Comment configurer l'authentification unique (SSO) via ADFS

L'authentification unique (ou SSO) permet à vos utilisateurs de se connecter à Dashlane à l'aide de leurs identifiants SSO (en lieu et place de leur mot de passe Maître). Cet article vous expliquera comment configurer l'authentification unique (SSO) avec une infrastructure ADFS sur site (ou hébergée dans le cloud).

Avant de commencer, assurez-vous d'avoir :

1. consulté la page de présentation de la SSO ;
2. souscrit un forfait Dashlane Business ; (L'activation de la fonction SSO n'est pas disponible avec le forfait Dashlane Team. Pour changer de forfait, contactez l'assistance Dashlane)
3. accès aux métadonnées et à la console des fournisseurs d'identité SSO (le cas échéant).

Didacticiel vidéo étape par étape

Aperçu de l'authentification unique (SSO)

Le mot de passe Maître est actuellement l'une des clés utilisées par Dashlane pour chiffrer/déchiffrer les données utilisateur. Grâce à l'authentification unique, les utilisateurs peuvent se connecter à leur coffre-fort Dashlane en renseignant leurs identifiants SSO (en lieu et place du mot de passe Maître). Avec le connecteur SSO de Dashlane, ils peuvent s'identifier à l'aide de leurs identifiants SSO, et Dashlane conserve son architecture de sécurité zero-knowledge.

Lorsqu'un utilisateur tente de se connecter via SSO, il est redirigé vers le connecteur SSO, qui fédère avec le fournisseur d'identité.

Une fois que l'utilisateur s'est identifié, le connecteur SSO envoie une clé unique au client, qui déchiffre ensuite ses données.

Le connecteur SSO gère toutes les clés utilisateur. Afin de maintenir notre architecture de sécurité brevetée à divulgation nulle de connaissance, le connecteur SSO doit être hébergé dans un environnement contrôlé par votre entreprise. Le connecteur SSO s'exécute dans Docker et peut être hébergé dans tout environnement où ce dernier est présent.

Configuration requise

Configuration requise par Dashlane

• Dashlane Business (Dashlane Team ne prend pas en charge la fonction SSO)
• Version minimale requise de l'application Dashlane :
  • Web : v6.2030.3
  • iOS : v6.2029.0
  • Android : v6.2030.1

Activation de la fonction SSO

Étape 1 : vérifier le domaine

Vous devrez vérifier le domaine dont votre entreprise est propriétaire. Une fois la fonction SSO activée, toute personne utilisant le domaine de votre entreprise devra se connecter à l'aide de la méthode SSO.

1. Accédez à la console d'administration Dashlane, sélectionnez l'onglet Paramètres et cliquez sur Authentification unique.

   

2. Dans le champ Vérifier le nom de domaine de l'entreprise, saisissez le nom de domaine de votre entreprise et cliquez sur Ajouter.
   • Si plusieurs domaines sont concernés par la SSO, ajoutez et vérifiez chacun d'entre eux.
3. Copiez les valeurs Nom d'hôte et TXT et ajoutez-les à un nouvel enregistrement TXT DNS pour votre domaine. Une fois ces valeurs ajoutées, cliquez sur Vérifier le domaine. Veuillez noter que la vérification de domaine peut prendre jusqu'à 24 heures.
4. Vérifiez tous les domaines de messagerie qui seront employés par vos utilisateurs pour se connecter via SSO. Si vous utilisez plus de 5 domaines, veuillez contacter l'assistance Dashlane.

Étape 2 : configurer le connecteur SSO

1. Revenez à la section SAML SSO de l'onglet Paramètres dans la console d'administration.
2. Copiez et collez les métadonnées SAML d'ADFS dans le champ Saisissez les métadonnées du fournisseur d'identité ici. Si vous avez besoin d'aide pour trouver les métadonnées, vous pouvez accéder à l'URL de vos métadonnées ADFS, où « ADFSName.Domain.com » est l'URL de votre serveur ou ferme ADFS.

   https://ADFSName.Domain.com/FederationMetadata/2007-06/FederationMetadata.xml

   Vous pouvez également utiliser l'outil Microsoft pour télécharger votre document de métadonnées de fédération.

   

3. Vous pouvez déployer le connecteur de chiffrement SSO de trois façons. Le mode de déploiement variera selon l'URL du service ACS et de l'ID de l'entité. Dans votre URL, la mention « monentreprise » sera remplacée par le nom de votre entreprise. Ainsi, pour une entreprise dénommée « acmeco », le connecteur SSO sur Azure aura comme adresse https://acmecosso.azurewebsites.net.
   

   Hébergeur du service de chiffrement SSO	Terminal du connecteur SSO
   Azure (recommandé)	https://ssodemonentreprise.azurewebsites.net
   AWS	https://ssodemonentreprise.monentreprise.com
   Linux VM (avancé)	https://ssodemonentreprise.monentreprise.com

4. Saisissez le terminal du connecteur SSO dans le portail d'administration Dashlane.

   

5. Cliquez sur le bouton Générer une clé pour connecteur SSO. La clé générée permettra de chiffrer toutes les données de votre entreprise. Copiez la clé générée et enregistrez-la dans un endroit sûr (tel qu'une note sécurisée dans Dashlane). Nous vous conseillons également de la partager avec d'autres administrateurs. Vous ne pourrez plus consulter cette clé par la suite.

   

6. Cliquez sur le bouton Télécharger le fichier de configuration.

   

Terminer la configuration du connecteur SSO

Le service de chiffrement du connecteur SSO doit être finalisé avant de passer à la suite. Découvrez le service de chiffrement SSO, puis consultez l'article ci-dessous pour la plateforme de votre choix.

• Azure (recommandé)
• AWS
• Linux VM

Étape 3 : configurer ADFS

1. Pour configurer ADFS, vous devrez récupérer les métadonnées SAML du connecteur SSO. Pour ce faire, rendez-vous sur https://<SSO Connector Endpoint>/saml/ à partir du serveur ADFS ou d'un appareil permettant l'accès au connecteur SSO. Vous téléchargerez ainsi une copie locale des métadonnées SAML.
2. Transférez le fichier de métadonnées SAML vers le serveur ADFS.
3. Ouvrez la console de gestion ADFS et cliquez sur Add Relying Party Trust... (Ajouter une approbation de partie de confiance).

   

4. Dans le menu, sélectionnez Claims aware (Prise en charge des revendications) et cliquez sur Start (Démarrer).
5. Sélectionnez Import data about the relying part from a file (Importer les données concernant la partie de confiance à partir d'un fichier), puis cliquez sur le bouton Browse (Parcourir) pour sélectionner le fichier XML de métadonnées correspondant au connecteur SSO que vous avez enregistré à l'étape 2. Une fois le fichier sélectionné, cliquez sur Next (Suivant).

   

6. Saisissez le nom d'affichage « Connecteur SSO Dashlane » et cliquez sur Next (Suivant).

   

7. Sélectionnez votre politique de contrôle d'accès et cliquez sur Next (Suivant). Ce paramètre varie selon la politique de sécurité de chaque entreprise. Dans cet exemple, nous allons autoriser tout le monde.

   

8. Vérifiez l'approbation de partie de confiance qui a été configurée. Ensuite, cliquez sur Next (Suivant), puis sur Close (Fermer). La nouvelle approbation sera alors créée.
9. Ensuite, vous devez autoriser le connecteur SSO de Dashlane à récupérer l'adresse e-mail de l'utilisateur à partir d'ADFS. Sélectionnez l'approbation de partie de confiance nouvellement créée (le cas échéant, cliquez sur Relying Party Trusts dans la barre latérale gauche). Cliquez ensuite sur Edit Claim Issuance Policy... (Modifier la stratégie d'émission de revendication).

   

10. Cliquez sur Add Rule... (Ajouter une règle) en bas à gauche de la fenêtre.

    

11. Dans le menu déroulant Claim rule template (Modèle de règle de revendication), sélectionnez Transform an incoming claim (Transformer une revendication entrante), puis cliquez sur Next (Suivant).

    

12. Dans le champ Claim rule name (Nom de la règle de revendication), sélectionnez Send Email as Name ID (Envoyer un courrier électronique comme ID de nom).
    • Dans Incoming claim type (Type de revendication entrante), sélectionnez UPN.
    • Définissez Outgoing claim type (Type de revendication sortante), sur Name ID.
    • Dans Outgoing name ID format (Format d'ID de nom sortant), sélectionnez E-mail.
    • Cliquez sur Finish (Terminer).

    

Étape 4 : tester et activer la SSO

Vous pouvez effectuer un test rapide pour vérifier si le connecteur SSO et ADFS sont configurés correctement.

1. Accédez à la console d'administration de Dashlane et cliquez sur Tester la connexion SSO.

   

2. Pour tester le compte, vous pouvez vous connecter à l'aide de n'importe quel compte utilisateur enregistré dans ADFS. Une fois connecté, vous verrez s'afficher un message de confirmation. Si ce n'est pas le cas, veuillez contacter l'assistance Dashlane.
3. Cliquez sur Activer la SSO.

Vous venez d'activer la fonction SSO pour l'ensemble de vos utilisateurs. Pour rappel, les administrateurs Dashlane ne seront pas concernés et continueront à se connecter à l'aide de leur mot de passe Maître. Tous les autres utilisateurs seront obligés d'utiliser la fonction SSO.