Vous êtes un administrateur SaaS ? Vous êtes au bon endroit !
Les administrateurs de déploiements auto-hébergés (Self Hosting) et gérés (Managed Hosting) peuvent se reporter à ces informations SAML spécifiques aux déploiements hébergés.

À propos du SAML (Security Assertion Markup Language)

SAML (Security Assertion Markup Language) est un format de données basé sur XML qui peut être utilisé pour authentifier et autoriser les utilisateurs entre des systèmes distincts. SAML est fréquemment utilisé en tant que solution SSO (Single Sign-On), notamment pour Blackboard Learn. Lorsqu'il est correctement installé et configuré, SAML permet aux utilisateurs de Blackboard Learn de se connecter à l'aide de leur nom d'utilisateur et leur mot de passe d'un autre établissement ou d'une autre application. SSO permet aux administrateurs et aux utilisateurs de gagner du temps en fournissant une intégration transparente pour la connexion.

Les informations d'utilisateur sont transmises entre les systèmes dans une assertion SAML. Le fournisseur d'identité est l'hôte tiers du compte utilisateur et votre instance Blackboard Learn agit en tant que fournisseur de services. Le fournisseur d'identité envoie des attributs que Blackboard Learn utilise pour créer ou mettre à jour un compte pour l'utilisateur. Ces attributs peuvent inclure des informations telles que le nom d'utilisateur, le prénom, le nom de famille et l'adresse e-mail, et sont conditionnés dans un jeton de sécurité tel qu'une assertion SAML. Le fournisseur d'identité envoie cette assertion SAML à Blackboard Learn lorsque l'utilisateur saisit ses informations de connexion à l'aide d'une connexion unique. Si le nom d'un utilisateur ne correspond à rien dans le système, Blackboard Learn crée un nouveau compte avec les attributs de cet utilisateur contenus dans l'assertion SAML.

Le Building Block SAML simplifie la configuration SSO. Après avoir activé le Building Block, un nouveau type d'authentification apparaît dans la liste Créer un fournisseur dans Panneau de configuration de l'administrateur > Authentification, ce qui vous permet de configurer le service correctement.

Le Building Block SAML est fourni avec le SaaS Blackboard Learn et la version  Blackboard Learn 9.1 Q2 2016+.

Le Building Block SAML établit une connexion unique entre Blackboard Learn et un fournisseur d'identité. Vous pouvez créer plusieurs entrées de fournisseur d'authentification SAML pour vous connecter à plusieurs fournisseurs d'identité. De plus, SAML ne remplace pas complètement le workflow de connexion à Blackboard Learn. Les utilisateurs qui le souhaitent peuvent se connecter à Blackboard Learn en utilisant leurs informations d'identification habituelles.


Activer le Building Block SAML

Si vous utilisez Blackboard Learn lors d'un déploiement SaaS, vous n'avez pas besoin d'installer le Building Block, car il est déjà présent sur votre système.

  1. Accédez au panneau de configuration de l'administrateur.
  2. Sous Intégrations, sélectionnez Building Blocks.
  3. Sélectionnez Outils installés.
  4. Recherchez Fournisseur d'authentification - SAML dans la liste et définissez son état comme disponible.
  5. Dans le panneau de configuration de l'administrateur, sous Intégrations, sélectionnez Authentification.
  6. SAML apparaît à présent dans la liste Créer un fournisseur sur la page Fournisseur d'authentification.

Configurer les paramètres

Vous pouvez configurer les paramètres pour résoudre les problèmes ou vérifier la sécurité de votre connexion SAML.

  1. Accédez au panneau de configuration de l'administrateur.
  2. Sous Intégrations, sélectionnez Building Blocks.
  3. Sélectionnez Outils installés.
  4. Situez Fournisseur d'authentification - SAML dans la liste. Ouvrez le menu et sélectionnez Paramètres. Les options suivantes sont disponibles :
    • Régénérer le certificat : Sélectionnez Régénérer pour régénérer le certificat SAML. Il se peut que vous ayez besoin de régénérer un certificat pour maintenir la sécurité de votre connexion, ou si le certificat a expiré.

      Après avoir régénéré le certificat, vous devez télécharger de nouveau les métadonnées du fournisseur de services vers le fournisseur d'identité. Lorsque vous sélectionnez Régénérer, le système vous invite à confirmer cette étape.

    • Paramètres d'expiration d'assertion : Dans cette section, vous pouvez ajuster le Délai d'expiration (ResponseSkew) et la limite d'âge de la session SAML . Vous devrez peut-être modifier la valeur ResponseSkew si votre serveur Blackboard Learn se trouve dans un fuseau horaire différent de celui du serveur du fournisseur d'identité. Le décalage horaire peut entraîner l'expiration des assertions SAML avant que les utilisateurs ne soient correctement authentifiés. Les sessions SAML expirent dans le même délai que la limite d'âge de la session SAML. Si vous souhaitez autoriser les sessions à ne jamais expirer, sélectionnez Pas de limite d'âge pour la session SAML.
    • Paramètres d'algorithme de signature : Sélectionnez un type d'algorithme qui correspond à vos besoins de sécurité ou à ceux requis par vos fournisseurs d'identité. Lorsque vous avez sélectionné le type d'algorithme de signature, redémarrez le Building Block SAML pour appliquer les nouveaux paramètres.
  5. Sélectionnez Soumettre pour enregistrer vos modifications.

Créer et configurer un fournisseur d'authentification SAML

  1. Sélectionnez le bouton Créer un fournisseur, puis le type de fournisseur d'authentification SAML.
  2. Entrez un nom et une description facultative pour le fournisseur.
  3. Affectez à Disponibilité du fournisseur d'authentification la valeur Actif.
  4. Affectez à Méthode de recherche des utilisateurs la valeur Nom d'utilisateur ou Code unique de batch.
  5. Affectez à Restreindre par nom d'hôte la valeur Utiliser ce fournisseur pour les noms d'hôtes.
    • Le cas échéant, sélectionnez Restreindre ce fournisseur au nom d'hôte spécifié uniquement. Entrez le nom d'hôte dans le champ Noms d'hôtes restreints qui suit.
  6. Dans le champ Texte du lien, entrez le titre du lien tel que vous voulez qu'il apparaisse sur la page de connexion à Blackboard Learn.
  7. Le cas échéant, vous pouvez également ajouter une icône à la page de connexion. Sélectionnez Parcourir pour télécharger une icône pour la page de connexion.
  8. Sélectionnez Enregistrer et configurer pour continuer.

Dans la page Paramètres d'authentification SAML, configurez les paramètres du fournisseur de services et du fournisseur d'identité pour qu'ils établissent une connexion de confiance. Le fournisseur d'identité est l'hôte tiers du compte utilisateur et votre instance Blackboard Learn agit en tant que fournisseur de services.

Paramètres du fournisseur de services

  1. L'URL de service client d'assertion est affichée dans le champ URL ACS. Un fournisseur d'identité peut requérir cette URL pour compléter les configurations de son côté.
  2. Entrez un nom pour l'ID d'entité. Cet ID sera renseigné dans les métadonnées du fournisseur de services.
  3. Cochez la case Activer la connexion unique automatique pour permettre aux utilisateurs de contourner l'écran de connexion à Blackboard Learn s'ils se sont déjà connectés à un fournisseur d'identité de confiance.
  4. Dans la section Type de service de déconnexion simple, vous trouverez 3 cases à cocher. Sélectionnez Message et Autoriser la réponse de déconnexion ADFS si ADFS est le fournisseur d'identité. Lorsque l'option Autoriser la réponse de déconnexion ADFS est sélectionnée, une session Blackboard Learn d'un utilisateur se termine au moment de la déconnexion du fournisseur d'identité.
  5. Pour établir une connexion de confiance, vous devez partager vos métadonnées avec le fournisseur d'identité. Sélectionnez le bouton Générer situé en regard de Métadonnées du fournisseur de services.
  6. Partagez les métadonnées avec le fournisseur d'identité. Une fois que ce dernier a sauvegardé les métadonnées de son côté, la connexion de confiance est établie.
  7. Sélectionnez une Source de données pour ce fournisseur d'authentification. La source de données correspond à la source des comptes approvisionnés par ce fournisseur d'authentification. La valeur par défaut est Interne. Nous vous recommandons de créer une source de données spécifique à utiliser avec un fournisseur d'authentification SAML.

    En savoir plus sur les sources de données

    Cette rubrique se trouve dans la section Déploiements auto-hébergés et Managed Hosting. Lorsque vous avez terminé, utilisez la fonction Précédent de votre navigateur pour revenir sur cette page.

  8. Dans la liste Sources de données compatibles, sélectionnez les sources de données compatibles avec ce fournisseur d'authentification. Ceci est important lorsque le fournisseur d'authentification contient des comptes partagés avec des sources de données existantes. Si l’utilisateur existe et est associé à une source de données qui n’est pas cochée, l’utilisateur ne sera pas authentifié avec succès.
  9. Cochez la case pour que le système crée automatiquement un compte pour l'utilisateur si ses informations ne sont pas trouvées.
  10. Dans la zone de texte Message d'erreur, vous pouvez entrer un message personnalisé pour les utilisateurs, au cas où l'authentification SAML ne fonctionne pas comme prévu.

Paramètres du fournisseur d'identité

  1. Si vous sélectionnez Fournisseur d'identité de point, téléchargez le fichier de métadonnées que le fournisseur d'identité a partagé avec vous. Vous pouvez entrer l'URL des métadonnées du fournisseur d'identité, mais nous vous recommandons de télécharger le fichier de métadonnées. Une seule de ces versions de métadonnées persiste dans le système.
  2. Si vous sélectionnez Fédération d'identités, un champ s'affiche, dans lequel vous pouvez entrer l'URL du service de recherche.

Après la configuration, vous devez également enregistrer les métadonnées de votre fournisseur de services auprès des membres de la communauté comme InCommon, UK Federation, etc.

Mapper les attributs SAML

  1. Configurez les attributs SAML de manière à ce qu'ils correspondent aux définitions des attributs du fournisseur d'identité. Si un attribut est laissé vide, le Building Block SAML l'ignorera lors de l'analyse de la réponse SAML.
  2. Sélectionnez Soumettre pour enregistrer les informations.

Rôles dans l'établissement

Le rôle dans l'établissement d'un utilisateur dans votre système Blackboard Learn est déterminée par les informations provenant du fournisseur d'identité. Les rôles correspondent à ceux présentés ci-dessous :

Rôle premier dans l'établissement (SAML)Rôle dans l'établissement Blackboard Learn
ÉtudiantÉtudiant
PersonnelPersonnel
Corps enseignantEnseignant

Rôles au sein d'un cours

Le rôle d'un utilisateur au sein dans un cours est déterminé selon les informations provenant du fournisseur d'identité. Les rôles correspondent à ceux présentés ci-dessous :

Adhésions à un cours (SAML)Rôles au sein des cours Blackboard Learn
ApprenantÉtudiant
ProfesseurProfesseur
Développeur de contenusConcepteur de cours
MembreÉtudiant
GestionnaireÉtudiant
AdministrateurÉtudiant
AssistantAssistant
MentorProfesseur

Valeurs d'attribut multiples

Si vous vous attendez à ce que la réponse du fournisseur d'identité comporte plusieurs valeurs pour un attribut, formatez votre réponse SAML comme suit.

<saml2:Attribute FriendlyName="bbuasqa3_cm" Name="urn:oid:1.3.6.1.4.1.5923.1.6.1.2" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">
<saml2:AttributeValue>[email protected]:TEST_COURSE_003
</saml2:AttributeValue>
<saml2:AttributeValue>[email protected]:TEST_COURSE_004
</saml2:AttributeValue>
</saml2:Attribute>


Tester la connexion

Testez la connexion pour vérifier qu'elle fonctionne correctement. Déconnectez-vous de Learn et reconnectez-vous en utilisant le lien SAML. Entrez les informations d'identification permettant de vous connecter au site externe. Une fois la connexion établie, vous êtes redirigé vers Blackboard Learn.

Déconnectez-vous de Blackboard Learn. Un message s'affiche pour vous demander si vous souhaitez mettre fin à toutes les sessions associées ou continuer. Si vous ne faites rien, le système mettra fin à toutes les sessions dans deux minutes. Si vous souhaitez continuer votre session, vous devrez vous reconnecter pour des raisons de sécurité.

Dépannage

Si les utilisateurs ou vous-même rencontrez des erreurs, reportez-vous à ces conseils pour les résoudre.

  • Si une erreur apparaît avant que vous ne soyez redirigé vers la page de connexion du fournisseur d'identité, il se peut que les métadonnées de ce dernier ne soient pas valides.
  • Si une erreur apparaît après l'ouverture de la page du fournisseur d'identité, les raisons peuvent être diverses :
    • Le mappage des attributs entre le fournisseur de services et le fournisseur d'identité est incorrect, ou le fournisseur d'identité n'a pas renvoyé un ID utilisateur à distance valide.
    • La réponse SAML du fournisseur d'identité n'a pas été validée par le fournisseur de services. Les causes possibles de l'erreur sont les suivantes :
      • Le fournisseur d'identité signe la réponse SAML avec un certificat qui n'est pas émis par une autorité de certification valide, et le magasin de clés du fournisseur de services ne contient pas ce certificat.
      • L'horloge système du fournisseur de services est incorrecte.
  • Pour plus d'informations sur les erreurs, ouvrez le fichier bb-services-log.txt ou le panneau de journalisation et recherchez des mots-clés comme unsuccessfulAuthentication ou BbSAMLExceptionHandleFilter
  • Vous pouvez utiliser la console de développement Chrome ou le plug-in SAML Tracer pour Firefox pour localiser une réponse SAML.