1. Connectez-vous avec ESA Admin (main.admin) à l'URL domain.com/auth/admin
   
2. Sélectionnez le royaume correct dans le coin supérieur gauche
   
   
3. Ouvrez les paramètres Pro fournisseur d'identité à partir du panneau latéral gauche
    
   
   
4. Ajoutez un nouveau fournisseur en sélectionnant SAML v2.0
   
   
   
5. Importer le fichier de configuration (demander les métadonnées Pro d'identité au client)
   
   
   
6. Faites défiler vers le bas et choisissez le bouton Ajouter (il enregistre le fournisseur d'identité)
   
   
   
7. Après avoir enregistré une copie de l'écran de configuration ESA une URL répertoriée comme URI de redirection est fournie au client (nécessaire dans Okta).
   
   
8. Une fois la configuration ci-dessus terminée, une nouvelle option de connexion apparaît sur la page de connexion ESA
   

Après avoir utilisé le nouveau bouton pour vous connecter à Okta, l'écran ci-dessous est visible sur l'écran, cela signifie que ESA a besoin d'une configuration supplémentaire pour les mappeurs.

Pour transférer l'utilisateur d' ESA vers d'autres systèmes (ESM, ESS, IGA ), ESA doit connaître le contexte de l'utilisateur. À cette fin, ESA stocke des métadonnées décrivant chaque utilisateur ayant tenté de se connecter.

L'écran ci-dessus s'affiche car ESA n'est pas en mesure de récupérer toutes les données nécessaires auprès du Pro d'identité (Okta) et demande à l'utilisateur de saisir manuellement toutes les données requises.

Nous pouvons surmonter cela et préparer une automatisation qui mappera automatiquement les attributs avec les données provenant d'Okta, aux attributs requis par l'utilisateur ESA .

1. Connectez-vous avec l'administrateur ESA (main.admin) à l'URL domain.com/auth
   
2. Ouvrez les paramètres Pro fournisseur d'identité à partir du panneau latéral gauche
   
    
   
3. Accédez à la section Mappers. Voici un exemple de définition.

• Pour le courrier électronique, utilisez le type de mappeur Attribute Importer.
  Mappez l'attribut utilisateur email à http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
  

• Pour le nom d'utilisateur, utilisez le type de mappeur Username Attribute Importer.
  Mappez l'attribut de nom d'utilisateur username à http://schemas.xmlsoap.org/ws/2005/05/identity/claims/ name

• Pour le nom de famille, utilisez le type de mappeur Attribute Importer.
  Mappez l'attribut utilisateur lastName à http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname

• Pour le prénom, utilisez le mappeur de type Importateur d'attributs. Associez l'attribut utilisateur prénom à http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname.

Après ces étapes :

• Assurez-vous qu'une carte de données personnelle est créée dans ESM.
• Assurez- uid que Person a la bonne valeur dans servlet.auth.person.uid.attribute.code - il sera utilisé plus tard, comme nom de connexion.

Une fois les étapes ci-dessus terminées, pendant le processus de connexion, ESM créera l'objet utilisateur manquant, le liera à la personne déjà existante et passera à la page de démarrage d'ITSM pour le rôle donné.

Il y a deux options :

1. Installez le décodeur de messages SAML dans votre navigateur. Les décodeurs SAML sont disponibles sous forme d'extensions de navigateur (par exemple, SAML Tracer pour Firefox, SAML Chrome Panel pour Google Chrome).
   
2. Définir le journal ESA au niveau DEBUG
   
   
   1. À l'intérieur du conteneur ESA , modifiez ce fichier :
      /etc/containerpilot/jobs/esa/start_primary
      
      changer de ceci :
      --log-level=INFO
      
      à ceci:
      --log-level=DÉBOGAGE
      
   2. ensuite, tuez le processus Java :
      $ pkill java
      
   3. pour annuler les modifications, remettez « --log-level » en INFO, puis arrêtez le processus Java ($ pkill java)
      
      REMARQUE ! Si le conteneur ESA est redémarré, toutes les modifications seront annulées ; dans ce cas, le niveau de débogage reviendra à INFO)

Voici un exemple vidéo de connexion. Notez qu'Okta peut également être automatisé (SSO). Dans ce cas, l'écran de connexion ESA ne s'affiche pas et l'utilisateur est redirigé directement vers Okta. Une fois l'authentification réussie, l'utilisateur est redirigé vers la solution Efecte, par exemple vers le portail.