Example de configuration du SAMLv2 avec Keycloak¶
Ce document illustre comment lier Carto-SI à un fournisseur d’identité Keycloak en SAMLv2.
Un document plus détaillé sur la configuration SAML est disponible : Configurer SAMLv2
Configurer le fournisseur d’identité¶
Dans l’interface d’administration de Keycloak, sélectionner l’onglet Identity Providers
.
Dans le menu déroulant Add provider...
, sélectionner SAMLv2.0
et le formulaire Add identity provider
doit apparaitre.
Dans le formulaire, remplir le champ Single Sign-On Service URL
, modifier les configurations en fonction de vos besoins et cliquer sur Save
.
Obtenir le fichier metadata du fournisseur d’identité¶
Dans l’interface d’administration de Keycloak, sélectionner l’onglet Realm Settings
et cliquer sur le texte SAML 2.0 Identity Provider Metadata
.
Sauvegarder le fichier metadata dans un fichier idp-metadata.xml
.
Configurer l’identification en SAML dans Carto-SI¶
Avant de configurer l’identification, vérifions que l’URL du serveur est bien configuré. Pour celà, dans l’interface d’administration de Carto-SI, sélectionner l’onglet Configuration
.
Vérifier que le champ URL de Carto-SI
est correctement défini.
Dans l’interface d’administration de Carto-SI, sélectionner l’onglet Authentification
. Puis sélectionner l’option SAML
pour faire apparaitre la configuration spécifique à SAML.
Cliquer sur le bouton Browse ...
du champ Métadonnées SAML du fournisseur d'identité
et sélectionner le fichier idp-metadata.xml
qui a été téléchargé lors de l’étape précédente.
Cliquer sur Enregistrer
.
Configurer le fournisseur de service dans Keycloak¶
Dans l’interface de Carto-SI, cliquer sur le bouton Télécharger nos métadonnées
pour télécharger le fichier metadata de Carto-SI.
Dans l’interface d’administration de Keycloak, dans l’onglet Clients
cliquer sur le bouton Create
.
Cliquer sur le bouton permettant d’importer le fichier metadata qui a été téléchargé depuis Carto-SI et cliquer sur le bouton Save
.
Dans le nouveau formulaire, cliquer sur l’onglet Client Scopes
et retirer role_list
de l”Assigned Default Client Scopes
.
Se connecter à Carto-SI en SAML¶
Si vous êtes en SAAS¶
La page d’identification par défaut de https://app.carto-si.com/
ne fonctionnera plus. À la place, vous devez vous connecter en utilisant l”URL de connexion
affiché dans la page d’administration.
Si vous êtes en onPremise¶
Carto-SI automatiquement le fournisseur d’identification pour identifier les utilisateurs.