Documentation administrateur

Gérer un fournisseur d'identité

Ajouter un fournisseur d’identité

Visitez l’outil ou le site Web du fournisseur d’identité de votre organisation et créez une nouvelle application.
Dans Brightspace, à partir de Outils d’administration, sélectionnez Administration SAML.
Cliquez sur Ajouter un fournisseur d’identité.
Sur la page Ajouter un nouveau fournisseur d’identité, récupérez l’URL des métadonnées de Brightspace en cliquant sur Copier.

Remarque : L’URL des métadonnées de Brightspace est généralement la seule information requise. Toutefois, si votre application a besoin du contenu de l’URL des métadonnées, cliquez sur Voir les métadonnées détaillées et récupérez l’ID d’entité/émetteur, l’URL Assertion Consumer Service (ACS)/de réponse, ou Toutes les métadonnées de Brightspace (métadonnées XML complètes).
Ajoutez ces renseignements à votre nouvelle demande sur le site de votre fournisseur d’identité.
Dans Brightspace, définissez le Nom d’affichage pour identifier facilement l’objet du fournisseur d’identité enregistré. Les noms suivants peuvent être utilisés : Ouverture de session de l’élève, Ouverture de session de la faculté ou Ouverture de session primaire, mais n’importe quel nom peut être utilisé.
Cliquez sur Importer à partir de votre fournisseur d’identité pour afficher l’entrée URL des métadonnées de l’application du fournisseur d’identité (facultatif) et le bouton Importer à partir de l’URL.
Si vous disposez d’une URL de métadonnées publiquement accessible auprès de votre fournisseur d’identité, cliquez sur Importer à partir de l’URL. Les champs suivants sont déjà remplis :
1. ID d’entité/émetteur
2. URL du service de signature unique (HTTP-Redirect)
3. Certificats de signature X.509
Si vous ne disposez pas d’une URL de métadonnées accessible au public de la part de votre fournisseur d’identité, remplissez les champs suivants manuellement avec les informations de votre fournisseur d’identité :
1. ID d’entité/émetteur
2. URL du service de signature unique (HTTP-Redirect)
3. Certificat de signature X.509
Définissez l’option de Mappage Utilisateur/Identifiant de nom.

Remarque : Le Mappage Utilisateur/Identifiant de nom est utilisé pour créer une correspondance entre le compte utilisateur du fournisseur d’identité de l’utilisateur final et son compte utilisateur Brightspace. Les options disponibles comprennent : Nom d’utilisateur, ID défini par l’organisation, Adresse courriel, Nom d’utilisateur ou ID défini par l’organisation. En fonction de l’option choisie, vous devez définir le format approprié. Le nom d’utilisateur et/ou l’identité définie par l’organisation exigent l’utilisation du format non spécifié « Subject NameId ». L’adresse courriel nécessite l’utilisation du format « emailAddress Subject NameId ».
Remplissez le champ facultatif pour l’URL de redirection de la déconnexion (facultatif). Cette URL est utilisée pour rediriger l’utilisateur final lorsqu’il se déconnecte de Brightspace. D2L recommande d’utiliser l’URL de la page d’accueil de votre organisation.
Remplissez le champ facultatif pour URL de redirection de la connexion échouée (facultatif). Cette URL est utilisée pour rediriger l’utilisateur final lorsqu’une tentative de connexion SSO échoue. Cela remplace la page d’erreur de connexion standard de D2L.
Cliquez sur Enregistrer.

Valider le fournisseur d’identité

Une fois qu’un fournisseur d’identité a été enregistré, la page Enregistrement terminé s’affiche. Cette page comprend un aperçu du fournisseur d’identité qui a été créé au cours des étapes Ajouter un fournisseur d’identité. Assurez-vous que tous les renseignements sont exacts. Au besoin, cliquez sur Modifier la configuration pour apporter les modifications nécessaires.

Vérifier un fournisseur d’identité

À partir de la page Enregistrement terminé, cliquez sur Vérifier votre nouveau fournisseur d’identité.
Copiez l’URL d’ouverture de session et tentez de charger la page à partir de votre navigateur.
Confirmez que vous êtes bien connecté à la bonne page.

S’il est nécessaire d’apporter des modifications à un fournisseur d’identité enregistré existant, sur la page Administration SAML, cliquez sur le nom du fournisseur d’identité que vous devez modifier. Les tâches courantes de mise à jour comprennent la mise à jour de l’URL de redirection de déconnexion ou de redirection d’échec de connexion, ou l’ajout manuel d’un nouveau certificat de signature X.509.

La page Gérer le fournisseur d’identité affiche une vue d’ensemble du fournisseur d’identité enregistré ainsi que les options Modifier la configuration, Ajouter un nouveau certificat et Supprimer le fournisseur d’identité.

En sélectionnant Modifier la configuration, vous pouvez effectuer les tâches suivantes :

Modifier le nom d’affichage
Modifier l’URL du service d’authentification unique (redirection HTTP)
Modifier le mappage Utilisateur/Identifiant de nom sélectionné
Ajouter, modifier, supprimer l’URL de redirection de la déconnexion
Ajouter, modifier, supprimer l’URL de redirection de la connexion échouée

Assurez-vous d’enregistrer tous les changements une fois les mises à jour terminées.

Remarque : Si une URL de métadonnées accessible au public a été fournie pour enregistrer initialement le fournisseur d’identité, elle ne peut pas être mise à jour ou supprimée. C’est intentionnel.

Remarque : Si une erreur a été commise lors de la saisie manuelle de l’ID d’entité/émetteur, elle ne peut être modifiée. L’ID de l’entité est l’identifiant unique du fournisseur d’identité du client. Par conséquent, l’action appropriée consiste à supprimer le fournisseur d’identité enregistré et à recommencer le processus d’enregistrement avec l’ID d’entité correct.

En sélectionnant Ajouter un certificat, vous pouvez ajouter un nouveau certificat de signature X.509. Pour tout fournisseur d’identité qui a été enregistré manuellement (et non pré-enregistré à l’aide d’une URL de métadonnées accessible au public), des renouvellements périodiques du certificat sont nécessaires pour maintenir la fonctionnalité d’authentification unique de SAML. L’enregistrement d’un nouveau certificat de signature X.509 pour un fournisseur d’identité déjà enregistré peut également être effectué à partir de la page Gérer le fournisseur d’identité.

L’ajout d’un nouveau certificat de signature X.509 peut être effectué soit en cliquant sur Ajouter un nouveau certificat sur la page Gérer le fournisseur d’identité, soit en cliquant sur le bouton Ajouter un nouveau certificat dans la section Gérer les certificats.

Sur la page Ajouter un nouveau certificat, collez les informations de votre certificat dans le champ Certificat de signature X.509.
Assurez-vous que les dates de Valide à partir de et toutes les autres informations sont exactes, et cliquez sur Enregistrer.

Pour tout fournisseur d’identité qui a été enregistré manuellement (et non pré-enregistré à l’aide d’une URL de métadonnées accessible au public), le nettoyage périodique des certificats expirés est une pratique recommandée.

Remarque : Si le fournisseur d’identité a été enregistré à l’aide d’une URL de métadonnées accessible au public, tous les certificats expirés sont supprimés par la tâche récurrente nocturne.

Sur la page Gérer le fournisseur d’identité, cliquez sur le certificat pour accéder à la page Afficher le certificat.
Cliquez sur Supprimer le certificat et confirmez la suppression en cliquant sur Procéder.

Si votre organisation passe d’un fournisseur d’identité à un autre (par exemple, d’ADFS à Azure), ou si vous avez mal enregistré le fournisseur d’identité (par exemple, un ID d’entité incorrect) lors de l’enregistrement initial, il peut être nécessaire de supprimer un fournisseur d’identité existant.

Dans la page Gérer le fournisseur d’identité, cliquez sur Supprimer le fournisseur d’identité.
Une confirmation s’affiche, cliquez sur Supprimer pour terminer la suppression du fournisseur d’identité et de tous les certificats de signature X.509 enregistrés qui lui sont associés.

Remarque : Une fois supprimé, un fournisseur d’identité ne peut pas être restauré.

Dépannage

Au bas de la page Enregistrement terminé se trouve la section Problèmes courants, qui contient les exigences détaillées nécessaires au fonctionnement de l’authentification unique en fonction du mappage Utilisateur/Identifiant de nom sélectionné.

Si des problèmes surviennent lors du test d’un fournisseur d’identité enregistré, la page principale d’Administration SAML contient une carte Résoudre les problèmes en activant la journalisation SAML. Si vous cliquez sur Activer les journaux, vous obtiendrez des messages de débogage, d’information et d’avertissement supplémentaires liés à l’authentification unique SAML, lesquels s’afficheront dans Journal système.

La durée par défaut est de 24 heures, mais elle peut être remplacée ou désactivée.