Example de configuration du SAMLv2 avec Keycloak¶

Ce document illustre comment lier Carto-SI à un fournisseur d’identité Keycloak en SAMLv2.

Un document plus détaillé sur la configuration SAML est disponible : Configurer SAMLv2

Configurer le fournisseur d’identité¶

Dans l’interface d’administration de Keycloak, sélectionner l’onglet Identity Providers. Dans le menu déroulant Add provider..., sélectionner SAMLv2.0 et le formulaire Add identity provider doit apparaitre.

Interface d'ajout d'un fournisseur d'identité

Dans le formulaire, remplir le champ Single Sign-On Service URL, modifier les configurations en fonction de vos besoins et cliquer sur Save.

Interface de configuration du champs Single Sign-On Service URL

Obtenir le fichier metadata du fournisseur d’identité¶

Dans l’interface d’administration de Keycloak, sélectionner l’onglet Realm Settings et cliquer sur le texte SAML 2.0 Identity Provider Metadata.

Interface de téléchargement du fichier metadata du fournisseur d'identité

Sauvegarder le fichier metadata dans un fichier idp-metadata.xml.

Configurer l’identification en SAML dans Carto-SI¶

Avant de configurer l’identification, vérifions que l’URL du serveur est bien configuré. Pour celà, dans l’interface d’administration de Carto-SI, sélectionner l’onglet Configuration. Vérifier que le champ URL de Carto-SI est correctement défini.

Dans l’interface d’administration de Carto-SI, sélectionner l’onglet Authentification. Puis sélectionner l’option SAML pour faire apparaitre la configuration spécifique à SAML.

Interface de selection de l'option SAML

Cliquer sur le bouton Browse ... du champ Métadonnées SAML du fournisseur d'identité et sélectionner le fichier idp-metadata.xml qui a été téléchargé lors de l’étape précédente.

Interface de chargement du fichier metadata du fournisseur d'identité

Cliquer sur Enregistrer.

Configurer le fournisseur de service dans Keycloak¶

Dans l’interface de Carto-SI, cliquer sur le bouton Télécharger nos métadonnées pour télécharger le fichier metadata de Carto-SI.

Interface de téléchargement du fichier metadata du fournisseur de service

Dans l’interface d’administration de Keycloak, dans l’onglet Clients cliquer sur le bouton Create.

Interface de création d'un client dans Keycloak

Cliquer sur le bouton permettant d’importer le fichier metadata qui a été téléchargé depuis Carto-SI et cliquer sur le bouton Save.

Dans le nouveau formulaire, cliquer sur l’onglet Client Scopes et retirer role_list de l”Assigned Default Client Scopes.

Interface pour retirer role_list

Se connecter à Carto-SI en SAML¶

Si vous êtes en SAAS¶

La page d’identification par défaut de https://app.carto-si.com/ ne fonctionnera plus. À la place, vous devez vous connecter en utilisant l”URL de connexion affiché dans la page d’administration.

Interface pour récupérer l'URL de connexion

Si vous êtes en onPremise¶

Carto-SI automatiquement le fournisseur d’identification pour identifier les utilisateurs.