHLANE_SSO_CONNECTOR_KEY=0000000-de9e-45f2-84f0-0000000000000|F6n81........DcGBIO==
DASHLANE_SSO_TEAM_DEVICE_ACCESS_KEY=1234567890
DASHLANE_SSO_TEAM_DEVICE_SECRET_KEY=f9e17......65f
DASHLANE_SSO_TEAM_UUID=70000000-b9ff-4dc9-b781-80000000000c
...les paramètres du modèle Azure seraient les suivants :
Créer et déployer le connecteur SSO
1. Lorsque vous avez renseigné les paramètres dans le modèle, cliquez sur Review + Create (Vérifier et créer).
2. Assurez-vous que la validation est réussie et acceptez les conditions.
3. Lorsque vous êtes prêt(e), cliquez sur Create (Créer).
4. Au bout de quelques minutes, le déploiement sera terminé et le connecteur SSO s'exécutera.
Configuration du connecteur SSO réussie
Télécharger les métadonnées SAML du connecteur SSO
Une fois que le connecteur SSO s'exécutera correctement, vous pourrez télécharger ses métadonnées SAML. Pour ce faire, accédez au terminal du connecteur SSO et ajoutez /saml/ au chemin d'accès. Le format sera le suivant :
https://{SSO connector endpoint}/saml/.
En prenant l'exemple ci-dessus, vous pourrez télécharger les métadonnées SAML du connecteur SSO en accédant à https://ssodemonentreprise.azurewebsites.net/saml/.
Vous en aurez besoin pour configurer votre fournisseur d'identité.
Maintenir et mettre à niveau le connecteur SSO
Nous vous conseillons de relancer régulièrement le service de l'application afin que le connecteur SSO reste à jour. Lorsque vous relancez le service de l'application, le dernier package est automatiquement téléchargé et déployé.
Vous pouvez maintenant vous reporter à la suite du guide de configuration de votre fournisseur d'identité.
Option avancée : exécuter plusieurs instances pour augmenter la disponibilité et l'évolutivité
L'architecture du connecteur SSO est sans état. Plusieurs instances peuvent être lancées pour augmenter la disponibilité du service et, le cas échéant, sa capacité.
Afin d'exécuter plus d'instances du connecteur SSO, il vous suffit de vérifier que la clé du connecteur SSO figurant dans le fichier de configuration est la même pour toutes les instances.
Une fois la clé du connecteur SSO générée lors du déploiement de la première instance du connecteur SSO, elle doit être enregistrée de manière sécurisée. Si la clé n'a pas été enregistrée, vous la trouverez peut-être dans le fichier de configuration téléchargé lors de l'installation de la première instance. Si le fichier de configuration initial n'est pas non plus disponible, il sera impossible de créer d'autres instances du connecteur SSO.