SAML (Security Assertion Markup Language) est une norme qui permet d’authentifier les utilisateurs en fonction de leur session dans un autre contexte. SAML permet l’authentification unique (SSO) qui à son tour, permet aux utilisateurs de se connecter à de multiples applications à l’aide d’un seul jeu d’authentifiants.
Cette méthode comporte d’importants avantages par rapport à la connexion à d’aide d’un nom d’utilisateur et d’un mot de passe. Grâce à cette méthode, les utilisateurs n’ont pas besoin de saisir leurs authentifiants, ni de se souvenir de leur mot de passe ou de le renouveler, et n’ont pas besoin de se soucier des mots de passe faibles. La plupart des organisations connaissent déjà l’identité des utilisateurs, car ceux-ci sont enregistrés dans le domaine Active Directory ou sur l’intranet. Ces informations sont naturellement utilisées pour connecter les utilisateurs à d’autres applications, telles que les applications Web, et l’une des manières les plus élégantes de le faire est d’utiliser SAML.
Pour plus d’informations au sujet de SAML, lisez les sections ci-dessous.
Le fonctionnement de SAML/SSO
L’authentification unique (SSO) SAML fonctionne par le transfert de l’identité de l’utilisateur du fournisseur d’identité au fournisseur de service. Ce transfert est effectué par le biais d’un échange de documents XML signés numériquement. Examinez le scénario suivant : Un utilisateur est connecté à un système, qui agit comme un fournisseur d’identité. L’utilisateur aimerait se connecter à une application à distance, comme l’Expérience de l’apprenant de KnowBe4 ou un autre fournisseur de service.
Voici ce qui se produit dans ce scénario :
- L’utilisateur clique sur un lien vers l’application dans l’intranet de l’entreprise, sur un signet, ou par une autre option. L’application se charge.
- Elle identifie ensuite l’origine de l’utilisateur et redirige celui-ci vers le fournisseur d’identité en demandant l’authentification. Pour identifier l’origine de l’utilisateur, l’application utilise le sous-domaine de l’application, l’adresse IP de l’utilisateur ou d’autres informations similaires. C’est ce qui constitue la demande d’authentification.
- Il y a deux possibilités : soit l’utilisateur a déjà une session ouverte avec le fournisseur d’identité, soit il en établit une en se connectant au fournisseur d’identité.
- Le fournisseur d’identité renvoie la réponse à la demande d’authentification sous la forme d’un document XML contenant le nom d’utilisateur ou l’adresse courriel de l’utilisateur. Puis, le fournisseur d’identité signe le document à l’aide d’un certificat X.509 et envoie cette information au fournisseur de service.
- Le fournisseur de service récupère la réponse à la demande d’authentification et la valide à l’aide de l’empreinte du certificat. Le fournisseur de service connaît déjà le fournisseur d’identité et possède une empreinte de certificat. L’identité de l’utilisateur est établie.
Pour visualiser ce flux de travail, consultez la capture d’écran ci-dessous :
Pour plus d’informations au sujet du fonctionnement de base de SAML et SSO, consultez l’article d’auth0 Qu’est-ce que SAML et comment fonctionne l’authentification SAML.
Fonctionnement de SAML pour l’Expérience de l’apprenant (LX)
KnowBe4 prend en charge SAML 2.0. SAML pour l’Expérience de l’apprenant (LX) de KnowBe4 fonctionne comme pour les autres fournisseurs de service. En général, l’authentification des utilisateurs au sein d’une organisation est gérée par le système d’authentification choisi, comme Active Directory (AD) ou Lightweight Directory Access Protocol (LDAP). Ces systèmes d’authentification sont appelés « fournisseurs d’identité ».
Le service d’identité, la LX dans ce cas, permet au fournisseur d’identité d’authentifier les utilisateurs, puis de se connecter à la LX. C’est-à-dire que les utilisateurs peuvent se connecter au travail et avoir immédiatement accès aux applications de leur organisation comme le courriel ou le système de gestion des relations avec la clientèle (CRM), sans avoir à se connecter à chacun de ces services individuellement. Outre le caractère pratique de cette solution pour les utilisateurs, toute l’authentification des utilisateurs est gérée à l’interne par un système que vous contrôlez totalement.
Après avoir configuré SAML pour l’authentification unique (SSO) de la LX, les utilisateurs qui tentent de se connecter à la LX sont redirigés vers votre serveur SAML pour s’authentifier. Les identités de vos utilisateurs peuvent être stockées directement sur le serveur SAML ou elles peuvent être validées par un répertoire d’identités comme Microsoft Active Directory ou Lightweight Directory Access Protocol (LDAP). Une fois authentifiés, les utilisateurs sont redirigés vers leur LX et sont automatiquement connectés.
Configuration de SAML/SSO pour votre organisation
KnowBe4 prend en charge SAML 2.0. Si vous souhaitez activer l’intégration SAML pour votre console KSAT, consultez notre article Comment activer l’authentification unique SAML pour votre fournisseur SSO.
Si votre fournisseur SAML n’apparaît pas dans la liste et que vous avez besoin d’aide, contactez notre équipe d’assistance.