Comment configurer les fournisseurs tiers d'authentification pour un compte Canvas ?
Canvas supporte l'authentification avec une variété de fournisseurs d'identité tiers, qui peuvent être configurés dans l'interface Canvas. Chaque fournisseur exige que l'administrateur définisse un attribut à associer au compte, tel qu'une ID utilisateur, un mail ou un login. Les intégrations actuellement supportées incluent Apple, Facebook, Github, LinkedIn, Twitter, Google, Microsoft (Office 365), Clever, CAS, LDAP, OpenID, et SAML. Certains fournisseurs exigent des éléments personnalisés pour la configuration. Tous les fournisseurs supportent l'authentification Single Sign On (SSO).
Les fournisseurs d'authentification tiers peuvent être utilisés en plus de l'authentification Canvas.
Identifications Utilisateur
Une fois qu'un fournisseur a été sauvegardé dans Canvas, les identifiants d'authentification du fournisseur doivent être ajoutés à chaque compte utilisateur de Canvas via le fichier csv de SIS ou l'API des Fournisseurs d'authentification. (Actuellement, il n'existe aucun support pour ajouter des identifications utilisateur via l'interface Canvas.) Chaque fournisseur d'authentification supporte des paramètres spécifiquement reconnus ; certains fournisseurs peuvent reconnaître des paramètres supplémentaires. Les paramètres non reconnus ne sont pas supportés.
Pour plus d'assistance sur les systèmes d'authentification, incluant le Single Sign On (SSO), consultez les documents sur l'intégration dans la Communauté Canvas.
Mise en service juste à temps
En tant que partie du processus d'authentification, les administrateurs peuvent appliquer une Mise en service juste à temps, qui indique à Canvas de créer automatiquement un compte utilisateur, s'il n'existe pas déjà. Actuellement, lorsqu'un utilisateur se connecte à Canvas en utilisant un système d'authentification tiers, Canvas cherche les utilisateurs dans le compte recherchant un paramètre utilisateur correspondant pour ce service. Si un paramètre correspondant n'est pas trouvé, Canvas renvoie l'utilisateur au portail du fournisseur d'authentification avec un message selon lequel l'utilisateur n'a pas pu être trouvé. Lorsque la Mise en Service Juste à Temps (JIT) est activée, Canvas crée automatiquement l'utilisateur en utilisant l'ID qui correspond au nom utilisateur utilisé avec le fournisseur d'authentification.
La mise en service JAT doit être configurée pour le fournisseur d'authentification spécifique via l'API. (Voir API Fournisseurs d'Authentification). Il n'est pas nécessaire de la configurer via l'API ou SIS pour les utilisateurs individuels.
Attributs fédérés
En complément de la mise en service JAT, tous les fournisseurs d'authentification prennent en charge les attributs fédérés. Lorsque les utilisateurs se connectent à Canvas, davantage d'informations en plus de l'ID sont transmises à Canvas, et sont associées à leurs comptes d'utilisateurs existants. Vous trouverez davantage d'informations dans l'API des fournisseurs d'authentification.
Ouvrir un compte
Dans Navigation globale, cliquez sur le lien Admin [1], cliquez ensuite sur le nom du compte [2].
Ouvrir Authentification
Dans Navigation du compte cliquez sur le lien Authentification (Authentication).
Choisir un fournisseur
Dans le menu déroulant Authentification, sélectionnez un service d'authentification.
Remarque : Si votre compte fait partie d'un compte de confiance établi, vous pouvez sélectionner Instance de confiance de Canvas (Trusted Canvas instance) dans le menu déroulant Fournisseur d'identité (Identity Provider). En savoir plus sur la configuration de l'authentification d'instance de confiance de Canvas.
Sauvegarder les données du fournisseur
Entrez les données requises par le service [1]. Certains fournisseurs exigent des éléments personnalisés pour la configuration.
Pour activer la Mise en service juste à temps, cliquez sur la case à cocher Mise en service juste à temps (Just in Time Provisioning) [2].
Définir les Attributs fédérés
Pour utiliser un attribut fédéré, sélectionnez l'attribut du fournisseur de Canvas dans le menu déroulant [1]. Il s'agit de l'attribut que vous souhaitez utiliser dans Canvas. Les attributs disponibles incluent le rôle de l'administrateur, le nom d'affichage, le courrier électronique, le nom donné, l'ID d'intégration, la localisation, le nom, l'ID utilisateur SIS, la liste des élèves triés par nom, le nom de famille et le fuseau horaire.
Cliquez sur le bouton Ajouter un attribut (Add Attribute) [2].
Dans le menu déroulant Attribut du fournisseur, choisissez la valeur de l'attribut qui correspond à l'attribut Canvas sélectionné. Les valeurs disponibles incluent le courrier électronique, le nom de famille, le prénom, la localisation, le nom et le sous-utilisateur (identifiant utilisateur de l'identificateur de sujet couramment utilisé avec les spécifications Open ID Connect, Google et Microsoft).
Notez que toutes les valeurs ne correspondent pas exactement à l'attribut Canvas. Par exemple, si vous définissez le courrier électronique comme un attribut dans Canvas, les options de valeur de l'attribut du fournisseur incluent également le courrier électronique, ce qui signifie que l'adresse électronique du fournisseur sera également actualisée dans Canvas. Cependant, certains attributs de Canvas peuvent ne pas s'aligner sur les valeurs d'attribut du fournisseur disponibles.
Nécessite une authentification multi-facteurs
La façon dont Canvas applique l'authentification MFA est au niveau fonctionnelle équivalente au fait de cocher la case MFA requise (MFA Required) des anciennes interfaces utilisateur ; tous les comptes pour lesquels l'ancienne case MFA requise était cochée ont cette option sélectionnée.
Pour que Canvas applique l'authentification MFA, cochez l'option Canvas applique l'authentification MFA (Canvas enforces MFA) [1]. Pour que les opérateurs de SMS envoient des codes d'accès à usage unique, cochez la case Envoyez des codes d'accès à usage unique par SMS (opérateurs américains uniquement) (Send one-time passcodes via SMS [US carriers only] [2].
Pour que le fournisseur applique l'authentification MFA, cochez l'option Le fournisseur applique l'authentification MFA (Provider enforces MFA) [3].
Pour que l'utilisateur puisse choisir cette option, cochez l'option L'utilisateur peut choisir l'authentification MFA (User can opt in to MFA) [4].
Remarque : Le responsable succès client de votre institution peut définir l'authentification MFA comme suit : Désactivée, Facultative, Obligatoire pour les administrateurs et Obligatoire.
Sauvegarder les données
Cliquez sur le bouton Enregistrer (Save).
Gérer le fournisseur
Pour modifier la position de votre fournisseur d'authentification, cliquez sur le menu de position [1] et choisissez le numéro d'emplacement pour la nouvelle position. Les positions affectent l'URL de Découverte lorsqu'un compte dispose de paramètres SSO.
Pour supprimer le fournisseur, cliquez sur le bouton Supprimer (Delete) [2].
Gérer l'authentification SAML
Si vous utilisez l'authentification SAML, vous pouvez actualiser manuellement les métadonnées SAML en cliquant sur le bouton Actualiser les métadonnées (Refresh Metadata).
Supprimer authentification
Pour supprimer tous les fournisseurs d'authentification précédemment configurés, cliquez sur le bouton Supprimer toutes les authentifications (Remove All Authentication).
Remarque : Le bouton de suppression n'affecte pas les paramètres SSO ou l'authentification Canvas.
Confirmer le retrait
La suppression de toutes les méthodes d'authentification peut affecter la capacité de vos élèves à se connecter à Canvas. Pour confirmer, cliquez sur le bouton OK.