Mise en correspondance (Mapping)
Diagramme de mise en correspondance
Le diagramme suivant décrit complètement le processus de mise en correspondance (mapping) d'un utilisateur, dont le login est authentifié, avec une personne dans HOPEX.
Principe
Une fois le service de mise en correspondance informé de l'identifiant de la personne qui demande la connexion, le service vérifie si l'identifiant est référencé dans le référentiel :
Cet identifiant est généralement le login, mais si un paramètre d'authentification SSO est défini et que son attribut “Index sur les personnes” est sélectionné, alors le service vérifie si la valeur de cet attribut n'existe pas sur une personne, et dans ce cas c'est l'identifiant qui est utilisé pour déterminer si la personne existe dans HOPEX ou pas.• cas 1 :
L'identifiant est référencé dans le référentiel et n'appartient pas à un groupe.
• cas 2 :
L'identifiant est référencé dans le référentiel et appartient à un groupe.
• cas 3 :
L'identifiant n'est pas référencé dans le référentiel et n'appartient pas à un groupe.
Quand un groupe par défaut est défini, toute personne qui n'appartient pas à un groupe spécifique mais dont l'attribut "Appartient à un groupe" est sélectionné, doit appartenir au groupe par défaut.
Demande de connexion et utilisateur créé à la volée
Dans le cas de l'authentification SSO, lorsqu'un utilisateur authentifié demande à se connecter à HOPEX :
• Si le login de l'utilisateur est relié au Login d'une personne enregistrée dans HOPEX et cette personne :
• n'appartient pas à un groupe, la mise en correspondance est validée et l'utilisateur peut choisir de se connecter avec un des profils qui lui sont assignés. La connexion se fait au titre de la personne.
• appartient à un ou plusieurs groupes, la mise en correspondance est validée et l'utilisateur peut se connecter avec un des groupes et choisir un des profils assignés au groupe sélectionné. La connexion se fait au titre du groupe.
• appartient à un ou plusieurs groupes et a un ou plusieurs profils d'assignés, la mise en correspondance est validée et l'utilisateur choisit de se connecter avec un de ses profils assignés (la connexion se fait au titre de la personne) ou via un des groupes auxquels il appartient (la connexion se fait au titre du groupe).
• Si le login de l'utilisateur :
• correspond au Login d'une personne enregistrée dans HOPEX, que l'attribut «Appartient à un groupe de personnes » est sélectionné, mais la personne n'appartient pas à un Groupe de personnes,
ou
• ne correspond pas au Login d'une personne enregistrée dans HOPEX et l'authentification est de type SSO, alors la personne est créée à la volée avec un Login (l'attribut " Appartient à un groupe de personnes " est automatiquement sélectionné).
La personne est créée à la volée uniquement si elle n'existe pas. Si la personne existe, seul le login est créé.La personne (+ Login) n'est créée que si elle appartient effectivement à un groupe (SSO, relié à une macro, ou " groupe par défaut " est défini).Alors si la personne :
• appartient à un groupe SSO (ayant un groupe de personnes et un Login) la mise en correspondance est validée et la connexion se fait au titre du groupe (Login et profil du groupe sont passés).
Ex. : Alexandre DUBOIS appartient au groupe Marketing dont le Login est Marketing,
• n'appartient pas à un groupe SSO, mais appartient à un groupe relié à une macro : la mise en correspondance est validée et la connexion se fait au titre du groupe (Login et profil du groupe sont passés).
• n'appartient pas à un groupe SSO et n'appartient pas à un groupe relié à une macro, mais un groupe par défaut est défini : la mise en correspondance est validée et la connexion se fait au titre du groupe (Login et profil du groupe sont passés).
• n'appartient pas à un groupe SSO, ni à un groupe relié à une macro, et un groupe par défaut n'est pas défini : la mise en correspondance est refusée.
Quand la personne appartient à un groupe, le service renvoie deux informations :
• La personne créée à la volée (Assignable Element) à partir du serveur SSO.
Le but de créer une personne à la volée est de conserver la traçabilité des actions. L'utilisateur agit en son nom et non au nom du groupe.
• La liste des groupes de personnes auxquels elle appartient (et éventuellement ses assignations, si des profils lui sont assignés).
Un profil est associé au groupe. Ceci permet de savoir avec quel profil la personne créée à la volée va se connecter à l'application.
A la prochaine connexion de cette personne, le service renvoie le même utilisateur créé à la volée (mêmes informations/attributs). Le service crée un utilisateur à la volée par personne et conserve ses informations.Associer un groupe de personnes HOPEX à un groupe d'utilisateurs authentifié
Une fois le groupe d'authentification créé, vous devez l'associer à un groupe d'utilisateurs dans HOPEX.
Ainsi quand une personne du groupe de personnes HOPEX se connecte à HOPEX, elle est authentifiée grâce au groupe d'utilisateurs authentifié auprès du service SSO.
Si un groupe de personnes par défaut est défini, toute personne dans HOPEX, dont l'attribut Appartient à un groupe de personnes est sélectionné (voir Propriétés d'une personne) appartient automatiquement au groupe défini par défaut (voir Définir un groupe de connexion par défaut).Prérequis : le groupe de personnes HOPEX et le groupe d'utilisateurs authentifié sont créés.
Voir :Pour associer un groupe de personnes HOPEX à un groupe d'utilisateurs authentifié :
1. Accédez aux propriétés :
• du groupe d'authentification
ou
• du groupe de personnes.
2. Affichez la page Caractéristiques.
3. Cliquez sur la flèche du champ :
• Groupe de personnes et connectez le groupe de personnes HOPEX à associer au groupe d'utilisateurs authentifié.
ou
• Groupe d'authentification et connectez le groupe d'utilisateurs authentifié à associer au groupe de personnes.
L'assistant de recherche du groupe d'authentification apparaît.
Utilisez la touche [Ctrl] pour relier plusieurs groupes d'authentification à la fois.Le groupe de personnes HOPEX et le groupe d'utilisateurs authentifié sont associés.
Définir un paramètre d'authentification
Un paramètre d'authentification est un paramètre qui existe dans le service SSO et qui est associé de manière unique à un attribut HOPEX.
Configurer un paramètre d'authentification est utile lors de l'import de personnes à partir d'un service SSO.
Les paramètres d'authentification permettent :
• d'identifier une personne à partir des renseignements fournis par le serveur d'authentification.
• de prédéfinir les caractéristiques d'une personne créée dans HOPEX, en utilisant la mise en correspondance entre les valeurs des paramètres d'authentification (stockées dans le service SSO) et les MetaAttributes HOPEX.
Exemple : le MetaAttribute "Adresse e-mail" de la personne est initialisé avec le claim "email" de la personne dans le service SSO (si la correspondance a été effectuée).
Pour configurer un paramètre d'authentification :
1. Accédez aux pages de gestion de l'authentification.
2. Sélectionnez Paramètres d'authentification.
3. Cliquez sur Nouveau 
.
.Le paramètre d'authentification permet de pré remplir les caractéristiques d'une personne qui correspondent aux paramètres d'authentification.4. Saisissez un Nom pour le paramètre d'authentification puis cliquez sur Propriétés 
.
.Exemples : E-mail, Nom de la personne.
5. (Optionnel, accès au metamodel "expert") Sélectionnez Index sur les personnes, pour que la valeur du paramètre permette d'identifier de manière unique une personne. Si une personne dans HOPEX a le même e-mail que celui défini dans le service SSO, cette personne est réutilisée (au lieu d'en créer une nouvelle et de risquer de créer un doublon de personne)
6. (Optionnel, accès au metamodel "expert") Sélectionnez Est disponible pour la recherche, pour que dans la zone de saisie de l'import la saisie d'un e-mail soit possible.
Ex. : si vous saisissez ctodd@mega.com, vous devez retrouver Clara TODD.
7. Dans le champ Identifiant d'authentification saisissez le claim associé dans le service SSO.
Ex. : email
8. Dans le champ MetaAttribute associé, cliquez sur la flèche et sélectionnez Relier MetaAttribute.
9. Effectuez la recherche et sélectionnez le MetaAttribute au sein d'HOPEX qui va être associé à l'identifiant d'authentification SSO défini à l'étape 7.
Exemples : Adresse e-mail, Nom (personne).