Configuration SSO Coupa SAML

Méthode

1. Importer le fichier de métadonnées SP de stade initial (métadonnées SP de production xml) dans le serveur IdP de stade.

   • Si l'IdP ne prend pas en charge l'échange de métadonnées, veuillez ouvrir le fichier xml pour extraire les informations.

   • La configuration préférée de Coupa est SP-Init-SSO. Coupa peut également configurer IdP-Init-SSO, IdP-Init-SSO nécessite que IdP envoie le paramètre  RelayState avec la demande SAML. Une façon de faire est d'ajouter une QueryString à AssertionConsumerService dans le fichier xml ..../sp/ACS.saml2?RelayState=https ://<coupa-instance-domain-name>/sessions/saml_post. Vous pouvez modifier le xml avant de créer une connexion.

   • Terminez la configuration de la connexion à IdP.

2. Envoyer les informations suivantes à Coupa :

   • Méta-données : L'exportation des métadonnées xml à partir de l'IdP

     • Si l'IdP ne prend pas en charge l'échange de métadonnées, veuillez fournir l'ID de l'entité (alias ID de connexion) et le certificat X509 pour vérifier la signature numérique dans la réponse SAML.

   • URL de connexion : La page de connexion IdP pour l'utilisateur. Requis pour l'authentification unique initiée par IdP. Lisez la FAQ pour en savoir plus.

   • URL de déconnexion : La page Coupa s'affiche lorsque l'utilisateur se déconnecte de l'application Coupa et que sa session est effacée. Il peut s'agir d'une page interne, d'une page d'accueil ou de toute page de destination hébergée par le client.

   • Utilisateur test : Créez un utilisateur de test sur IdP pour tester la connexion.

3. Coupa pour importer les métadonnées IdP et terminer la connexion du SP à l'IdP et informer le client.

4. L'administrateur Coupa affecté pour permettre aux utilisateurs d'utiliser SAML.

   1. Modifier les paramètres utilisateur pour activer l'authentification SAML 

   2. Définissez "Single Sign-On ID", c'est le même que NameID transmis dans la requête SAML à Coupa, veuillez vérifier avec votre administrateur système comment le NameID est provisionné.

Configurer SSO dans Coupa

1. Rendez-vous sur https ://<your_site>.coupahost.com/administration/security.

2. Cochez la case « Se connecter à l'aide de SAML ».
3. Fournir l '« URL de la page de connexion » au format suivant :
   • Pour la connexion initiée par le SP :
     • Pour le test/la mise en scène : <stage_IdP_entityid>https://sso-stg1.coupahost.com/sp/startSSO.ping?PartnerIdpId = &TARGET=https ://<your-test_site>.coupahost.com/sessions/saml_post
     • Pour la production :https://sso-prd1.coupahost.com/sp/startSSO.ping?PartnerIdpId = <prod_IdP_entityid>&TARGET=https ://<your_site>.coupahost.com/sessions/saml_post
   • Pour la connexion initiée par IdP :
     • Utiliser l'URL de connexion de votre IdP
4. Indiquez l'URL de la page de déconnexion si vous souhaitez rediriger vos utilisateurs lorsque vous vous déconnectez de Coupa.
5. Fournissez l'URL de délai d'expiration ; elle doit être identique à l'URL de votre page de connexion.
6. Le certificat est une fonction héritée. Il n'offre aucune fonctionnalité supplémentaire et sera supprimé dans une version ultérieure. Cependant, il est toujours nécessaire. Veuillez utiliser ce serveur de certs factice.crt. Sélectionner DER comme type de cert dans la liste déroulante. L'application générera une erreur d'analyse, mais téléchargera en fait le certificat. Le certificat est alors accessible dans la liste déroulante.