Configurer SAML 2.0 avec Okta pour le Client Web

Configuration de SAML dans Okta

  1. Créer un compte de développeur à cette adresse : https://developer.okta.com/signup/.

  2. Cliquez sur Applications dans le menu.

  3. Cliquez sur Create App Integration.

  4. Sélectionnez SAML 2.0.

  5. Dans le champ App name, saisissez SAML 2 Web Client.

  6. Cliquez sur Next.

  7. Dans le champ Single sign on URL, saisissez https://releaser11.nectariqa.com:444/AuthServices/Acs.

  8. Dans le champ Audience URI (SP Entity ID), saisissez https://releaser11.nectariqa.com:444/biwebclient.

  9. Cliquez sur Next.

  10. Sélectionnez la deuxième option : I am a software vendor.

  11. Cliquez sur Finish.

  12. Sélectionnez l'onglet Assignments.

  13. Cliquez sur Assign.

  14. Ajoutez votre nom.

  15. Téléchargez le certificat d'Okta.

  16. Cliquez sur l'onglet Sign On et sélectionnez View Setup Instructions.

  17. Prenez note de l'URL d'authentification unique (Single Sign-On URL) et du fournisseur (Identity Provider Issuer (Entity ID)).

Configuration du Client Web

  1. Ajoutez le certificat d'Okta dans le répertoire AppData (sous inetpub).

  2. Ouvrez le fichier web.config.

  3. Configurez les paramètres d'application suivants.

    <add key="ssoMode" value="saml2"/>
    <add key="ssoNameAttribute" value="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier"/>

  4. Mettez à jour les paramètres de sustainsys.saml2 comme suit.

    <sustainsys.saml2 entityId="https://releaser11.nectariqa.com:444/biwebclient" returnUrl="https://releaser11.nectariqa.com:444/" modulePath="/AuthServices">
    <identityProviders>
    <add entityId="http://www.okta.com/exk3u462dqPKu2LAk5d7" signOnUrl="https://dev-40198417.okta.com/app/dev-40198417_saml2_1/exk3u462dqPKu2LAk5d7/sso/saml" allowUnsolicitedAuthnResponse="true" binding="HttpRedirect">
    <signingCertificate fileName="~/App_Data/okta.cert"/>
    </add>
    </identityProviders>
    </sustainsys.saml2>
    <system.identityModel.services>
    <federationConfiguration>
    <cookieHandler requireSsl="true" name="BIWebClient"/>
    </federationConfiguration>
    </system.identityModel.services>

  5. Redémarrez le Client Web.

  6. Créez un nouvel utilisateur avec l'adresse courriel comme nom d'utilisateur dans le Client Web.