Simplifiez vos connexions à Loxya avec l'authentification centralisée (SSO)
Loxya est un logiciel de gestion de matériel qui s'adapte aux besoins de ses utilisateurs, en proposant des fonctionnalités toujours plus avancées. L'une de ces fonctionnalités est l'authentification centralisée, ou « Single Sign-On » (SSO), qui permet de se connecter à Loxya en utilisant les protocoles CAS et SAML 2.0.
Le principal avantage est de vous éviter la lourde tâche de créer des comptes et gérer les droits d'accès à tous les utilisateurs de Loxya, alors qu'ils ont déjà un compte sur votre système de connexion centralisée. Dans cet article, nous allons découvrir comment intégrer Loxya dans un système de connexion centralisée déjà en place, tout en adhérant à ses contraintes de sécurité.
Qu'est-ce que l'authentification centralisée (SSO) ?
Le SSO (« Single Sign-On ») est une méthode d'authentification qui permet aux utilisateurs d'accéder à plusieurs applications avec un seul jeu d'identifiants. Il permet à un logiciel comme Loxya de déléguer l'authentification à un serveur central, qui se charge de vérifier la validité d'une connexion utilisateur avant de le rediriger vers l'application.
En d'autres termes, une fois que vous vous êtes authentifié auprès d'un service central, vous pouvez accéder à d'autres applications connectées sans avoir à vous reconnecter. Cette approche simplifie considérablement la gestion des accès par les administrateurs du logiciel, qui peuvent gérer les accès de manière centralisée, en ajoutant ou en supprimant des droits d'accès de façon rapide et efficace. De plus, cela améliore l'expérience des personnes qui utilisent l'application au quotidien, en ayant qu'un seul identifiant et mot de passe à retenir.
Loxya effectue même la création automatique des comptes utilisateurs à la première connexion via le SSO. Cela signifie que les administrateurs n'ont pas à créer manuellement chaque compte : le déploiement du logiciel est facilité pour les environnements où de nombreux nouveaux utilisateurs arrivent régulièrement, comme par exemple dans les universités ou grandes écoles, qui ont une nouvelle promo d'étudiants à chaque rentrée scolaire.
Comment intégrer CAS (Central Authentication Service) avec Loxya ?
Le CAS est un protocole de SSO largement utilisé par les universités et d'autres institutions académiques, publiques ou privées.
Pour mettre en place CAS avec Loxya, voici les étapes à suivre :
1 - Vérifier que le serveur CAS est accessible
Avant tout, il faut s'assurer que votre serveur CAS est bien accessible par votre instance du logiciel. Pour cela, il vous faudra peut-être ouvrir des ports ou ajouter des exception à votre pare-feu.
2 - Récolter les informations minimales
Ensuite, il faut récupérer les informations suivantes :
- Le domaine sur lequel est accessible le serveur CAS.
- L'URL que Loxya devra utiliser pour procéder à l'authentification de l'utilisateur.
- Le numéro du port qui sera utilisé.
- Un éventuel certificat qui sécurisera la connexion avec le serveur CAS.
3 - Définir les attributs
Il s'agit d'établir une correspondance entre les attributs CAS et les champs utiles à Loxya pour la création des utilisateurs. Les champs utiles à Loxya sont les suivants :
pseudo: le nom ou pseudo de l'utilisateur. Par exemple, "GivenName" est couramment utilisé.email: l'adresse e-mail de l'utilisateur.firstName: le prénom de l'utilisateur.lastName: le nom de famille de l'utilisateur.group: le groupe CAS, qui sera utilisé pour la correspondance avec les groupes d'accès de Loxya (voir ci-dessous).
4 - Définir la correspondance des groupes d'accès
Le but de cette étape est de faire correspondre le nom des groupes CAS (qui seront récupérés via l'attribut group ci-dessus) avec les niveaux d'accès de Loxya.
Il suffit de créer un petit tableau avec 2 colonnes : le nom du groupe CAS, et le niveau équivalent de Loxya. Par exemple :
| Nom du groupe CAS | Niveau Loxya correspondant |
|---|---|
| SSI | admin |
| Prof | member |
| Etudiant | visitor |
Il est également possible de définir des groupes CAS qui permettront à Loxya de créer un bénéficiaire en même temps que l'utilisateur, lui donnant ainsi un accès aux demandes de réservation en ligne. Par exemple, un utilisateur du groupe "Etudiant" qui se connecte la première fois pourra être également ajouté dans les bénéficiaires.
Enfin, il est possible de définir un niveau d'accès Loxya par défaut, que le logiciel utilisera lors de la création d'un utilisateur dont aucune correspondance avec l'attribut de groupe CAS n'a été trouvée. On peut également préférer que le logiciel rejette la connexion si aucune correspondance de groupe n'a été établie.
Comment intégrer SAML 2.0 (Security Assertion Markup Language) avec Loxya ?
Le protocole SAML 2.0 est une solution plus complète et flexible, souvent utilisée par les grandes entreprises pour les applications nécessitant une sécurité renforcée.
Pour mettre en place SAML 2.0 avec Loxya, voici les étapes à suivre :
1 - Vérifier que l'IdP est accessible
Comme pour CAS ci-dessus, il faut avant tout s'assurer que le serveur hébergeant votre IdP (Identity Provider) est bien accessible par votre instance de Loxya. Pour cela, il vous faudra peut-être ouvrir des ports ou ajouter des exception à votre pare-feu.
2 - Récolter les informations minimales
Ensuite, il faut récupérer les informations suivantes :
- L'URL de l'endpoint SSO de l'Identity Provider.
Généralement, cet URL ressemble àhttps://[idp-url]/metadata. - L'URL du service de login.
Généralement, cet URL ressemble àhttps://[idp-url]/sso. - L'URL du service de logout.
Généralement, cet URL ressemble àhttps://[idp-url]/sls. - Le certificat fourni par l'Identity Provider, encodé en base64.
3 - Demander un certificat pour Loxya
Coté Loxya, il faut créer un certificat pour la signature des requêtes et des réponses. Si vous si vous avez un abonnement SaaS, il suffit de nous demander le certificat de votre instance. Nous vous fournirons ainsi :
- la clé du certificat,
- le certificat lui-même.
Si vous hébergez vous-même le logiciel, il faudra créer ce certificat, puis récupérer sa clé et son contenu, au format texte (encodé en base64).
4 - Définir les attributs
Il s'agit d'établir une correspondance entre les attributs renvoyés par l'IdP et les champs utiles à Loxya pour la création des utilisateurs. Les champs utiles à Loxya sont les suivants :
pseudo: le nom ou pseudo de l'utilisateur. Par exemple, "GivenName" est couramment utilisé.email: l'adresse e-mail de l'utilisateur.firstName: le prénom de l'utilisateur.lastName: le nom de famille de l'utilisateur.group: le groupe (LDAP ou autre) qui sera utilisé pour la correspondance avec les groupes d'accès de Loxya (voir ci-dessous).
5 - Définir la correspondance des groupes d'accès
Le but de cette étape est de faire correspondre le nom des groupes (qui seront récupérés via l'attribut group ci-dessus) avec les niveaux d'accès de Loxya.
Il suffit de créer un petit tableau avec 2 colonnes : le nom du groupe (LDAP ou autre), et le niveau équivalent de Loxya. Par exemple :
| Nom du groupe | Niveau Loxya correspondant |
|---|---|
| Administrateur | admin |
| Magasinier | admin |
| Intervenant | visitor |
| Compta | visitor |
Il est également possible de définir des groupes qui permettront à Loxya de créer un bénéficiaire en même temps que l'utilisateur, lui donnant ainsi un accès aux demandes de réservation en ligne. Par exemple, un utilisateur du groupe "Intervenant" qui se connecte la première fois pourra être également ajouté dans les bénéficiaires.
Enfin, il est possible de définir un niveau d'accès Loxya par défaut, que le logiciel utilisera lors de la création d'un utilisateur dont aucune correspondance avec l'attribut de groupe n'a été trouvée. On peut également préférer que le logiciel rejette la connexion si aucune correspondance de groupe n'a été établie.
Sauvegarder et activer la configuration SSO
Une fois que vous avez préparé toutes les informations et paramètres des paragraphes précédents, nous pouvons paramétrer Loxya pour activer la fonctionnalité.
Si vous êtes abonné à une offre SaaS, il suffit de nous transmettre ces informations, et nous nous chargeons de configurer Loxya pour vous !
Si vous hébergez vous-même Loxya, il vous suffit d'ajouter toutes ces informations dans la section correspondante dans le fichier de configuration.
Conclusion
En proposant une authentification centralisée via les protocoles CAS et SAML 2.0, Loxya offre une solution à la fois sécurisée et simple pour gérer les accès de vos utilisateurs. Que vous soyez une institution académique, une entreprise ou toute autre organisation, le SSO vous permettra d'améliorer la sécurité de vos accès tout en simplifiant l'expérience utilisateur.
N'hésitez pas à nous contacter si vous avez besoin d'une aide plus précise, ou à prendre rendez-vous dès maintenant avec un membre de l'équipe qui saura vous guider !
