3. Procédures d’exploitation SSO AgentConnect

3.1. Activation du SSO AgentConnect

Cette procédure permet d’activer l’authentification via AgentConnect quand une organisation y est connectée.

Attention ! Tous les utilisateurs de l’organisation devront être connus de AgentConnect.

  1. Se connecter en superadmin et accéder au panneau latéral de droite en cliquant sur l’organisation concernée.

  2. Dans l’onglet « Informations », cliquer sur « Domaines » et ajouter un domaine mail fictif de type « domaine principal-old.fr » (ex : culture.gouv-old.fr »)

  3. Cliquer sur l’onglet « SSO » du panneau latéral puis sur la ligne de l’IDP créé par défaut

  4. Dans l’onglet « Patterns », ajouter en plus du domaine mail par défaut le domaine mail fictif créé à l’étape précédente. Supprimer ensuite le domaine mail par défaut (ancien domaine principal) de cette liste. Valider ensuite vos modification en cliquant sur la coche verte.

  5. Cliquer sur le bouton « Créer un IDP ». Auparavant grisé, ce bouton doit maintenant être accessible pour ajouter un IDP externe.

  6. Compléter le premier écran de création de l’IDP

    • IDP Actif

    • Protocole : OIDC

    • Nom IDP : AgentConnect

    • Attribut de l’email : email

    • Attribut de l’id utilisateur : vide

    • Pattern : choisir le domaine mail par défaut supprimé précédemment (ex : culture.gouv.fr)

  7. Compléter le second écran de création de l’IDP

    • Identifiant du client : à demander à AgentConnect pour l’environnement concerné

    • Secret du client : à demander à AgentConnect pour l’environnement concerné

    • URL Discovery : à demander à AgentConnect pour l’environnement concerné

    • Périmètre : openid email

    • Algorithme JWS : ES256

    • Avec Etat : vrai

    • Utilise Nonce : Vrai

    • Avec Pkce : Faux

    • Paramétrages customs : acr_values (clé), eidas1 (valeur associée) Cliquer ensuite sur « Terminer »

  8. Vérifier que l’IDP externe a correctement été ajouté à la liste des IDP dans l’onglet SSO. Désactiver l’IDP interne initial.


3.2. Désactivation du SSO AgentConnect

Cette procédure permet de désactiver l’authentification via AgentConnect quand une organisation y est connectée, par exemple en cas d’indisponibilité prolongée d’AgentConnect.

  1. Se connecter en superadmin et accéder au panneau latéral de droite en cliquant sur l’organisation concernée.

  2. Dans l’onglet « Informations », cliquer sur « Domaines » et ajouter un domaine mail fictif de type « domaine principal-old2.fr » (ex : culture.gouv-old2.fr ») NB : les domaines mails « domaine principal.fr » et « domaine principal-old.fr » existeront déjà.

  3. Cliquer sur l’onglet « SSO » du panneau latéral puis sur la ligne de l’IDP externe AgentConnect qui est actif.

  4. Dans l’onglet « Patterns » de cet IDP, ajouter le second domaine mail fictif créé à l’étape précédente. Supprimer ensuite les deux autres domaines mails de type « domaine principal.fr » (ex : culture.gouv.fr ») et « domaine principal-old.fr » (ex : culture.gouv-old.fr ») Valider ensuite vos modification en cliquant sur la coche verte.

  5. Retourner à la liste des IDP puis cliquer sur la ligne de l’IDP interne qui est désactivé.

  6. Dans l’onglet « Patterns » de cet IDP, ajouter le domaine mail réel qui n’est maintenant plus utilisé. Valider ensuite vos modification en cliquant sur la coche verte.

  7. Réactiver cet IDP interne.

  8. Désactiver l’IDP externe AgentConnect. NB : dans cette configuration, il vous faudra avertir les utilisateurs de demander un nouveau mot de passe pour se connecter à VITAM UI. Il suffit pour cela d’entrer son adresse mail puis de cliquer sur « Demander un nouveau mot de passe ».


3.3. Réactivation du SSO AgentConnect

Cette procédure permet de réactiver l’authentification via AgentConnect si une organisation en a été désactivée.

  1. Se connecter en superadmin et accéder au panneau latéral de droite en cliquant sur l’organisation concernée.

  2. Cliquer sur l’onglet « SSO » du panneau latéral puis sur la ligne de l’IDP interne qui est actif.

  3. Dans l’onglet « Patterns » de cet IDP, ajouter le domaine mail fictif de type « domaine principal-old.fr » qui ne doit pas être utilisé (ex : culture.gouv-old.fr »). Supprimer ensuite le domaine mail réel de l’organisation de type « domaine principal.fr » (ex : culture.gouv.fr »). Valider ensuite vos modification en cliquant sur la coche verte.

  4. Retourner à la liste des IDP puis cliquer sur la ligne de l’IDP externe AgentConnect qui est désactivé.

  5. Dans l’onglet « Patterns » de cet IDP, ajouter le domaine mail réel qui n’est maintenant plus utilisé. Valider ensuite vos modification en cliquant sur la coche verte.

  6. Réactiver cet IDP externe AgentConnect.

  7. Désactiver l’IDP interne.