L’authentification unique (via SAML2) est disponible uniquement dans OpenReplay Enterprise Edition.

Dans le tableau de bord de votre fournisseur d’identité, créez une nouvelle application appelée openreplay (vous pouvez utiliser cette icône). Sur la page de configuration, veillez à définir les valeurs suivantes (assurez-vous de remplacer YOUR_DOMAIN par la valeur correcte, par exemple https://openreplay.mycompany.com) :

Dans la section ‘Attribute Statements’ ou ‘Parameters’, veillez à définir les champs suivants :

Vous devriez maintenant disposer de toutes les valeurs requises pour l’étape/section suivante.

Si vous utilisez notre offre Cloud dedicated, accédez à la Console, puis cliquez sur l’instance et définissez les variables dans la section SSO.

Sinon, si vous exécutez notre Enterprise Edition, exécutez openreplay -e, décommentez puis mettez à jour les variables d’environnement ci-dessous dans la section chalice :

Ensuite, enregistrez et quittez à l’aide de :wq pour que les modifications prennent effet :

Ceci est facultatif, vous pouvez ajouter un certificat x509 pour une sécurité SSO supplémentaire :

1. exécutez cette commande sur votre serveur ou sur votre machine sécurisée (vous pouvez modifier la durée de validité de votre certificat selon vos besoins) :

openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout openreplay-sso.key -out openreplay-sso.crt

2. Sur votre serveur, exécutez openreplay -e
3. Dans la section chalice, ajoutez les variables d’environnement suivantes :

• sp_crt : doit être une chaîne sur une seule ligne, sans sauts de ligne, du fichier ‘openreplay-sso.crt’ généré (vous pouvez utiliser cet outil pour formater votre valeur)
• sp_key : doit être une chaîne sur une seule ligne, sans sauts de ligne, du fichier ‘openreplay-sso.key’ généré

4. Enregistrez et quittez à l’aide de :wq pour que les modifications prennent effet
5. Ajoutez le fichier ‘openreplay-sso.crt’ généré à la configuration de l’application de votre fournisseur d’identité

1. Connectez-vous à votre tableau de bord d’administration Okta et accédez à ‘Applications’ > ‘Applications’
2. Appuyez sur ‘Create new app integration’, puis sélectionnez SAML 2.0 et appuyez sur ‘Next’
3. Définissez le ‘App Name’ sur OpenReplay (vous pouvez téléverser cette icône) pour votre application) puis appuyez sur ‘Next’
4. Définissez :

• Single sign on URL sur YOUR_DOMAIN/api/sso/saml2/acs/
• Audience URI (SP Entity ID) sur YOUR_DOMAIN/api/sso/saml2/metadata/
• Name ID format sur EmailAddress

5. Appuyez sur Next, sélectionnez ‘This is an internal app that we have created’ puis appuyez sur ‘Finish’
6. Dans l’onglet Sign On, faites défiler vers le bas et appuyez sur ‘Show legacy configuration’ puis sur ‘Edit’
7. Définissez les champs ci-dessous dans ‘Profile Attribute Statements’ :

• tenantKey : format Basic et définissez la valeur sur TENANT_KEY, qui se trouve dans le dashboard OpenReplay sous ‘Preferences’ > ‘Account’ (cet attribut ne doit pas être ajouté si vous utilisez notre offre Cloud Dedicated)
• firstName : format Basic et définissez la valeur sur user.firstName
• lastName : format Basic et définissez la valeur sur user.lastName
• internalId : format Basic et définissez la valeur sur user.email

8. Définissez le champ ci-dessous dans ‘Group Attribute Statement’ (ceci est facultatif) :

• groups : format Basic, filtre Match Regex, valeur OpenReplay-* (ou vous pouvez spécifier un filtre et une expression régulière différents selon vos besoins)

9. Appuyez sur ‘save’ et faites défiler vers le haut à droite et appuyez sur ‘View Setup Instructions’ pour voir votre configuration SAML2

Si vous utilisez notre offre Cloud dedicated, accédez à la Console, puis cliquez sur l’instance et définissez les variables dans la section SSO.

Sinon, si vous exécutez notre Enterprise Edition :

9. Connectez-vous en SSH à votre installation OpenReplay et exécutez openreplay -e
10. Dans la section chalice, décommentez puis définissez les variables d’environnement suivantes :

• idp_entityId : Identity Provider Issuer
• idp_sso_url : Identity Provider Single Sign-On URL
• idp_x509cert : certificat X.509, doit être une chaîne sur une seule ligne, sans sauts de ligne (vous pouvez utiliser cet outil pour formater votre valeur)
• idp_name : Okta

11. Enfin, enregistrez et quittez à l’aide de :wq pour que les modifications prennent effet

1. Connectez-vous à votre portail Azure et accédez à ‘Azure Active Directory’
2. Appuyez sur ’+ Add’, sélectionnez ‘Enterprise application’ puis cliquez sur ‘Create your own application’
3. Définissez le ‘App Name’ sur OpenReplay, puis sélectionnez ‘Integrate any other application you don’t find in the gallery (Non-gallery)’ et appuyez sur ‘Create’
4. Accédez à ‘Single sign-on’ dans le menu de gauche et définissez les valeurs ci-dessous dans le bloc ‘Basic SAML Configuration’ :

• Identifier (Entity ID) sur YOUR_DOMAIN/api/sso/saml2/metadata/
• Reply URL (Assertion Consumer Service URL) sur YOUR_DOMAIN/api/sso/saml2/acs/
• Logout URL sur YOUR_DOMAIN/api/sso/saml2/sls/

5. Ajoutez les revendications (claims) ci-dessous dans le bloc ‘Attribute & Claims’ et veillez à laisser le champ ‘Namespace’ vide pour chacune d’elles :

• tenantKey : définissez la valeur sur TENANT_KEY, qui se trouve dans le dashboard OpenReplay sous ‘Preferences’ > ‘Account’ (cet attribut/claim ne doit pas être ajouté si vous utilisez notre offre Cloud Dedicated)
• firstName : définissez la valeur sur user.givenname
• lastName : définissez la valeur sur user.surname
• internalId : définissez la valeur sur user.mail

6. Accédez à ‘Users and groups’ et affectez les utilisateurs que vous sélectionnez à l’application

Si vous utilisez notre offre Cloud dedicated, accédez à la Console, puis cliquez sur l’instance et définissez les variables dans la section SSO (les valeurs se trouvent dans ‘Azure Active Directory’ > ‘OpenReplay’ > ‘Single sign-on’).

Sinon, si vous exécutez notre Enterprise Edition :

7. Connectez-vous en SSH à votre installation OpenReplay et exécutez openreplay -e
8. Dans la section chalice, décommentez puis définissez les variables d’environnement suivantes (les valeurs se trouvent dans ‘Azure Active Directory’ > ‘OpenReplay’ > ‘Single sign-on’) :

• idp_entityId : Azure AD Identifier
• idp_sso_url : Login URL
• idp_sls_url : Logout URL
• idp_x509cert : certificat X.509, doit être une chaîne sur une seule ligne, sans sauts de ligne (vous pouvez utiliser cet outil pour formater votre valeur)
• idp_name : Active Directory

9. Enfin, enregistrez et quittez à l’aide de :wq pour que les modifications prennent effet

1. Dans la console d’administration Google, accédez à ‘Directory’ > ‘Users’ > ‘More options’ > ‘Manage custom attributes’.
2. Cliquez sur ‘Add Custom Attribute’.
3. Définissez les champs suivants :

• Category : ‘OpenReplay’
• Custom fields :
• Name : ‘role’
• Info type : ‘Text’
• Visibility : ‘Visible to user and admin’
• No. of values : ‘Single-value’
• Custom fields :
• Name : ‘adminPrivileges’
• Info type : ‘Yes or No’
• Visibility : ‘Visible to user and admin’
• No. of values : ‘Single-value’

4. Cliquez sur ‘Add’
5. Pour ajouter des valeurs aux nouveaux attributs personnalisés, accédez à ‘Users’
6. Sélectionnez le ou les utilisateurs souhaités
7. Cliquez sur ‘User information’ puis modifiez la section ‘OpenReplay’
8. Modifiez la valeur de role pour le rôle souhaité dans ‘OpenReplay’ (le rôle doit correspondre à celui créé dans le dashboard OpenReplay sous ‘Preferences’ > ‘Roles’)
9. Modifiez la valeur de adminPrivileges sur ‘Yes’ si l’utilisateur est autorisé à disposer de privilèges d’administrateur dans OpenReplay
10. Cliquez sur ‘Save’

1. Connectez-vous à votre console d’administration Google et accédez à ‘Apps’
2. Appuyez sur ‘Web and mobile apps’ puis cliquez sur ‘Add app’ > ‘Add custom SAML app’
3. Définissez le ‘App name’ sur OpenReplay (vous pouvez téléverser cette icône pour ‘App icon”) puis appuyez sur ‘Continue’
4. Copiez ‘SSO URL’, ‘Entity ID’ et ‘Certificate’ puis cliquez sur ‘Continue’ (nous utiliserons ces valeurs à l’étape 11)
5. Définissez :

• ACS URL sur YOUR_DOMAIN/api/sso/saml2/acs/TENANT_KEY/ (TENANT_KEY se trouve dans le dashboard OpenReplay sous ‘Preferences’ > ‘Account’, mais si vous utilisez notre offre Cloud Dedicated, laissez la valeur de tenantKey vide)
• Entity ID sur YOUR_DOMAIN/api/sso/saml2/metadata/
• Name ID format sur Email
• Name ID sur Basic information > Primary Email

6. Cliquez sur ‘Continue’ puis appuyez sur ‘Add Mapping’ pour ajouter les attributs ci-dessous :

• Basic information > First Name -> firstName
• Basic information > Last Name -> lastName
• Basic information > Primary Email -> internalId
• OpenReplay > groups -> groups

7. Cliquez sur ‘Finish’
8. Dans la console d’administration Google, accédez à ‘Apps’ > ‘Web and mobile apps’ et sélectionnez ‘OpenReplay’
9. Cliquez sur ‘User access’, sélectionnez ‘ON for everyone’ puis appuyez sur ‘Save’

Si vous utilisez notre offre Cloud dedicated, accédez à la Console, puis cliquez sur l’instance et définissez les variables dans la section SSO.

Sinon, si vous exécutez notre Enterprise Edition :

10. Connectez-vous en SSH à votre installation OpenReplay et exécutez openreplay -e
11. Dans la section chalice > env, décommentez et définissez les attributs suivants à l’aide des valeurs de l’étape 4 :

• idp_sso_url : collez la valeur de ‘SSO URL’
• idp_entityId : collez la valeur de ‘Entity ID’
• idp_x509cert : utilisez cet outil pour formater le certificat copié/téléchargé
• idp_name : définissez la valeur sur G-Suite
• idp_tenantKey : TENANT_KEY qui se trouve dans le dashboard OpenReplay sous ‘Preferences’ > ‘Account’

12. Enfin, enregistrez et quittez à l’aide de :wq pour que les modifications prennent effet

1. Connectez-vous à votre tableau de bord d’administration JumpCloud et, dans le menu de gauche, accédez à ‘SSO’
2. Appuyez sur ’+ Add New Application’, puis sélectionnez ‘Custom SAML App’
3. Définissez le ‘Display Label’ sur OpenReplay (vous pouvez téléverser cette icône pour votre application) puis accédez à l’onglet ‘SSO’
4. Définissez :

• IdP Entity ID sur openreplay/TENANT_KEY (TENANT_KEY se trouve dans le dashboard OpenReplay sous ‘Preferences’ > ‘Account’, mais si vous utilisez notre offre Cloud Dedicated, laissez la valeur de tenantKey vide)
• SP Entity ID sur YOUR_DOMAIN/api/sso/saml2/metadata/
• ACS URL sur YOUR_DOMAIN/api/sso/saml2/acs/
• SAMLSubject NameID sur email
• SAMLSubject NameID Format: sur urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
• Signature Algorithm sur RSA-SHA256
• Cochez Sign Assertion
• IDP URL afin qu’elle se termine par openreplay-TENANT_KEY (cette valeur ne peut pas être modifiée ultérieurement ; si vous utilisez notre offre Cloud Dedicated, laissez la partie tenantKey vide)

5. Si vous avez suivi les instructions du Certificat OpenReplay, vous pouvez téléverser le fichier ‘openreplay-sso.crt’ généré en appuyant sur ‘Upload SP Certificate’ ; sinon, ignorez cette étape
6. Définissez les champs ci-dessous dans ‘USER ATTRIBUTE MAPPING’ en appuyant sur le bouton ‘add attribute’ :

• firstName : définissez la valeur sur firstname
• lastName : définissez la valeur sur lastname
• internalId : définissez la valeur sur email
• groups : facultatif, le rôle et le privilège d’administrateur de l’utilisateur dans OpenReplay ; s’il s’agit d’une valeur constante pour tous les utilisateurs, vous devez le définir à l’étape suivante ; sinon, vous devez ajouter un nouvel attribut de type string au groupe JumpCloud, l’appeler OpenReplay-groups et définir la valeur sur le nom du rôle, puis, dans la configuration SSO, sélectionner ‘Custom User or Group Attribute’ et définir la valeur sur OpenReplay-groups.

7. Définissez les champs ci-dessous dans ‘CONSTANT ATTRIBUTES’ en appuyant sur le bouton ‘add attribute’ :

• tenantKey : définissez la valeur sur TENANT_KEY, qui se trouve dans le dashboard OpenReplay sous ‘Preferences’ > ‘Account’ (cet attribut ne doit pas être ajouté si vous utilisez notre offre Cloud Dedicated)
• groups : facultatif, ignorez-le si vous l’avez défini à l’étape précédente ; le rôle et le privilège d’administrateur de l’utilisateur dans OpenReplay doivent correspondre au nom de rôle déjà défini dans OpenReplay (valeur par défaut = member sans privilège d’administrateur)

8. À ce stade, vous pouvez accéder à l’onglet ‘User Groups’ et sélectionner le groupe d’utilisateurs qui aura accès à OpenReplay, ou vous pouvez le faire plus tard
9. Appuyez sur ‘activate’ et ‘continue’ dans la fenêtre contextuelle de confirmation
10. Appuyez sur l’icône de la nouvelle application OpenReplay, puis dans le menu déroulant de gauche ‘IDP Certificate Valid’, choisissez ‘Download certificate’

Si vous utilisez notre offre Cloud dedicated, accédez à la Console, puis cliquez sur l’instance et définissez les variables dans la section SSO.

Sinon, si vous exécutez notre Enterprise Edition :

11. Connectez-vous en SSH à votre installation OpenReplay et exécutez openreplay -e
12. Dans la section chalice, décommentez puis définissez les variables d’environnement suivantes :

• idp_entityId : openreplay/TENANT_KEY
• idp_sso_url : https://sso.jumpcloud.com/saml2/openreplay-TENANT_KEY
• idp_x509cert : le certificat téléchargé, doit être une chaîne sur une seule ligne, sans sauts de ligne (vous pouvez utiliser cet outil pour formater votre valeur)
• idp_name : JumpCloud

13. Enfin, enregistrez et quittez à l’aide de :wq pour que les modifications prennent effet

Openreplay prend en charge l’option de provisionner des identités d’utilisateurs dans l’Enterprise Edition.

Pour vous intégrer au service SCIM d’Openreplay, activez simplement le provisionnement SCIM dans le tableau de bord de votre fournisseur d’identité. Veillez à définir les valeurs suivantes pour une intégration sans accroc :

Après avoir défini ces valeurs, suivez les invites du tableau de bord de votre fournisseur d’identité afin de tester l’intégration et d’autoriser l’application.

Ensuite, vous pourrez provisionner des identités d’utilisateurs en utilisant Openreplay comme fournisseur de services SCIM.

Remarque : Bien qu’Openreplay agisse en tant que fournisseur de services SCIM, il ne prend pas en charge la répartition des utilisateurs dans plusieurs groupes (c’est-à-dire que chaque utilisateur ne peut appartenir qu’à un seul groupe). Si cela n’est pas respecté, un utilisateur pourrait être affecté à moins ou à plus de projets que prévu et pourrait disposer de moins ou de plus de permissions dans l’application d’Openreplay.

Dans votre application SAML 2.0, procédez comme suit

1. Cliquez sur l’onglet General
2. Dans la section App Settings, cliquez sur Edit
3. Dans le champ Provisioning, sélectionnez SCIM, puis cliquez sur Save

1. Cliquez sur l’onglet Provisioning. Les paramètres de connexion SCIM apparaissent sous Settings > Integration.
2. Dans Settings > Integration, cliquez sur Edit.
3. Spécifiez le SCIM connector base URL et le nom du champ de l’identifiant unique de vos utilisateurs mentionné ci-dessus.
4. Sous Supported provisioning actions, choisissez les actions de provisionnement mentionnées ci-dessus.
5. Définissez le menu déroulant Authentication Mode sur la valeur mentionnée ci-dessus.
6. Définissez le Access token endpoint, l’Authorization endpoint, le Client id et le Client secret comme mentionné ci-dessus.
7. Cliquez sur Save.
8. Cliquez sur Authenticate application.
9. Dans l’onglet Provisioning, cliquez sur To App.
10. Cliquez sur Edit, activez Create Users, Update User Attributes, Deactivate Users et enregistrez les modifications (assurez-vous que ces options sont bien sélectionnées après avoir appuyé sur enregistrer ; sinon, actualisez la page et recommencez cette étape).

• Avant de commencer l’étape suivante, nous recommandons de créer de nouveaux groupes dans Okta, appelés OpenReplay-admin où vous listez les utilisateurs disposant du privilège d’administrateur dans OpenReplay, et OpenReplay-members où vous listez les utilisateurs ayant le rôle member dans OpenReplay, …

11. Accédez à l’onglet Push Groups, cliquez sur + Push Groups (par nom ou par règle), sélectionnez le groupe que vous souhaitez envoyer à OpenReplay, puis appuyez sur save

• À ce stade, les groupes envoyés représentent les rôles et le privilège d’administrateur dans OpenReplay, et ils ne comportent pas la liste des utilisateurs provisionnés pour OpenReplay.

12. Accédez à l’onglet Assignmets et ajoutez des utilisateurs de la manière qui vous convient (en utilisant des personnes ou des groupes)

Ceci est très courant et est dû à l’absence de l’en-tête ‘X-Forwarded-Proto’ dans la requête. Pour résoudre ce problème, assurez-vous que l’équilibreur de charge transmet correctement l’en-tête au backend OpenReplay, et exécutez openreplay -e ; dans la section ingress-nginx > config, décommentez la ligne use-forwarded-headers: true.