L’authentification unique (via SAML2) n’est disponible que sur OpenReplay Enterprise Edition et les instances Dedicated.

Dans le tableau de bord de votre fournisseur d’identité, créez une nouvelle application nommée openreplay (vous pouvez utiliser cette icône). Sur la page de configuration, veillez à définir les valeurs suivantes (assurez-vous de remplacer YOUR_DOMAIN par la valeur correcte, par exemple https://openreplay.mycompany.com) :

Dans la section ‘Attribute Statements’ ou ‘Parameters’, veillez à définir les champs suivants :

Vous devriez désormais disposer de toutes les valeurs requises pour l’étape/section suivante.

Pour activer le SSO, exécutez openreplay -e, décommentez puis mettez à jour les variables d’environnement ci-dessous dans la section chalice :

Ensuite, enregistrez et quittez en utilisant :wq pour que les modifications prennent effet :

Ceci est facultatif ; vous pouvez ajouter un certificat x509 pour renforcer la sécurité du SSO :

1. exécutez cette commande sur votre serveur ou votre machine sécurisée (vous pouvez modifier la durée de validité de votre certificat selon vos besoins) :

openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout openreplay-sso.key -out openreplay-sso.crt

1. Sur votre serveur, exécutez openreplay -e
2. Dans la section chalice, ajoutez les variables d’environnement suivantes :

• sp_crt : doit être une chaîne sur une seule ligne, sans sauts de ligne, du fichier ‘openreplay-sso.crt’ généré (vous pouvez utiliser cet outil pour formater votre valeur)
• sp_key : doit être une chaîne sur une seule ligne, sans sauts de ligne, du fichier ‘openreplay-sso.key’ généré

1. Enregistrez et quittez en utilisant :wq pour que les modifications prennent effet
2. Ajoutez le fichier ‘openreplay-sso.crt’ généré à la configuration de l’application de votre fournisseur d’identité

1. Connectez-vous à votre tableau de bord d’administration Okta et accédez à ‘Applications’ > ‘Applications’
2. Cliquez sur ‘Create new app integration’, puis sélectionnez SAML 2.0 et cliquez sur ‘Next’
3. Définissez le ‘App Name’ sur OpenReplay (vous pouvez téléverser cette icône) pour votre application) puis cliquez sur ‘Next’
4. Définissez :

• Single sign on URL sur YOUR_DOMAIN/api/sso/saml2/acs/
• Audience URI (SP Entity ID) sur YOUR_DOMAIN/api/sso/saml2/metadata/
• Name ID format sur EmailAddress

5. Définissez les champs ci-dessous dans ‘Attribute Statements’ :

• tenantKey : format Basic et définissez la valeur sur TENANT_KEY, que vous trouverez dans le tableau de bord OpenReplay sous ‘Preferences’ > ‘Account’ (Remarque : il doit être ignoré/laissé vide si vous utilisez une instance dedicated/cloud).
• firstName : format Basic et définissez la valeur sur user.firstName
• lastName : format Basic et définissez la valeur sur user.lastName
• internalId : format Basic et définissez la valeur sur user.email

6. Définissez le champ ci-dessous dans ‘Group Attribute Statements’ :

• role : format Basic, filtre Match Regex, valeur .* (ou vous pouvez spécifier un filtre et une expression régulière différents selon vos besoins)
• adminPrivileges : format Basic, filtre Match Regex, valeur admin (l’utilisateur actuel disposera des admin privileges s’il fait partie du groupe admin)

7. Cliquez sur Next, sélectionnez ‘I’m an Okta customer adding an internal app’ et ‘This is an internal app that we have created’, puis cliquez sur ‘Finish’
8. Dans l’onglet Sign On, faites défiler vers le bas et cliquez sur ‘View Setup Instructions’ pour voir votre configuration SAML2
9. Sur votre serveur, exécutez openreplay -e
10. Dans la section chalice, décommentez puis définissez les variables d’environnement suivantes :

• idp_entityId : Identity Provider Issuer
• idp_sso_url : Identity Provider Single Sign-On URL
• idp_x509cert : X.509 Certificate, doit être une chaîne sur une seule ligne, sans sauts de ligne (vous pouvez utiliser cet outil pour formater votre valeur)
• idp_name : Okta

12. Enfin, enregistrez et quittez en utilisant :wq pour que les modifications prennent effet.

1. Connectez-vous à votre portail Azure et accédez à ‘Azure Active Directory’
2. Cliquez sur ’+ Add’, sélectionnez ‘Enterprise application’ puis cliquez sur ‘Create your own application’
3. Définissez le ‘App Name’ sur OpenReplay, puis sélectionnez ‘Integrate any other application you don’t find in the gallery (Non-gallery)’ et cliquez sur ‘Create’
4. Accédez à ‘Single sign-on’ dans le menu de gauche et définissez les valeurs ci-dessous dans le bloc ‘Basic SAML Configuration’ :

• Identifier (Entity ID) sur YOUR_DOMAIN/api/sso/saml2/metadata/
• Reply URL (Assertion Consumer Service URL) sur YOUR_DOMAIN/api/sso/saml2/acs/
• Logout URL sur YOUR_DOMAIN/api/sso/saml2/sls/

5. Ajoutez les claims ci-dessous dans le bloc ‘Attribute & Claims’ et assurez-vous que le champ ‘Namespace’ reste vide pour chacun d’eux :

• tenantKey : définissez la valeur sur TENANT_KEY, que vous trouverez dans le tableau de bord OpenReplay sous ‘Preferences’ > ‘Account’ (Remarque : il doit être ignoré/laissé vide si vous utilisez une instance dedicated/cloud).
• firstName : définissez la valeur sur user.givenname
• lastName : définissez la valeur sur user.surname
• internalId : définissez la valeur sur user.mail

6. Accédez à ‘Users and groups’ et attribuez à l’application les utilisateurs que vous sélectionnez
7. Connectez-vous maintenant en SSH à votre installation OpenReplay et exécutez openreplay -e
8. Dans la section chalice, décommentez puis définissez les variables d’environnement suivantes (les valeurs se trouvent dans ‘Azure Active Directory’ > ‘OpenReplay’ > ‘Single sign-on’) :
   • idp_entityId : Azure AD Identifier
   • idp_sso_url : Login URL
   • idp_sls_url : Logout URL
   • idp_x509cert : X.509 Certificate, doit être une chaîne sur une seule ligne, sans sauts de ligne (vous pouvez utiliser cet outil pour formater votre valeur)
   • idp_name : Active Directory
9. Enfin, enregistrez et quittez en utilisant :wq pour que les modifications prennent effet

1. Dans la console d’administration Google, accédez à ‘Directory’ > ‘Users’ > ‘More options’ > ‘Manage custom attributes’.
2. Cliquez sur ‘Add Custom Attribute’.
3. Définissez les champs suivants :

• Category : ‘OpenReplay’
• Custom fields :
• Name : ‘role’
• Info type : ‘Text’
• Visibility : ‘Visible to user and admin’
• No. of values : ‘Single-value’
• Custom fields :
• Name : ‘adminPrivileges’
• Info type : ‘Yes or No’
• Visibility : ‘Visible to user and admin’
• No. of values : ‘Single-value’

4. Cliquez sur ‘Add’
5. Pour ajouter des valeurs aux nouveaux attributs personnalisés, accédez à ‘Users’
6. Sélectionnez le ou les utilisateurs souhaités
7. Cliquez sur ‘User information’ puis modifiez la section ‘OpenReplay’
8. Modifiez la valeur de role sur le rôle souhaité dans ‘OpenReplay’ (le rôle doit correspondre à celui créé dans le tableau de bord OpenReplay sous ‘Preferences’ > ‘Roles’)
9. Modifiez la valeur de adminPrivileges sur ‘Yes’ si l’utilisateur est autorisé à disposer de privilèges d’administrateur dans OpenReplay
10. Cliquez sur ‘Save’

1. Connectez-vous à votre console d’administration Google et accédez à ‘Apps’
2. Cliquez sur ‘Web and mobile apps’ puis sur ‘Add app’ > ‘Add custom SAML app’
3. Définissez le ‘App name’ sur OpenReplay (vous pouvez téléverser cette icône pour ‘App icon”) puis cliquez sur ‘Continue’
4. Copiez ‘SSO URL’, ‘Entity ID’ et ‘Certificate’ puis cliquez sur ‘Continue’ (nous utiliserons ces valeurs à l’étape 11)
5. Définissez :

• ACS URL sur YOUR_DOMAIN/api/sso/saml2/acs/TENANT_KEY/ (TENANT_KEY se trouve dans le tableau de bord OpenReplay sous ‘Preferences’ > ‘Account’. Remarque : il doit être ignoré/laissé vide si vous utilisez une instance dedicated/cloud.)
• Entity ID sur YOUR_DOMAIN/api/sso/saml2/metadata/
• Name ID format sur Email
• Name ID sur Basic information > Primary Email

6. Cliquez sur ‘Continue’ puis sur ‘Add Mapping’ pour ajouter les attributs ci-dessous :

• Basic information > First Name -> firstName
• Basic information > Last Name -> lastName
• Basic information > Primary Email -> internalId
• OpenReplay > role -> role
• OpenReplay > adminPrivileges -> adminPrivileges

7. Cliquez sur ‘Finish’
8. Dans la console d’administration Google, accédez à ‘Apps’ > ‘Web and mobile apps’ et sélectionnez ‘OpenReplay’
9. Cliquez sur ‘User access’, sélectionnez ‘ON for everyone’ puis cliquez sur ‘Save’
10. Sur votre serveur, exécutez openreplay -e
11. Dans la section chalice > env, décommentez et définissez les attributs suivants à l’aide des valeurs de l’étape 4 :

• idp_sso_url : collez la valeur de ‘SSO URL’
• idp_entityId : collez la valeur de ‘Entity ID’
• idp_x509cert : utilisez cet outil pour formater le certificat copié/téléchargé
• idp_name : définissez la valeur sur G-Suite
• idp_tenantKey : TENANT_KEY se trouve dans le tableau de bord OpenReplay sous ‘Preferences’ > ‘Account’ (Remarque : il doit être ignoré/laissé vide si vous utilisez une instance dedicated/cloud).

15. Enfin, enregistrez et quittez en utilisant :wq pour que les modifications prennent effet.

1. Connectez-vous à votre tableau de bord d’administration JumpCloud et, dans le menu de gauche, accédez à ‘SSO’
2. Cliquez sur ’+ Add New Application’, puis sélectionnez ‘Custom SAML App’
3. Définissez le ‘Display Label’ sur OpenReplay (vous pouvez téléverser cette icône pour votre application) puis passez à l’onglet ‘SSO’
4. Définissez :

• IdP Entity ID sur openreplay/TENANT_KEY
• SP Entity ID sur YOUR_DOMAIN/api/sso/saml2/metadata/
• ACS URL sur YOUR_DOMAIN/api/sso/saml2/acs/
• SAMLSubject NameID sur email
• SAMLSubject NameID Format: sur urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
• Signature Algorithm sur RSA-SHA256
• Cochez Sign Assertion
• IDP URL doit se terminer par openreplay-TENANT_KEY (cette valeur ne pourra pas être modifiée par la suite)

4. Si vous avez suivi les instructions de OpenReplay-Certificate, vous pouvez téléverser le fichier ‘openreplay-sso.crt’ généré en cliquant sur ‘Upload SP Certificate’ ; sinon, ignorez cette étape
5. Définissez les champs ci-dessous dans ‘USER ATTRIBUTE MAPPING’ en cliquant sur le bouton ‘add attribute’ :

• firstName : définissez la valeur sur firstname
• lastName : définissez la valeur sur lastname
• internalId : définissez la valeur sur email
• role : facultatif, le rôle de l’utilisateur dans OpenReplay ; s’il s’agit d’une valeur constante pour tous les utilisateurs, vous devriez le définir à l’étape suivante, sinon vous devez ajouter un nouvel attribut de type chaîne au groupe JumpCloud, le nommer OpenReplayRole et définir la valeur sur le nom du rôle, puis, dans la configuration SSO, sélectionner ‘Custom User or Group Attribute’ et définir la valeur sur OpenReplayRole.
• adminPrivileges : facultatif ; s’il s’agit d’une valeur constante pour tous les utilisateurs, vous devriez le définir à l’étape suivante, sinon vous devez ajouter un nouvel attribut de type booléen au groupe JumpCloud, le nommer OpenReplayAdminPrivileges et définir la valeur sur le nom du rôle, puis, dans la configuration SSO, sélectionner ‘Custom User or Group Attribute’ et définir la valeur sur OpenReplayAdminPrivileges.

6. Définissez les champs ci-dessous dans ‘CONSTANT ATTRIBUTES’ en cliquant sur le bouton ‘add attribute’ :

• tenantKey : définissez la valeur sur TENANT_KEY, que vous trouverez dans le tableau de bord OpenReplay sous ‘Preferences’ > ‘Account’ (Remarque : il doit être ignoré/laissé vide si vous utilisez une instance dedicated/cloud).
• role : facultatif, à ignorer s’il a été défini à l’étape précédente ; le rôle de l’utilisateur dans OpenReplay, doit correspondre à un nom de rôle déjà défini dans OpenReplay (valeur par défaut = member)
• adminPrivileges : facultatif, à ignorer s’il a été défini à l’étape précédente ; définissez la valeur sur true si vous souhaitez accorder des privilèges d’administrateur aux nouveaux utilisateurs, false sinon (valeur par défaut = false)

7. À ce stade, vous pouvez passer à l’onglet ‘User Groups’ et sélectionner le groupe d’utilisateurs qui aura accès à OpenReplay, ou vous pouvez le faire plus tard
8. Cliquez sur ‘activate’ et ‘continue’ dans la fenêtre contextuelle de confirmation
9. Cliquez sur l’icône de la nouvelle application OpenReplay, puis, dans le menu déroulant de gauche ‘IDP Certificate Valid’, choisissez ‘Download certificate’
10. Sur votre serveur, exécutez openreplay -e
11. Dans la section chalice, décommentez puis définissez les variables d’environnement suivantes :

• idp_entityId : openreplay/TENANT_KEY
• idp_sso_url : https://sso.jumpcloud.com/saml2/openreplay-TENANT_KEY
• idp_x509cert : le certificat téléchargé, doit être une chaîne sur une seule ligne, sans sauts de ligne (vous pouvez utiliser cet outil pour formater votre valeur)
• idp_name : JumpCloud

12. Enfin, enregistrez et quittez en utilisant :wq pour que les modifications prennent effet.

C’est très courant et cela est dû à l’absence de l’en-tête ‘X-Forwarded-Proto’ dans la requête. Pour résoudre ce problème, assurez-vous que l’équilibreur de charge transmet correctement l’en-tête au backend OpenReplay.