Configuration de Coupa SAML SSO

Méthode

1. Importez le fichier de métadonnéesSP de phaseinitial (métadonnées XMLSP de production ) dans le serveur IdP de phase.

   • Si le fournisseur d'identité ne prend pas en charge l'échange de métadonnées, ouvrez le fichier xml pour extraire les informations.

   • La configuration préférée de Coupa est SP-Init-SSO. Coupa peut également configurer IdP-Init-SSO, IdP-Init-SSO nécessite que IdP envoie le paramètreRelayStateavec la demande SAML. Pour ce faire, ajoutez une chaîne de requête à AssertionConsumerService dans le fichier xml ..../sp/ACS.saml2?RelayState=https://<coupa-instance-domain-name>/sessions/saml_post. Vous pouvez modifier le code XML avant de créer la connexion.

   • Terminez la configuration de la connexion sur IdP.

2. Envoyez les informations suivantes à Coupa :

   • Métadonnées : exportation des métadonnées XML depuis IdP

     • Si le fournisseur d'identité ne prend pas en charge l'échange de métadonnées, fournissez l'ID d'entité (également appelé ID de connexion) et le certificat X509 pour vérifier la signature numérique dans la réponse SAML.

   • URL de connexion : page de connexion IdP de l'utilisateur. Requis pour l'authentification unique initiée par IdP. Consultez la FAQ pour plus de détails.

   • URL de déconnexion : la page Coupa s'affichera lorsque la déconnexion de l'utilisateur de l'application Coupa et sa session seront effacées. Il peut s'agir d'une page interne, d'une page d'accueil ou de toute page de destination hébergée par le client.

   • Utilisateur test : créez un utilisateur test sur IdP pour tester la connexion.

3. Coupa pour importer les métadonnées IdP et terminer la connexion du SP au fournisseur d'identité et informer le client.

4. Administrateur Coupa attribué pour permettre aux utilisateurs d'utiliser SAML.

   1. Modifier les paramètres utilisateur pour activer l'authentification SAML 

   2. Définissez "Single Sign-On ID", identique à NameID transmis dans la demande SAML à Coupa, vérifiez avec votre administrateur système comment NameID est configuré.

Activer SSO dans Coupa

1. Allez àhttps://<your_site>.coupahost.com/administration/security.

2. Cochez la case "Se connecter en utilisant SAML".
3. Supply the "Login Page URL" in the following format :
   • Pour la connexion initiée par SP :
     • Pour le test/la préparation : https://sso-stg1.coupahost.com/sp/startSSO.ping?PartnerIdpId= <stage_IdP_entityid>&TARGET=https://<your-test_site>.coupahost.com/sessions/saml_post
     • Pour la production : https://sso-prd1.coupahost.com/sp/startSSO.ping?PartnerIdpId= <prod_IdP_entityid>&TARGET=https://<your_site>.coupahost.com/sessions/saml_post
   • Connexion initiée par IdP :
     • Utiliser votre URL de connexion IdP
4. Indiquez l'URLde la page de déconnexion si vous souhaitez rediriger vos utilisateurs lors de la déconnexion de Coupa.
5. Indiquez l'URLde délai d'expiration ; elle doit être identique à l'URLde votre page de connexion .
6. Le certificat est une fonctionnalité héritée. Il ne propose aucune fonctionnalité supplémentaire et sera supprimé dans une version future. Cependant, il est toujours nécessaire. Veuillez utiliser ce certificat facticeserver.crt. SélectionnezDERcomme type de certificat dans la liste déroulante. L'application génère une erreur d'analyse, mais télécharge le certificat. Le certificat est alors accessible dans la liste déroulante.