FR icône globe
icône utilisateur
Sur cette page
  • Dernière modification le: 13 April 2020
Que pouvons-nous vous aider à trouver ? Produits Documentation produit Coupa Documentation technique sur l'intégration FAQ Coupa SAML

FAQ Coupa SAML

Consultez ces questions fréquentes sur les connexions Coupa SSO.

Comment configurer SAML avec Coupa ?

Pour démarrer la configuration, veuillez lire cette FAQ et compléter l'étape 1 de la section Configuration [ConfigurationSetup] . Indiquez les exigences de contact pour la mise en oeuvre de Coupa répertoriées à l'étape 2. Coupa Engineer vous aidera à configurer la connexion IdP à la fin de Coupa, la configuration n'est pas entièrement en libre-service. L’administrateur de Coupa est libre de désactiver SAML, de modifier l’URL de connexion, l’URL de déconnexion et l’URL de temporisation.

Quel protocole SAML Coupa prend-il en charge ?

SAML V2.0

Où sont les spécifications SAML V2.0 ?

http://saml.xml.org/saml-specifications

Comment valider la réponse XML SAML ?

Veuillez vérifier le code XML par rapport à http://docs.oasis-open.org/security/saml/v2.0/saml-schema-protocol-2.0.xsd

    $ xmllint --noout --schema saml-schema-protocol-2.0.xsd saml_response.xml

Comment décoder la réponse SAML ?

Un décodeur en ligne est à l'adresse https://rnd.feide.no/simplesaml/modu...ebug/debug.php

Comment suivre et afficher les réponses SAML ?

 Le traceur saml du module complémentaire Firefox suit le flux HTTPS, décode et analyse la réponse SAML https://addons.mozilla.org/en-US/firefox/addon/saml-tracer/

Qu'est-ce que Login URL ?

L'URL de connexion sous Configuration > Contrôle de sécurité est simplement une redirection HTTP 302.

Pour IdP Initiated SSO, saisissez l'URL de connexion de l'écran de connexion IdP. L’application Coupa redirigera l’utilisateur vers la page de connexion hébergée du fournisseur d’identité pour authentifier ses utilisateurs. Les utilisateurs ne verront pas la page de connexion de Coupa.

Pour SP-Initiated SSO, vous pouvez créer l'URL à condition de connaître l'ID d'entité à IdP. pour la rediriger vers le démarrage de SP Initiation.

Pour le test/la préparation

https://sso-stg1.coupahost.com/sp/startSSO.ping?PartnerIdpId= <stage_IdP_entityid>&TARGET=https://{your-test_site}.coupahost.com/sessions/saml_post

Pour la production

https://sso-prd1.coupahost.com/sp/startSSO.ping?PartnerIdpId= <prod_IdP_entityid>&TARGET=https://{your_site}.coupahost.com/sessions/saml_post

Pourquoi Coupa a-t-il besoin d’une URL de déconnexion ?

Lorsque les utilisateurs se déconnectent de l'application Coupa, Coupa efface la session utilisateur et redirige les utilisateurs vers l'URL de déconnexion configurée sous Configuration -> Contrôle de sécurité. Sa simple redirection et non sa mise en oeuvre SLO. Votre utilisateur n'a pas besoin de se déconnecter du fournisseur d'identité. L'URL de déconnexion peut être un site interne ou toute page de destination pour vos utilisateurs une fois qu'ils ont terminé à l'aide de l'application Coupa.

Qu'est-ce que Timeout URL et comment fonctionne le timeout avec l'implémentation SAML ?

Le délai d'expiration de session de l'application Coupa est défini sous Système->Contrôle de sécurité. Après expiration de la session, Coupa redirigera vers l'URL de temporisation (identique à l'URL de connexion), qui démarrera IdP Initiated ou SP Initiated SSO en fonction de l'URL. Dans la plupart des cas, l'URL de temporisation est identique à l'URL de connexion. Les utilisateurs verront la page de connexion basée sur l’expiration de la session Coupa et le délai d’expiration IdP défini pour les utilisateurs.

Quelles informations Coupa utilise-t-il pour identifier les utilisateurs IdP ?

Coupa utilise la valeur NameID de la réponse SAML pour rechercher l'utilisateur Coupa correspondant. L'ID SSO doit être fourni lors de la création de l'utilisateur pour que la connexion SAML réussisse. Vous pouvez configurer l'ID SSO en modifiant l'utilisateur dans l'interface utilisateur ou en l'intégrant à l'aide de l'API Coupa.

Existe-t-il un moyen d'accéder à Coupa et de contourner SAML ?

Coupa fournit cette interface de support pour contourner le processus d'authentification SSO. L'URL est https://{your-site}.coupahost.com/sessions/support_loginCeci est destiné aux administrateurs uniquement car les utilisateurs normaux peuvent ne pas avoir de mot de passe Coupa défini lorsqu'ils sont dans Coupa au moment de leur création. Cela les empêche de se connecter avec autre chose que votre SSO. Vous pouvez éventuellement créer un utilisateur avec un mot de passe Coupa pour vous connecter via cette interface de support. Cela est utile pour les utilisateurs qui ne font pas partie d'IdP mais qui ont toujours besoin d'accéder à Coupa.

Quand Coupa a-t-il besoin d’un RelayState ?

RelayState est obligatoire pour le SSO initié par IdP et n'est pas obligatoire pour le SSO initié par SP. RelayState est requis par le fournisseur de services pour identifier l'instance Coupa du client. RelayState peut être passé en tant que QueryString ou variable POST séparée le long de SAMLResponse.

Le suffixe suivant apparaît après l'URL ACS :/sp/ACS.saml2?RelayState=https://<coupa-instance-domain-name>/sessions/saml_post.

Une façon simple est d'ajouter RelayState en tant que QueryString à l'URL AssertionConsumerService que vous trouverez dans les métadonnées xmlde phase ou de production . 

Quel est le flux de travail pour l'authentification unique initiée par IDp et l'authentification unique initiée par SP ?

http://documentation.pingidentity.com/display/PF/IdP-Initiated+SSO--POST

http://documentation.pingidentity.com/display/PF/SP-Initiated+SSO--POST-POST

Comment configurer SAML pour les instances Coupa de phase et de production ?

L'URL du point de terminaison Assertion (AssertionConsumerService) pour Coupa Stage esthttps://sso-stg1.coupahost.com/sp/ACS.saml2et pour la production Coupa esthttps://sso-prd1.coupahost.com/sp/ACS.saml2. Pour que le SAML fonctionne à la fois sur la phase et la production, il doit y avoir deux connexions, l'une pour la phase et l'autre pour la production. Si vous n'avez pas de phase et que vous n'avez qu'un IDp de production, vous pouvez toujours créer deux connexions différentes pour la phase Coupa et l'instance Coupa Production. RelayState sera différent pour la connexion de phase et de production.

Pouvons-nous configurer les utilisateurs à l'aide de SAML ?

La configuration SAML actuelle de Coupa est uniquement destinée à l'authentification et non à l'approvisionnement des utilisateurs dans Coupa. L'autorisation est effectuée via le rôle d'utilisateur Coupa. Le rôle SAML est d'authentifier l'utilisateur.

Quels systèmes IdP Coupa a-t-il intégrés ?

Tout système IdP qui implémente SAML 2.0. ADFS 2.0, PingFederate, Novell Access Manager, Oracle Access Manager, Tivoli Access Manager, projet open source comme Shibboleth, solutions personnalisées, etc. Nous ne fournissons actuellement pas d'exemple de code IdP, ils sont disponibles en ligne et à partir de projets Open Source.

Je cherche un exemple de métadonnées IdP que les clients fournissent à Coupa.

Voir le fichierTest_IDP_Metadata.xmljoint .

Je cherche un exemple de demande d'authentification et de réponse SAML.

Voir le fichier sample _AuthnRequest_and_SAML_response.xmljoint .

Affichage de "Attribut InResponseTo non valide (Hg3Av..............FG) - les réponses non sollicitées ne peuvent pas avoir de InResponseTo." erreur

Trois raisons à de telles erreurs : 

  1. La réponse SAML du côté IdP utilise le même AuthnToken, relecture du SAML
  2. Dupliquer SAML POST à partir de la même page de connexion, par exemple deux POST avec la même réponse SAML.
  3. Configurez PingFederate côté IdP avec RelayState dans l'URL ACS et en utilisant SP-Initiation avec Coupa.

1 et 2 peuvent être détectés par tout utilisateur utilisant Firefox et le plug-in saml_tracer ou tout outil de suivi HTTP. 3 est valide du côté IdP en utilisant PingFederate, ils ne doivent pas définir RelayState pour la configuration SP-Init avec Coupa.

Recueillir trace SAML pour résoudre les problèmes liés SSO

Du point de vue du support, nous devons parfois recueillir des données relatives à l'échec de l'authentification SAML/SSO.

Pour cela, nous pouvons utiliser 2 outils basés sur un navigateur, ce qui est assez simple :

Firefox

Traceur SAML :https://addons.mozilla.org/en-us/firefox/addon/saml-tracer/

Une fois installé apparaîtra comme la capture d'écran suivante et doit être ouvert pendant la connexion SSO :

Les données que vous devez collecter se trouvent sous la forme d'un message POST*, sous l'onglet SAML :

Chrome

Traceur SAML :https://chrome.google.com/webstore/detail/saml-chrome-panel/paijfdbeoenhembfhkhllainmocckace?hl=en

Une fois installé, cela ajoutera un onglet sur votre outil de développement dans Chrome, et encore une fois, vous trouverez un POST* et vous devrez regarder l'onglet SAML :

 

*Les appels POST sont effectués vers :
https://devsso35.coupahost.com pour Sandox et pour l'environnement de développement
https://prdsso40.coupahost.com pour les instances de production

 

Une partie ou la totalité de cette page peut avoir été traduite par machine. Toutes nos excuses pour les inexactitudes.

Articles associés

API Coupa Core

Notre API RESTful fournit un accès fiable pour lire, modifier ou intégrer vos données à la plateforme Coupa.

En savoir plus

Démarrez avec l'API

Informations générales sur l'utilisation de l'API Coupa et quand vous devez envisager d'utiliser CSV.

En savoir plus

Transition vers OAuth 2.0 et OIDC

Coupa désapprouve les API Keys héritées et nécessite l'utilisation d'OAuth 2.0 / OIDC. À partir de R34, aucune nouvelle clé API ne sera émise et les clés API ne seront plus prises en charge avec R35.

En savoir plus

Ressources

Nous avons organisé nos points de terminaison API par type d'objet : données de référence, données transactionnelles et ressources partagées.

En savoir plus