Passer au contenu principal

Comment intégrer le SSO dans mon service?

Intégrer une solution SSO à votre service

Avant de commencer l'intégration, il vous faut être au clair sur:

  • qui va se connecter à votre service (quel(s) institution(s)? Si UNIL uniquement, est-ce un service ouvert à tous? Ou destiné qu'à un groupe d'utilisateurs?),
  • par quel biais (uniquement un navigateur web? Ou une app?),
  • est-ce un service qui nécessite une authentification forte/mutifacteurs?
  • est-ce que votre service est bien compatible SAML ou OIDC?
  • quelles informations (attributs) sont nécessaires pour s'authentifier à votre service?

Quel type d'authentification selon le type d'utilisateur

Cela dépend qui doit se connecter à votre service.

Si les personnes qui s'y connectent:

  • ont tous un compte informatique UNIL -> Entra
  • peuvent provenir d'autres institutions, ou à titre privé -> edu-ID

Les protocoles pris en charge sont:

  • Le SAML (plus adapté pour les services web-based)
  • ou OIDC

Entra

Adapté pour une utilisation interne, où tous les utilisateurs ont un compte UNIL. On peut limiter l'accès à un groupe d'utilisateurs (groupe AD/Sylvia), et demander un 2e facteur.

Utilise les identifiants UNIL.

Nécessite un échange de métadonnées, et l'intervention d'un admin MS365. Merci de contacter helpdesk@unil.ch

Edu-ID

Adapté si les utilisateurs se connectent depuis l'UNIL ainsi que des institutions hors UNIL, ou à titre privé.

Cela se repose sur la fédération AAI, gérée par Switch. Documentation: https://help.switch.ch/aai/about/

Utilise les identifiants Switch Edu-ID.

Nécessite de configurer une ressource dans le Resource Registry de Switch: https://rr.aai.switch.ch/. Les membres de l'UNIL peuvent normalement soumettre une demande directement, qui sera ensuite validée par l'un des admins AAI de l'UNIL.

Métadonnées de notre Idp: https://rr.aai.switch.ch/gen_saml2md_entity.php?homeOrg=137

Questions? Contactez aai@unil.ch

Intégration d'un service géré par des tiers

Si vous souhaitez intégrer une authentification edu-ID à un service géré par des tiers, il faut voir si cette intégration sera un "one shot" ou si cet intégrateur tiers souhaite offrir ce service à la fédération AAI entière. Si c'est une intégration unique avec l'UNIL, contactez-nous avec les métadonnées et les attributs nécessaires, et nous rajouterons le nécessaire au Resource Registry. Si le service tiers souhaite être accessible à la fédération entière, il faut devenir un Switch edu-ID Federation Partner: https://help.switch.ch/aai/join/partners/

Arbre décisionnel

image.png

Retour en haut