Skip to main content
ExLibris
  • Subscribe by RSS
  • Ex Libris Knowledge Center

    Inscription/Désinscription simple basée sur SAML

    Translatable
    Pour configurer un type de profil d'intégration de type SAML, vous devez avoir le rôle suivant :
    • Administrateur général du système

    Alma est compatible avec le profil d'identification unique (SSO) de navigateur SAML 2.0. Ceci permet à Alma d'échanger des informations concernant l'authentification et l'autorisation, permettant à un utilisateur de s'inscrire ou de se désinscrire d'un système externe et d'être automatiquement inscrit et désinscrit d'Alma, ou vice-versa.

    Après l'activation du profil Alma et de la configuration par un tiers, le personnel d'assistance de votre institution change le raccourci de connexion Alma à l'URL suivante (voir Vos noms de domaine Alma) : https://<domaine Alma>/SAML.

    Pour un aperçu détaillé de l'identification unique (SSO) basée sur SAML, voir https://developers.exlibrisgroup.com/alma/integrations/user-management/authentication/inst_idp/saml.

    Si votre serveur de production et le bac à sable utilisent le même fournisseur d'identité SAML, Ex Libris vous conseille d'utiliser le même profil d'authentification dans les deux environnements. Dans ce cas, aucune configuration supplémentaire de SAML n'est requise pour le bac à sable après une actualisation de ce dernier. Si votre serveur de production et le bac à sable utilisent des fournisseurs d'identité SAML différents, voirConfiguration recommandée du compte pour rafraîchir le bac à sable pour plus d'informations.
    Pour configurer un profil d'intégration de type SAML :
    1. Depuis la page Liste des profils d'intégration (Administration > Configuration générale > Menu de configuration > Systèmes externes > Profils d'intégration), cliquez sur Ajouter un profil d'intégration. La première page de l'assistant du profil d'intégration s'ouvre.
    2. Renseignez un code et un nom pour le profil d'intégration.
    3. Cliquez sur l'option SAML dans la liste déroulante « Type d'intégration ».
    4. Dans la liste déroulante Système, sélectionnez le système à utiliser pour l'authentification, tel que Shibboleth.
    5. Cliquez sur Suivant. Vous êtes amené sur la page suivante.

      SAML_Integration_Profile.png

      SAML Définition

      Sur cette page, saisissez les informations suivantes. 

      Page Profil d'intégration SAML - Onglet Action
      Champ Description

      Méthode de téléchargement des métadonnées

      Vous pouvez remplir les informations du profil depuis des métadonnées. Pour cela, sélectionnez l'option Lien de métadonnées et renseignez l'emplacement du lien dans le champ Lien de fichier de métadonnées. Pour utiliser un téléchargement de métadonnées, sélectionnez l'option Téléchargement de métadonnées et sélectionnez le fichier dans le champ Télécharger le fichier de métadonnées de fournisseur d'identité.

      L'actualisation dynamique/le suivi des URL n'est pas pris en charge actuellement. L'option Remplir le profil est uniquement conçue pour le confort de l'exécuteur. Si le certificat de signature de votre IdP est sur le point de changer, veuillez suivre les étapes détaillées ici pour éviter de perdre la fonctionnalité de connexion SAML.

      Lien du fichier de métadonnées

      Profil SAML par défaut

      Sélectionnez pour configurer ce profil comme profil par défaut.

      Pour utiliser un profil différent de celui par défaut, utilisez le suffixe /SAML/idpCode/[code de profil] dans l'URL Alma.

      ForceAuthN

      Sélectionnez ce paramètre pour forcer l'authentification quand Alma authentifie les utilisateurs via SAML. Pour plus d'informations sur SAML ForceAuthN, consultez cette page.

      Quand cette case n'est pas cochée, Alma authentifie les utilisateurs via SAML, directement grâce au fournisseur d'identité dans le cloud de l'institution, ce qui offre aux utilisateurs finaux une expérience d'identification unique (SSO). 

      Émetteur d'IdP

      Si le profil n'a pas été rempli automatiquement avec des métadonnées (voir les champs ci-dessus), saisissez les paramètres pour l'Émetteur d'IDP, l'URL de connexion IDP, la Localisation de l'identifiant utilisateur, le Nom attribut d'ID utilisateur, l'URL de déconnexion IDP, et le Service de déconnexion unique IDP, et les Demandes de déconnexion unique de signe.

      Pour plus d'informations concernant ces champs, voir https://developers.exlibrisgroup.com/alma/integrations/user-management/authentication/inst_idp/saml.

      URL de connexion IdP
      IdP ID location
      Nom attribut de l'identifiant usager
      URL de déconnexion IdP
      Service de déconnexion unique IdP
      Inscrire les demandes de déconnexion simples
      Appliquer signature SHA1 (SHA2 par défaut) Sélectionnez Appliquer signature SHA1 (SHA2 par défaut) pour changer la signature du profil à la signature SHA1 (également appelée SHA128), afin de signer les demandes de déconnexion par cette signature. 
      Pour les profils créés après juillet 2020, la valeur par défaut est SHA2 (également connue sous le nom SHA256), mais vous pouvez la régler sur SHA1, si nécessaire. 
      Pour les profils antérieurs à l'introduction de SHA2 en juillet 2020, la valeur par défaut est SHA1, mais vous pouvez la régler sur SHA2, si nécessaire.
      Version du fichier de métadonnées Alma Sélectionnez une Version du fichier de métadonnées Alma. Lorsque vous créez un nouveau profil, deux options sont disponibles, le certificat auto-signé Version 20XX et le Certificat signé. Lorsque vous modifiez un profil existant, trois options sont disponibles, le certificat auto-signé Version 20XX, le Certificat signé et le certificat que vous utilisiez précédemment. Veuillez noter la date d'expiration lorsque vous choisissez un certificat et vous assurer de le remplacer avant cette date. Si vous choisissez d'utiliser un certificat déjà utilisé auparavant, Alma continue de l'accepter, même après la date d'expiration. Si vous modifiez un profil existant et que vous sélectionnez un nouveau certificat, une fois le profil enregistré, le certificat précédent devient indisponible. Avant de modifier votre certificat, vous devez vérifier auprès de votre service informatique.
      Certificat IdP 1/2

      Alma permet de posséder simultanément deux certificats et essaie de procéder à l'authentification à l'aide des deux certificats. Cela est utile quand un fournisseur d'identité SAML change son certificat (pour des raisons de sécurité). Le certificat doit être mis à jour sur le profil d'intégration. Posséder simultanément deux certificats permet à l'institution d'ajouter le nouveau certificat en avance, sans supprimer l'ancien avant que le fournisseur d'identité ait procédé au remplacement. Posséder un seul certificat peut provoquer des temps d'indisponibilité si ce certificat n'est pas mis à jour en même temps sur les deux systèmes, car Alma ne fait pas confiance à une réponse du fournisseur d'identité signée avec le « mauvais » certificat.

      Les certificats sont cycliques : ajouter un 3e certificat supprime le 1ercertificat. Le nouveau certificat prend alors la place du 2e certificat). Le chargement d'un deuxième certificat n'est pas obligatoire. 

      Pour chaque certificat, dans Méthode de téléchargement du certificat, sélectionnez le type de certificat à charger (see https://developers.exlibrisgroup.com/alma/integrations/user-management/authentication/inst_idp/saml). Alma accepte les chargements de fichier, la saisie de certificat en texte libre ou les fichiers JKS. Si un fichier JKS ou un fichier de certificat en texte libre est sélectionné, un champ sera affiché pour sélectionner le fichier à partir du système de fichier de l'utilisateur. Si un certificat en texte libre est sélectionné, un champ est affiché pour accepter le texte du certificat. Une note à côté du champ indique si un certificat a déjà été téléchargé.

      À compter du 1er janvier 2017, Alma ne prend plus en charge les certificats qui utilisent l'algorithme de cryptage MD5withRSA. Pour plus d'informations, voir https://blogs.oracle.com/java-platform-group/entry/strengthening_signatures.

      Actif Si vous souhaitez qu'un nouvel utilisateur Alma soit créé automatiquement lorsqu'un utilisateur authentifié par le biais de SAML et ne disposant pas d'un utilisateur Alma existant se connecte, sélectionnez Actif dans la section Auto-enregistrement.
      1. Saisissez les informations Groupe utilisateur, Bibliothèque PEB et Catégorie statistique que vous souhaitez attribuer à l'utilisateur créé automatiquement.
      2. Vous pouvez également définir la conversion des attributs SAML en champs d'utilisateur correspondants dans Alma en sélectionnant le lien Conversion de champs d’assertions en champs Alma.
        1. Saisissez le nom du champ Alma dans le champ Code. Saisissez le code d'assertion SAML dans le champ Description.
        2. Cliquez sur Personnaliser.
      Groupe utilisateur
      Bibliothèque PEB
      Catégorie statistique
      Mettre à jour l’utilisateur lors de la connexion
      Recréer les rôles d'utilisateur à la connexion
      Conversion de champs d’assertions en champs Alma
      Fichier de configuration XSL
    6. Cliquez sur Enregistrer.

    Tester l'authentification sur le profil d'intégration SAML

    Vous pouvez tester votre intégration SAML directement à partir de la page de configuration SAML. Vous n'aurez ainsi pas besoin de vous déconnecter d'Alma puis de vous reconnecter, et si l'authentification échoue, le système indiquera clairement le problème. 

    Pour tester l'authentification sur le profil d'intégration SAML :
    1. Une fois que vous aurez indiqué toutes les informations pertinentes sur le profil d'intégration SAML, cliquez sur le bouton « Test ». Une fenêtre contextuelle s'ouvre. 
    2. Dans la fenêtre contextuelle, sélectionnez le produit dans la liste des produits disponibles de votre institution. Cela génère un lien de test vers le fournisseur d'identité défini dans le profil d'intégration. 
      Si vous travaillez avec bc.alma et souhaitez configurer le même domaine, connectez-vous à na03.alma à la place.
      Authentication test tool.png
    3. Copiez ce lien et collez-le dans un navigateur différent (ou, si vous travaillez sur Chrome, sur un onglet Incognito). Votre page de connexion SAML s'ouvre. 
    4. Saisissez vos données de connexion. Vous êtes redirigé vers une nouvelle page montrant le résultat de l'authentification et des messages supplémentaires expliquant ce qui s'est passé et ce qui a éventuellement posé problème. 
      Les données de connexion sont utilisées uniquement pour le test et ne connectent pas réellement l'utilisateur dont les données sont saisies ici.
      Authentication test tool - results.png
    5. Fermez la fenêtre de test et revenez sur Alma. Si besoin, mettez à jour le profil d'intégration/le fournisseur d'identité et procédez à nouveau au test. Si aucune modification n'est nécessaire, enregistrez le profil. 

    Remplacement d'un certificat signé

    Si vous devez remplacer votre certificat signé, vous devez le faire avec Alma et Primo VE, en coordination avec votre PDI.

    Envoyez le fichier de certificat à votre service informatique avec les nouvelles métadonnées générées en sélectionnant le lien approprié ci-dessous (en insérant l'URL de base Alma ou Primo VE de votre université à la place de <ALMA_VE_BASE_URL>) :

    https://<ALMA_VE_BASE_URL>/view/saml/metadata?VERSION=VERSION_2025_NEW (2025 self signed)

    https://<ALMA_VE_BASE_URL>/view/saml/metadata?VERSION=SIGNED_2021 (Jan 2021 DigiCert)

    Prenez note de la date et de l'heure auxquelles le PDI changera de certificat À un moment le plus proche possible de cette date et heure, suivez le processus détaillé dans Version du fichier de métadonnées Alma ci-dessus pour sélectionner le nouveau certificat dans le profil d'intégration.

    Lorsque l'institution ou l'IDP met à niveau son certificat, la connexion ne fonctionnera pas tant que l'autre ne basculera pas. C’est la raison pour laquelle il est important de noter le moment où le PDI est en train de basculer pour minimiser les temps morts.

    Remplacer le certificat de signature d'un IdP

    Nouveau en juin ! Cette section est pertinente uniquement si votre institution ne possède qu'un seul certificat dans la section « IdP Certificate 1 / 2 » du profil d'intégration. Si les deux certificats sont chargés, posséder simultanément deux certificats permet à l'institution d'ajouter le nouveau certificat à l'avance, sans supprimer l'ancien certificat avant que le fournisseur d'identité ait procédé au remplacement. Vous pouvez également ignorer les informations ci-dessous. 

    Si le certificat de signature de l'IdP sur votre profil SAML Alma est sur le point de changer, chargez le nouveau certificat en utilisant l'une des trois méthodes prises en charge :

    • Certificat sous forme d'un texte libre,
    • Fichier de certificat,
    • Fichier JKS. JKS est requis pour les certificats de chaîne de confiance.

    Veillez à appliquer cette modification et à cliquer sur Enregistrer au moment où l'IdP passe au nouveau certificat. Sinon, l'authentification SAML échouera dans l'intervalle.

    Passer automatiquement à un certificat de signature plus récent, sans mettre le profil SAML à jour dans Alma peut entraîner une panne du système.

    • Was this article helpful?