Aller au contenu principal

SAML SSO

Authentification federee via SAML 2.0. Compatible avec Okta, Azure AD, Google Workspace, OneLogin et tout IdP conforme.

Quand l'utiliser

Toute organisation >50 personnes qui centralise les identites via un IdP existant. Les users ne creent plus de mot de passe sur Auralith ; ils se loguent avec leur compte corporate.

Workflow rapide

  1. Cote IdP : creer une nouvelle SAML application.
  2. Cote Auralith : Admin -> SSO -> SAML. Renseigner Issuer (Entity ID), SSO URL, certificat X509 du IdP.
  3. Recuperer les metadonnees Auralith (URL fournie dans le panneau).
  4. Configurer le mapping attributs : email (obligatoire), name, role (optionnel — sinon role par defaut).
  5. Tester avec un compte staff. Premier login : Auralith cree le user et le lie via saml_subject.
  6. Activer l'enforcement (force tous les logins a passer par SAML pour le domaine email).

Concepts cles

  • SamlConfig : par tenant. Stocke Issuer, SSO URL, X509 cert, attribute mapping.
  • saml_subject : identifiant stable du user cote IdP. Permet de relier les futurs login meme si l'email change.
  • JIT user provisioning : a defaut de SCIM, premier login SAML cree le user. Combine avec SCIM pour gerer aussi le deprovisioning.

Pieges courants

  • Clock skew : SAML est sensible a l'heure. Plus de 5 min de drift entre IdP et Auralith -> echec assertion. Synchronisez via NTP.
  • Certificat expire : le X509 du IdP a une duree de vie. Renouvelez avant expiration sinon SSO casse pour tout le monde.
  • 2FA cumul : si Auralith a 2FA active ET SAML, le user fait deux factuers. Recommande : laisser le 2FA cote IdP, desactiver cote Auralith pour les users SAML.

Voir aussi