L’authentification SSO n’est prise en charge que pour les stations Web. Au démarrage d’une station, les utilisateurs doivent s’authentifier. Outre l’authentification à l’aide de leur nom d’utilisateur et de leur mot de passe ABBYY FlexiCapture, les utilisateurs peuvent également être authentifiés via un fournisseur d’identité externe (par ex. Azure Active Directory intégré à votre Active Directory d’entreprise).
Voici ce qui se passe lorsqu’un utilisateur est authentifié via un fournisseur d’identité externe.
- L’utilisateur clique sur le bouton Se connecter avec [nom du serveur externe].
- ABBYY FlexiCapture génère un message AuthnRequest, le place dans le paramètre SAMLRequest d’une requête GET et envoie la requête au fournisseur d’identité. Les connexions SSO SAML chiffrées ne sont pas prises en charge.
<samlp:AuthnRequest ID=“id81c79c5cecf44dfbbecdc08ae6c6393f” IssueInstant=“2019-07-17T10:59:19Z”
Version=“2.0” xmlns:samlp=“urn:oasis:names:tc:SAML:2.0:protocol”
xmlns=“urn:oasis:names:tc:SAML:2.0:metadata”>
<Issuer xmlns=“urn:oasis:names:tc:SAML:2.0:assertion”>
https://localhost/FlexiCapture12/Login/ten1/AccessToken/Saml</Issuer>
</samlp:AuthnRequest>
| REQUÊTE EN-TÊTES | |
|---|
| Host | abbyy.onelogin.com |
| Connection | keep-alive |
| Upgrade-Insecure-Requests | 1 |
| User-Agent | Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.142 Safari/537.36 |
| Accept | text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,/; q=0.8,application/signed-exchange;v=b3 |
| Referer | https://localhost/FlexiCapture12/Login/ten1/ |
| Accept-Encoding | gzip, deflate, br |
| Accept-Language | ru-RU,ru;q=0.9,en-US;q=0.8,en;q=0.7 |
| Cookies de la requête | |
| RÉPONSE DONNÉES | |
|---|
| Status | 302 |
| StatusText | Found |
| HttpVersion | HTTP/1.1 |
| RedirectURL | https://abbyy.onelogin.com/login |
| HeadersSize | 967 |
| BodySize | 0 |
| _transferSize | 967 |
| _error | undefined |
| RÉPONSE EN-TÊTES | |
|---|
| Cache-Control | no-cache |
| Content-Type | text/html; charset=utf-8 |
| Date | Wed, 17 Jul 2019 07:59:19 GMT |
| Location | https://abbyy.onelogin.com/login |
| P3P | CP=“CAO DSP COR CURa ADMa DEVa OUR IND PHY ONL UNI COM NAV INT DEM PRE” |
| Set-Cookie | sub_session_onelogin.com=BAh7CDoWY29ubmVjdGluZ190b19hcHAiCzk1Mjk0MDo OcmV0dXJuX3RvIgG8aHR0cHM6Ly9hYmJ5eS5vbmVsb2dpbi5jb20vdHJ1c3Qvc 2FtbDIvaHR0cC1yZWRpcmVjdC9zc28vOTUyOTQwP3NhbWxfcmVxdWVzdF 9wYXJhbXNfdG9rZW49Zjk3ZmI2ODA0Mi5jZGU0MDRmMjg4YzY4YzM3MmFlNThj OTM5YWM3Y2U2NjZkYmM0YjAyLjBRQVRxUTA4VjR1V3NQT29GWTZ4dFFqRFQx WEF2S1B0VkhjMjBOcFBubkklM0Q6D3Nlc3Npb25faWQiKTRlYzYwMThlLTg0ZWUtNDE 5YS1iZmZmLWYwOTNiMWRhNDJlMA%3D%3D—da357cb50556cc5bec34d8c4ca372130785c6e6f; path=/; HttpOnly |
| Status | 302 Found |
| Strict-Transport-Security | max-age=63072000 |
| X-Content-Type-Options | nosniff |
| X-Frame-Options | DENY |
| X-Request-Id | 5D2ED557-C3D2939B-C3D9-0A090512-01BB-2C6A237-1F57 |
| X-Xss-Protection | 1; mode=block |
| Content-Length | 98 |
| RÉPONSE COOKIES | |
|---|
| Sub_session_ onelogin.com | BAh7CDoWY29ubmVjdGluZ190b19hcHAiCzk1Mjk0MDoOcmV0dXJuX3RvIgG8aHR0c HM6Ly9hYmJ5eS5vbmVsb2dpbi5jb20vdHJ1c3Qvc2FtbDIvaHR0cC1yZWRpcmVjdC 9zc28vOTUyOTQwP3NhbWxfcmVxdWVzdF9wYXJhbXNfdG9rZW49Zjk3ZmI2ODA 0Mi5jZGU0MDRmMjg4YzY4YzM3MmFlNThjOTM5YWM3Y2U2NjZkYmM0YjAyLjBRQ VRxUTA4VjR1V3NQT29GWTZ4dFFqRFQxWEF2S1B0VkhjMjBOcFBubkklM0Q6D3 Nlc3Npb25faWQiKTRlYzYwMThlLTg0ZWUtNDE5YS1iZmZmLWYwOTNiMWRhNDJlMA% 3D%3D—da357cb50556cc5bec34d8c4ca372130785c6e6f |
- Le fournisseur d’identité autorise l’utilisateur.
- Si l’authentification réussit, le fournisseur d’identité génère un message d’assertion, le place dans le paramètre SAMLResponse de la requête et renvoie la requête à ABBYY FlexiCapture.
- La requête contenant le message d’assertion est envoyée au serveur d’applications ABBYY FlexiCapture afin de déterminer si l’utilisateur spécifié dispose des autorisations nécessaires pour se connecter à la station spécifiée.
- Le serveur d’applications vérifie le message d’assertion à l’aide d’un certificat public obtenu auprès du fournisseur d’identité, puis autorise l’utilisateur.
- Le serveur d’applications effectue les opérations requises et émet un ticket d’authentification interne.
- L’utilisateur accède à la station web appropriée à l’aide du ticket d’authentification émis.
Cette fonctionnalité a été testée avec les fournisseurs d’identité suivants : Azure Active Directory, OneLogin et Okta.
Plusieurs fournisseurs d’identité peuvent être utilisés simultanément. Par exemple, différents fournisseurs d’identité peuvent être utilisés pour différents tenants. Les nouvelles méthodes d’authentification seront utilisées en parallèle des méthodes existantes, y compris celles utilisées par défaut.
