Skip to main content

Type de fournisseur d'authentification SAML

À propos du SAML (Security Assertion Markup Language)

SAML (Security Assertion Markup Language) est un format de données basé sur XML qui peut être utilisé pour authentifier et autoriser les utilisateurs entre des systèmes distincts. SAML est fréquemment utilisé comme solution d'authentification unique (authentification unique), y compris pour Blackboard. Lorsqu'il est correctement installé et configuré, SAML permet aux utilisateurs de Blackboard de se connecter à l'aide de leur nom d'utilisateur et de leur mot de passe depuis un autre établissement ou une autre application. SSO permet aux administrateurs et aux utilisateurs de gagner du temps en fournissant une intégration transparente pour la connexion.

Les informations d'utilisateur sont transmises entre les systèmes dans une assertion SAML. Le fournisseur d'identité est l'hôte tiers du compte de l'utilisateur, et votre instance Blackboard agit en tant que fournisseur de service. Le fournisseur d'identité envoie des attributs que Blackboard utilise pour créer ou mettre à jour un compte pour l'utilisateur. Ces attributs peuvent inclure des informations telles que le nom d'utilisateur, le prénom, le nom de famille et l'adresse e-mail, et sont conditionnés dans un jeton de sécurité tel qu'une assertion SAML. Le fournisseur d'identité envoie cette assertion SAML à Blackboard lorsque l'utilisateur saisit ses informations de connexion à l'aide de l'authentification unique. Si leur nom d'utilisateur ne correspond à aucun élément du système, Blackboard crée un nouveau compte avec les attributs utilisateur contenus dans l'assertion SAML.

Le Building Block SAML simplifie la configuration SSO. Après avoir activé le Building Block, un nouveau type d'authentification apparaît dans la liste Créer un fournisseur dans Panneau de configuration de l'administrateur > Authentification, ce qui vous permet de configurer le service correctement.

Le Building Block SAML établit une connexion unique entre Blackboard et un fournisseur d'identité. Vous pouvez créer plusieurs entrées de fournisseur d'authentification SAML pour vous connecter à plusieurs fournisseurs d'identité. De plus, le protocole SAML ne remplace pas totalement le workflow de connexion Blackboard. Les utilisateurs peuvent se connecter à Blackboard à l'aide de leurs informations d'identification comme d'habitude, s'ils le souhaitent.

Activer le Building Block SAML

  1. Accédez au panneau de configuration de l'administrateur.

  2. Sous Intégrations, sélectionnez Building Blocks.

  3. Sélectionnez Outils installés.

  4. Recherchez Fournisseur d'authentification - SAML dans la liste et définissez son état comme disponible.

  5. Dans le panneau de configuration de l'administrateur, sous Intégrations, sélectionnez Authentification.

  6. SAML apparaît à présent dans la liste Créer un fournisseur sur la page Fournisseur d'authentification.

Configurer les paramètres

Vous pouvez configurer les paramètres pour résoudre les problèmes ou vérifier la sécurité de votre connexion SAML.

  1. Accédez au panneau de configuration de l'administrateur.

  2. Sous Intégrations, sélectionnez Building Blocks.

  3. Sélectionnez Outils installés.

  4. Situez Fournisseur d'authentification - SAML dans la liste. Ouvrez le menu et sélectionnez Paramètres. Les options suivantes sont disponibles :

    • Régénérer le certificat : sélectionnez Régénérer pour régénérer le certificat SAML. Il se peut que vous ayez besoin de régénérer un certificat pour maintenir la sécurité de votre connexion, ou si le certificat a expiré.

      Note

      Après avoir régénéré le certificat, vous devez télécharger de nouveau les métadonnées du fournisseur de services vers le fournisseur d'identité. Lorsque vous sélectionnez Régénérer, le système vous invite à confirmer cette étape.

      Note

      Si vous générez un nouveau certificat sous les paramètres de B2, vous devez basculer le fournisseur SAML B2 sur Inactif puis de nouveau sur Actif pour imposer la modification. Après quoi, vous pouvez revenir aux paramètres du fournisseur et générer les nouvelles métadonnées à importer dans le fournisseur d'identité. Si vous ne basculez pas les paramètres, l'ancien certificat peut encore être inclus lorsque vous générez de nouvelles métadonnées. L'IDP ne sera pas mis à jour et le nouveau certificat sera présenté au prochain redémarrage de Blackboard. L'authentification SAML sera interrompue en raison de cette incompatibilité.

    • Paramètres d'expiration des assertions : dans cette section, vous pouvez ajuster le délai d'expiration (ResponseSkew) et la limite d'âge des sessions SAML. Vous devrez peut-être modifier la valeur de ResponseSkew si votre serveur Blackboard se trouve dans un fuseau horaire différent de celui du serveur du fournisseur d'identité. Le décalage horaire peut entraîner l'expiration des assertions SAML avant que les utilisateurs ne soient correctement authentifiés. Les sessions SAML expirent dans le délai indiqué dans la limite d'âge des sessions SAML. Sélectionnez Ne pas limiter l'âge des sessions si vous souhaitez que les sessions n'expirent jamais.

    • Paramètres de l'algorithme de signature  : choisissez un type d'algorithme de signature qui répond à vos besoins de sécurité ou qui répond aux exigences des fournisseurs d'identité. Lorsque vous avez sélectionné le type d'algorithme de signature, redémarrez le Building Block SAML pour appliquer les nouveaux paramètres.

  5. Sélectionnez Soumettre pour enregistrer vos modifications.

Créer et configurer un fournisseur d'authentification SAML

  1. Sélectionnez le bouton Créer un fournisseur, puis le type de fournisseur d'authentification SAML.

  2. Entrez un nom et une description facultative pour le fournisseur.

  3. Affectez à Disponibilité du fournisseur d'authentification la valeur Actif.

  4. Affectez à Méthode de recherche des utilisateurs la valeur Nom d'utilisateur ou Code unique de batch.

  5. Affectez à Restreindre par nom d'hôte la valeur Utiliser ce fournisseur pour les noms d'hôtes.

    • Le cas échéant, sélectionnez Restreindre ce fournisseur au nom d'hôte spécifié uniquement. Entrez le nom d'hôte dans le champ Noms d'hôtes restreints qui suit.

  6. Dans le champ Texte du lien, saisissez le titre du lien tel que vous souhaitez qu'il apparaisse sur la page de connexion Blackboard.

  7. Le cas échéant, vous pouvez également ajouter une icône à la page de connexion. Sélectionnez Parcourir pour télécharger une icône pour la page de connexion.

  8. Sélectionnez Enregistrer et configurer pour continuer.

Dans la page Paramètres d'authentification SAML, configurez les paramètres du fournisseur de services et du fournisseur d'identité pour qu'ils établissent une connexion de confiance. Le fournisseur d'identité est l'hôte tiers du compte de l'utilisateur et votre instance Blackboard agit en tant que fournisseur de service.

Paramètres du fournisseur de services

  1. L'URL de service client d'assertion est affichée dans le champ URL ACS. Un fournisseur d'identité peut requérir cette URL pour compléter les configurations de son côté.

  2. Entrez un nom pour l'ID d'entité. Cet ID sera renseigné dans les métadonnées du fournisseur de services.

  3. Cochez la case Activer l'authentification unique automatique pour permettre aux utilisateurs de contourner l'écran de connexion Blackboard s'ils sont déjà connectés à un fournisseur d'identité de confiance.

  4. Dans la section Type de service de déconnexion simple, vous trouvere trois cases à cocher. Sélectionnez Publier et autoriser ADFS LogoutResponse si ADFS est le fournisseur d'identité. Lorsque l'option Autoriser ADFS LogoutResponse est sélectionnée, la session du fournisseur d'identité d'un utilisateur se termine lorsqu'il se déconnecte de Blackboard.

  5. Pour établir une connexion de confiance, vous devez partager vos métadonnées avec le fournisseur d'identité. Sélectionnez le bouton Générer situé en regard de Métadonnées du fournisseur de services.

  6. Partagez les métadonnées avec le fournisseur d'identité. Une fois que ce dernier a sauvegardé les métadonnées de son côté, la connexion de confiance est établie.

  7. Sélectionnez une Source de données pour ce fournisseur d'authentification. La source de données correspond à la source des comptes approvisionnés par ce fournisseur d'authentification. La valeur par défaut est Interne. Nous vous recommandons de créer une source de données spécifique à utiliser avec un fournisseur d'authentification SAML.

  8. Dans la liste Sources de données compatibles, sélectionnez les sources de données compatibles avec ce fournisseur d'authentification. Ceci est important lorsque le fournisseur d'authentification contient des comptes partagés avec des sources de données existantes. Si l'utilisateur existe et est associé à une source de données qui n'est pas cochée, l'utilisateur ne sera pas authentifié avec succès.

  9. Cochez la case pour que le système crée automatiquement un compte pour l'utilisateur si ses informations ne sont pas trouvées.

  10. Dans la zone de texte Message d'erreur, vous pouvez entrer un message personnalisé pour les utilisateurs, au cas où l'authentification SAML ne fonctionne pas comme prévu.

Paramètres du fournisseur d'identité

  1. Si vous sélectionnez Fournisseur d'identité de point, téléchargez le fichier de métadonnées que le fournisseur d'identité a partagé avec vous. Vous pouvez entrer l'URL des métadonnées du fournisseur d'identité, mais nous vous recommandons de télécharger le fichier de métadonnées. Une seule de ces versions de métadonnées persiste dans le système.

  2. Si vous sélectionnez Fédération d'identités, un champ s'affiche, dans lequel vous pouvez entrer l'URL du service de recherche.

Note

Après la configuration, vous devez également enregistrer les métadonnées de votre fournisseur de services auprès des membres de la communauté comme InCommon, UK Federation, etc.

Mapper les attributs SAML

  1. Configurez les attributs SAML de manière à ce qu'ils correspondent aux définitions des attributs du fournisseur d'identité. Si un attribut est laissé vide, le Building Block SAML l'ignorera lors de l'analyse de la réponse SAML.

  2. Sélectionnez Soumettre pour enregistrer les informations.

Rôles des établissements

Le rôle d'un utilisateur dans votre système Blackboard est déterminé en fonction des informations reçues du fournisseur d'identité. Les rôles correspondent à ceux présentés ci-dessous :

Rôle premier dans l'établissement (SAML)

Rôle de l'établissement Blackboard

Étudiant

Étudiant

Personnel

Personnel

Enseignant

Enseignant

Rôles au sein d'un cours

Le rôle d'un utilisateur au sein dans un cours est déterminé selon les informations provenant du fournisseur d'identité. Les rôles correspondent à ceux présentés ci-dessous :

Adhésions à un cours (SAML)

Rôle dans le cours Blackboard

Apprenant

Étudiant

Professeur

Professeur

Développeur de contenus

Concepteur de cours

Membre

Étudiant

Gestionnaire

Étudiant

Administrateur

Étudiant

Assistant

Assistant

Mentor

Professeur

Valeurs d'attributs multiples

Si vous vous attendez à ce que la réponse du fournisseur d'identité comporte plusieurs valeurs pour un attribut, formatez votre réponse SAML comme suit.

<saml2:Attribute FriendlyName="bbuasqa3_cm" Name="urn:oid:1.3.6.1.4.1.5923.1.6.1.2" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">

<saml2:AttributeValue>Learner@batchUid:TEST_COURSE_003

</saml2:AttributeValue>

<saml2:AttributeValue>Learner@batchUid:TEST_COURSE_004

</saml2:AttributeValue>

</saml2:Attribute>

Tester la connexion

Testez la connexion pour vérifier qu'elle fonctionne correctement. Déconnectez-vous de Blackboard et reconnectez-vous à l'aide du lien SAML. Entrez les informations d'identification permettant de vous connecter au site externe. Vous êtes redirigé vers Blackboard lorsque vous vous connectez correctement.

Déconnectez-vous de Blackboard et un message s'affiche pour vous demander si vous souhaitez mettre fin à toutes les sessions associées ou continuer. Si vous ne faites rien, le système mettra fin à toutes les sessions au bout de deux minutes. Si vous souhaitez continuer votre session, vous devrez vous reconnecter pour des raisons de sécurité.

Dépannage

Si les utilisateurs ou vous-même rencontrez des erreurs, reportez-vous à ces conseils pour les résoudre.

  • Si une erreur apparaît avant que vous ne soyez redirigé vers la page de connexion du fournisseur d'identité, il se peut que les métadonnées de ce dernier ne soient pas valides.

  • Si une erreur apparaît après l'ouverture de la page du fournisseur d'identité, les raisons peuvent être diverses :

    • Le mappage des attributs entre le fournisseur de services et le fournisseur d'identité est incorrect, ou le fournisseur d'identité n'a pas renvoyé un ID utilisateur à distance valide.

    • La réponse SAML du fournisseur d'identité n'a pas été validée par le fournisseur de services. Les causes possibles de l'erreur sont les suivantes :

      • Le fournisseur d'identité signe la réponse SAML avec un certificat qui n'est pas émis par une autorité de certification valide, et le magasin de clés du fournisseur de services ne contient pas ce certificat.

      • L'horloge système du fournisseur de services est incorrecte.

  • Pour obtenir plus d'informations sur les erreurs, ouvrez le fichier bb-services-log.txt ou le panneau de journalisation visuel et recherchez des mots clés tels que UnsuccessfulAuthentication ou BBSAMLExceptionHandleFilter

  • Vous pouvez utiliser la console de développement Chrome, le plug-in SAML Tracer pour Firefox ou le décodeur de messages SAML pour Firefox pour localiser une réponse SAML.