L’authentification unique (via SAML2) est disponible uniquement avec OpenReplay Enterprise Edition.

Dans le tableau de bord de votre fournisseur d’identité, créez une nouvelle application nommée openreplay (vous pouvez utiliser cette icône). Sur la page de configuration, veillez à définir les valeurs suivantes (veillez à remplacer YOUR_DOMAIN:PORT par la valeur correcte, par exemple https://openreplay.mycompany.com:443 ; pour PORT, utilisez 443 si vous utilisez https, 8080 si vous utilisez http, ou utilisez votre numéro de port personnalisé) :

Dans la section ‘Attribute Statements’ ou ‘Parameters’, veillez à définir les champs suivants :

Vous devriez désormais disposer de toutes les valeurs requises pour l’étape/section suivante.

Pour activer le SSO, exécutez openreplay -e, puis décommentez et mettez à jour les variables d’environnement ci-dessous dans la section chalice :

Ensuite, enregistrez et quittez à l’aide de :wq pour que les modifications prennent effet :

Ceci est facultatif ; vous pouvez ajouter un certificat x509 pour une sécurité SSO supplémentaire :

1. exécutez cette commande sur votre serveur ou sur votre machine sécurisée (vous pouvez modifier la durée de validité de votre certificat selon vos besoins) :

openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout openreplay-sso.key -out openreplay-sso.crt

1. Sur votre serveur, exécutez openreplay -e
2. Dans la section chalice, ajoutez les variables d’environnement suivantes :

• sp_crt : doit être une chaîne sur une seule ligne, sans sauts de ligne, du fichier ‘openreplay-sso.crt’ généré (vous pouvez utiliser cet outil pour formater votre valeur)
• sp_key : doit être une chaîne sur une seule ligne, sans sauts de ligne, du fichier ‘openreplay-sso.key’ généré

1. Enregistrez et quittez à l’aide de :wq pour que les modifications prennent effet
2. Ajoutez le fichier ‘openreplay-sso.crt’ généré à la configuration de l’application de votre fournisseur d’identité

1. Connectez-vous à votre tableau de bord d’administration Okta et accédez à ‘Applications’ > ‘Applications’
2. Appuyez sur ‘Create new app integration’, puis sélectionnez SAML 2.0 et appuyez sur ‘Next’
3. Définissez le ‘App Name’ sur OpenReplay (vous pouvez téléverser cette icône) pour votre application), puis appuyez sur ‘Next’
4. Définissez :

• Single sign on URL sur YOUR_DOMAIN:PORT/api/sso/saml2/acs/
• Audience URI (SP Entity ID) sur YOUR_DOMAIN:PORT/api/sso/saml2/metadata/
• Name ID format sur EmailAddress

5. Définissez les champs ci-dessous dans ‘Attribute Statements’ :

• tenantKey : format Basic et définissez la valeur sur TENANT_KEY, que l’on trouve dans le tableau de bord OpenReplay sous ‘Preferences’ > ‘Account’
• firstName : format Basic et définissez la valeur sur user.firstName
• lastName : format Basic et définissez la valeur sur user.lastName
• internalId : format Basic et définissez la valeur sur user.email

6. Définissez le champ ci-dessous dans ‘Group Attribute Statements’ :

• role : format Basic, filtre Match Regex, valeur .* (ou vous pouvez spécifier un filtre et une expression régulière différents selon vos besoins)
• adminPrivileges : format Basic, filtre Match Regex, valeur admin (l’utilisateur actuel disposera des admin privileges s’il fait partie du groupe admin)

7. Appuyez sur Next, sélectionnez ‘I’m an Okta customer adding an internal app’ et ‘This is an internal app that we have created’, puis appuyez sur ‘Finish’
8. Dans l’onglet Sign On, faites défiler vers le bas et appuyez sur ‘View Setup Instructions’ pour voir votre configuration SAML2
9. Sur votre serveur, exécutez openreplay -e
10. Dans la section chalice, décommentez puis définissez les variables d’environnement suivantes :

• idp_entityId : Identity Provider Issuer
• idp_sso_url : Identity Provider Single Sign-On URL
• idp_x509cert : X.509 Certificate, doit être une chaîne sur une seule ligne, sans sauts de ligne (vous pouvez utiliser cet outil pour formater votre valeur)
• idp_name : Okta

12. Enfin, enregistrez et quittez à l’aide de :wq pour que les modifications prennent effet.

1. Connectez-vous à votre portail Azure et accédez à ‘Azure Active Directory’
2. Appuyez sur ’+ Add’, sélectionnez ‘Enterprise application’, puis cliquez sur ‘Create your own application’
3. Définissez le ‘App Name’ sur OpenReplay, puis sélectionnez ‘Integrate any other application you don’t find in the gallery (Non-gallery)’ et appuyez sur ‘Create’
4. Accédez à ‘Single sign-on’ dans le menu de gauche et définissez les valeurs ci-dessous dans le bloc ‘Basic SAML Configuration’ :

• Identifier (Entity ID) sur YOUR_DOMAIN:PORT/api/sso/saml2/metadata/
• Reply URL (Assertion Consumer Service URL) sur YOUR_DOMAIN:PORT/api/sso/saml2/acs/
• Logout URL sur YOUR_DOMAIN:PORT/api/sso/saml2/sls/

5. Ajoutez les revendications (claims) ci-dessous dans le bloc ‘Attribute & Claims’ et assurez-vous que le champ ‘Namespace’ reste vide pour chacune d’elles :

• tenantKey : définissez la valeur sur TENANT_KEY, que l’on trouve dans le tableau de bord OpenReplay sous ‘Preferences’ > ‘Account’
• firstName : définissez la valeur sur user.givenname
• lastName : définissez la valeur sur user.surname
• internalId : définissez la valeur sur user.mail

6. Accédez à ‘Users and groups’ et attribuez les utilisateurs que vous sélectionnez à l’application
7. Connectez-vous maintenant en SSH à votre installation OpenReplay et exécutez openreplay -e
8. Dans la section chalice, décommentez puis définissez les variables d’environnement suivantes (les valeurs se trouvent dans ‘Azure Active Directory’ > ‘OpenReplay’ > ‘Single sign-on’) :
   • idp_entityId : Azure AD Identifier
   • idp_sso_url : Login URL
   • idp_sls_url : Logout URL
   • idp_x509cert : X.509 Certificate, doit être une chaîne sur une seule ligne, sans sauts de ligne (vous pouvez utiliser cet outil pour formater votre valeur)
   • idp_name : Active Directory
9. Enfin, enregistrez et quittez à l’aide de :wq pour que les modifications prennent effet

1. Dans la console d’administration Google, accédez à ‘Directory’ > ‘Users’ > ‘More options’ > ‘Manage custom attributes’.
2. Cliquez sur ‘Add Custom Attribute’.
3. Définissez les champs suivants :

• Category : ‘OpenReplay’
• Custom fields :
• Name : ‘role’
• Info type : ‘Text’
• Visibility : ‘Visible to user and admin’
• No. of values : ‘Single-value’
• Custom fields :
• Name : ‘adminPrivileges’
• Info type : ‘Yes or No’
• Visibility : ‘Visible to user and admin’
• No. of values : ‘Single-value’

4. Cliquez sur ‘Add’
5. Pour ajouter des valeurs aux nouveaux attributs personnalisés, accédez à ‘Users’
6. Sélectionnez le ou les utilisateurs souhaités
7. Cliquez sur ‘User information’, puis modifiez la section ‘OpenReplay’
8. Modifiez la valeur de role sur le rôle souhaité dans ‘OpenReplay’ (le rôle doit correspondre à celui créé dans le tableau de bord OpenReplay sous ‘Preferences’ > ‘Roles’)
9. Modifiez la valeur de adminPrivileges sur ‘Yes’ si l’utilisateur est autorisé à disposer de privilèges d’administrateur dans OpenReplay
10. Cliquez sur ‘Save’

1. Connectez-vous à votre console d’administration Google et accédez à ‘Apps’
2. Appuyez sur ‘Web and mobile apps’, puis cliquez sur ‘Add app’ > ‘Add custom SAML app’
3. Définissez le ‘App name’ sur OpenReplay (vous pouvez téléverser cette icône pour ‘App icon”) puis appuyez sur ‘Continue’
4. Copiez ‘SSO URL’, ‘Entity ID’ et ‘Certificate’, puis cliquez sur ‘Continue’ (nous utiliserons ces valeurs à l’étape 11)
5. Définissez :

• ACS URL sur YOUR_DOMAIN:PORT/api/sso/saml2/acs/TENANT_KEY/ (TENANT_KEY se trouve dans le tableau de bord OpenReplay sous ‘Preferences’ > ‘Account’)
• Entity ID sur YOUR_DOMAIN:PORT/api/sso/saml2/metadata/
• Name ID format sur Email
• Name ID sur Basic information > Primary Email

6. Cliquez sur ‘Continue’, puis appuyez sur ‘Add Mapping’ pour ajouter les attributs ci-dessous :

• Basic information > First Name -> firstName
• Basic information > Last Name -> lastName
• Basic information > Primary Email -> internalId
• OpenReplay > role -> role
• OpenReplay > adminPrivileges -> adminPrivileges

7. Cliquez sur ‘Finish’
8. Dans la console d’administration Google, accédez à ‘Apps’ > ‘Web and mobile apps’ et sélectionnez ‘OpenReplay’
9. Cliquez sur ‘User access’, sélectionnez ‘ON for everyone’, puis appuyez sur ‘Save’
10. Sur votre serveur, exécutez openreplay -e
11. Dans la section chalice > env, décommentez et définissez les attributs suivants en utilisant les valeurs de l’étape 4 :

• idp_sso_url : collez la valeur de ‘SSO URL’
• idp_entityId : collez la valeur de ‘Entity ID’
• idp_x509cert : utilisez cet outil pour formater le certificat copié/téléchargé
• idp_name : définissez la valeur sur G-Suite
• idp_tenantKey : TENANT_KEY se trouve dans le tableau de bord OpenReplay sous ‘Preferences’ > ‘Account’

15. Enfin, enregistrez et quittez à l’aide de :wq pour que les modifications prennent effet.

1. Connectez-vous à votre tableau de bord d’administration JumpCloud et, dans le menu de gauche, accédez à ‘SSO’
2. Appuyez sur ’+ Add New Application’, puis sélectionnez ‘Custom SAML App’
3. Définissez le ‘Display Label’ sur OpenReplay (vous pouvez téléverser cette icône pour votre application), puis passez à l’onglet ‘SSO’
4. Définissez :

• IdP Entity ID sur openreplay/TENANT_KEY
• SP Entity ID sur YOUR_DOMAIN:PORT/api/sso/saml2/metadata/
• ACS URL sur YOUR_DOMAIN:PORT/api/sso/saml2/acs/
• SAMLSubject NameID sur email
• SAMLSubject NameID Format: sur urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
• Signature Algorithm sur RSA-SHA256
• Cochez Sign Assertion
• IDP URL doit se terminer par openreplay-TENANT_KEY (cette valeur ne peut pas être modifiée ultérieurement)

4. Si vous avez suivi les instructions du certificat OpenReplay, vous pouvez téléverser le fichier ‘openreplay-sso.crt’ généré en appuyant sur ‘Upload SP Certificate’ ; sinon, ignorez cette étape
5. Définissez les champs ci-dessous dans ‘USER ATTRIBUTE MAPPING’ en appuyant sur le bouton ‘add attribute’ :

• firstName : définissez la valeur sur firstname
• lastName : définissez la valeur sur lastname
• internalId : définissez la valeur sur email
• role : facultatif, le rôle de l’utilisateur dans OpenReplay ; s’il s’agit d’une valeur constante pour tous les utilisateurs, vous devriez le définir à l’étape suivante, sinon vous devez ajouter un nouvel attribut de type chaîne au groupe JumpCloud, l’appeler OpenReplayRole et définir sa valeur sur le nom du rôle, puis, dans la configuration SSO, sélectionner ‘Custom User or Group Attribute’ et définir la valeur sur OpenReplayRole.
• adminPrivileges : facultatif, s’il s’agit d’une valeur constante pour tous les utilisateurs, vous devriez le définir à l’étape suivante ; sinon vous devez ajouter un nouvel attribut booléen au groupe JumpCloud, l’appeler OpenReplayAdminPrivileges et définir sa valeur sur le nom du rôle, puis, dans la configuration SSO, sélectionner ‘Custom User or Group Attribute’ et définir la valeur sur OpenReplayAdminPrivileges.

6. Définissez les champs ci-dessous dans ‘CONSTANT ATTRIBUTES’ en appuyant sur le bouton ‘add attribute’ :

• tenantKey : définissez la valeur sur TENANT_KEY, que l’on trouve dans le tableau de bord OpenReplay sous ‘Preferences’ > ‘Account’
• role : facultatif, à ignorer s’il a été défini à l’étape précédente ; le rôle de l’utilisateur dans OpenReplay, doit correspondre au nom de rôle déjà défini dans OpenReplay (valeur par défaut = member)
• adminPrivileges : facultatif, à ignorer s’il a été défini à l’étape précédente ; définissez la valeur sur true si vous souhaitez accorder des privilèges d’administrateur aux nouveaux utilisateurs, false sinon (valeur par défaut = false)

7. À ce stade, vous pouvez passer à l’onglet ‘User Groups’ et sélectionner le groupe d’utilisateurs qui aura accès à OpenReplay, ou vous pouvez le faire plus tard
8. Appuyez sur ‘activate’ et ‘continue’ dans la fenêtre contextuelle de confirmation
9. Appuyez sur l’icône de la nouvelle application OpenReplay, puis, dans le menu déroulant de gauche ‘IDP Certificate Valid’, choisissez ‘Download certificate’
10. Sur votre serveur, exécutez openreplay -e
11. Dans la section chalice, décommentez puis définissez les variables d’environnement suivantes :

• idp_entityId : openreplay/TENANT_KEY
• idp_sso_url : https://sso.jumpcloud.com/saml2/openreplay-TENANT_KEY
• idp_x509cert : le certificat téléchargé, doit être une chaîne sur une seule ligne, sans sauts de ligne (vous pouvez utiliser cet outil pour formater votre valeur)
• idp_name : JumpCloud

12. Enfin, enregistrez et quittez à l’aide de :wq pour que les modifications prennent effet.

C’est très courant et cela est dû à l’absence de l’en-tête ‘X-Forwarded-Proto’ dans la requête. Pour résoudre ce problème, assurez-vous que l’équilibreur de charge transmet correctement l’en-tête au backend OpenReplay.