artis.net en mode SSO#

Principes#

L’authentification dans l’application artis.net est possible en utilisant l’annuaire interne d’une entreprise via la technologie OpenID d’“authentification unique” ou “SSO” (Single Sign-On).

Les deux types de populations (avec ou sans SSO) peuvent coexister. Cependant, une fois un utilisateur “basculé” en mode “Authentification unique”, ses anciens identifiants ne seront plus utilisables en connexion “standard”.

Deux URL sont disponibles pour chaque population :

  • une adresse où les identifiants attendus sont ceux de l’annuaire de l’entreprise (mode “SSO”),

  • une adresse où les identifiants attendus sont ceux d’artis.net (mode “standard”).

Pour obtenir cette deuxième adresse, on ajoute le suffixe “/?noSso” à la première, par exemple :

  • Adresse en mode SSO : https://mon-application.artis.fr

  • Adresse en mode standard : https://mon-application.artis.fr/?noSso

Sur l’adresse en mode “standard”, un bouton plus redirige au besoin l’utilisateur vers la page d’authentification interne de la société. Une fois connecté, l’utilisateur sera automatiquement redirigé vers artis.net, session ouverte.

Si l’utilisateur s’est auparavant connecté à son annuaire interne, l’accès à artis.net se fera automatiquement.

Mise en place#

Cette mise en place doit être anticipée et se faire conjointement avec nos équipes techniques, contactez ARTIS pour plus d’informations.

Configurations serveur ARTIS / Console de gestion OpenID#

Informations nécessaires :

  • De la partie administration OpenID, ARTIS doit connaître :

    • un client ID : par exemple : mon-client-openid

    • un client Secret : par exemple : longue_suite_de_caracteres_qui_ne_sont_pas_dans_un_dictionnaire

    • une url de configuration : par exemple : https://mon-portail.artis.fr/.well-known/openid-configuration : celle-ci doit être accessible par le serveur ARTIS : il ira y chercher sa base de comptes

  • ARTIS fournit à l’administrateur OpenID :

    • une url de call back (ou redirectURI) : par exemple : http://IP_OU_DNS:8080/ArtisWeb-gui/composants/callback?client_name=oidcClient

    • celle-ci se retrouve dans la configuration côté connecteur ET côté administration OpenID

    • le paramètre client_name sera communiqué, mais il ne doit pas être dans le fichier de config

  • Ces informations étant échangées, l’administrateur OpenId va créer ladite configuration pour le service qui doit utiliser OpendId. Dans sa commande ou son interface seront mentionnés :

    • nom commun pour le connecteur

    • ClientID

    • Client Secret

    • RedirectURI

Attention !

Si une autorité de certification interne est impliquée dans le chiffrement de l’accès à l’interface web d’ARTIS, le certificat doit être ajouté à la JVM avec l’outil Keytool.

Mise à jour des comptes d’accès#

Une fois la bascule effectuée, l’identifiant de l’utilisateur artis.net doit correspondre à l’utilisateur déclaré dans l’annuaire de l’entreprise. S’il y a une différence, il est possible de modifier en masse cette information.

  1. Ouvrir le menu Home Paramètres généraux > Menus et Habilitations > Gérer les comptes d’accès

  2. Cliquer sur le bouton mosaique puis Mettre à jour les identifiants pour le SSO.

  3. Déposer un fichier au format xlsx contenant deux colonnes “ancien identifiant” et “nouvel identifiant”.

Le traitement démarrera automatiquement et une fenêtre s’ouvrira indiquant le résultat.

Remarque :

Sur l’écran de gestion des comptes d’accès, une colonne “Annuaire” indique quel est le mode d’authentification du collaborateur.

  • ☐ : mode “standard” artis.net,

  • ☑ : mode “authentification unique”.

La mise à jour des comptes a également pour effet de cocher la case Annuaire pour chaque utilisateur.