FAQ Fédération Trimble Identity

La fédération Trimble ID entraîne-t-elle des coûts ?

La Fédération Trimble Identity est un service complémentaire gratuit pour Trimble ID. Les clients qui utilisent Trimble ID peuvent demander une fédération.

Quel est le processus de configuration d'une fédération ?

Le processus de configuration d'une fédération est déterminé par votre fournisseur d'identité et le protocole (SAML ou OIDC) utilisé par votre organisation.

Une Fédération guidée est configurée pour toutes les combinaisons de fournisseurs d'identité et de protocoles pris en charge (à l'exception de Microsoft Entra ID avec OIDC, qui est multi-locataire). Il existe deux processus pour une Fédération guidée, qui sont déterminés par le protocole de votre organisation.

Fédération guidée SAML :

Figure 1. Processus de fédération SAML Trimble ID

Fédération guidée OIDC :

Figure 2. Processus de fédération OIDC Trimble ID

Quel est le délai prévu pour ce processus ?

Le délai nécessaire à la mise en place d'une fédération dépend de chaque cas, qui varie en fonction de plusieurs facteurs, tels que :
  • Le degré de préparation de votre organisation
  • La réactivité de votre équipe dans la fourniture d'informations (métadonnées et autres informations nécessaires à une configuration correcte) à l'équipe de la Fédération Trimble
  • La charge de travail actuelle de l'équipe de la Fédération Trimble

Quels fournisseurs d'identité fédérés (IdP) sont actuellement pris en charge ?

Trimble ID prend en charge les protocoles Open ID Connect (OIDC) et SAML. Il s'agit de protocoles standard pris en charge par la plupart des fournisseurs d'identité (IdP), tels que Microsoft Entra ID, Microsoft AD FS, Google et Okta.

La principale différence entre ces protocoles réside dans le fait que SAML utilise une fédération basée sur XML, tandis qu'OIDC utilise JSON.

De plus, la préconfiguration des entités est requise dans SAML, ce qui permet une configuration robuste, tandis que l'OIDC ne fonctionne qu'avec des fournisseurs d'identité compatibles.
Remarque : D'autres IdP prenant en charge OAuth 2.0 peuvent également être configurables. Cependant, cela nécessite souvent une configuration IdP supplémentaire par votre équipe. La sélection de cette option augmente généralement le délai de mise en place d'une fédération Trimble ID.

Quelles sont les ressources disponibles concernant les Fédérations Trimble ID ?

D'abord, visitez le Centre d’aide Trimble (help.trimble.com) pour rechercher des informations concernant les fédérations Trimble ID.

Une fois que vous avez pris contact avec l'équipe Fédérations Trimble ID, utilisez l'adresse email qu'elle vous a fournie pour communiquer avec elle.

Les utilisateurs configurés avec la fédération peuvent-ils modifier leurs paramètres MFA ?

Cela t déterminé a configuration IdP.

Où les utilisateurs doivent-ils s'adresser pour obtenir de l'aide s'ils rencontrent des difficultés pour se connecter via un fournisseur d'identité fédéré ?

Adressez vos questions relatives aux problèmes de connexion à l'administrateur IdP de votre organisation.

Quelle est l'URL de réponse/l'URI de redirection à utiliser pour configurer le système fédéré externe pour la fédération OIDC ?

Trimble N’a pas de point de terminaison de redirection commun.

Une fois que l'équipe Fédération Trimble ID aura terminé la configuration de la fédération de votre organisation, notre équipe d'assistance vous fournira un point de terminaison de redirection unique. Ce point de terminaison devra être configuré de votre côté.

Comment l'application peut-elle déterminer si l'utilisateur s'est connecté avec son compte Trimble ID natif ou en tant qu'utilisateur fédéré ?

Les jetons d'accès à l'identité et d'identification contiennent tous deux une revendication AMR, qui indique si l'utilisateur s'est connecté à l'aide d'une source fédérée.

De plus, le jeton d'identification contient une revendication « federation_origin », ce qui signifie qu'une source fédérée a été utilisée. Les applications clientes peuvent se référer aux revendications ci-dessus dans le jeton pour déterminer la source de connexion.

Existe-t-il un moyen de supprimer tous les comptes provisionnés par une fédération ? Devons-nous supprimer les comptes liés ?

Si vous souhaitez supprimer la fédération de votre compte, choisissez l'approche que vous souhaitez que Trimble adopte.
  • Supprimer tous les comptes d'un domaine fédéré donné
  • Convertir tous les comptes en comptes Trimble natifs. Dans ce cas, chaque utilisateur devra configurer un mot de passe via le flux de connexion d'identité normal.

Lorsque j'utilise SAML, j'obtiens le message suivant : « Erreur ! Une erreur s'est produite lors de l'appel d'identité SAML en raison de : certificat de signature de la demande introuvable. »

La mise en œuvre SAML Trimble ID exige actuellement que les métadonnées fournies incluent un certificat de signature

Votre fournisseur de services devrait disposer d'un paramètre de configuration appelé « Activer les requêtes signées ». Activez ce paramètre de configuration.

À partir de là, téléchargez à nouveau les métadonnées du fournisseur de services (SP). Les nouvelles métadonnées incluront le certificat requis et vous pourrez réessayer

Pourquoi un administrateur d'entreprise ne peut-il pas choisir les paramètres de résidence des données pour tous les utilisateurs Trimble Identity de l'entreprise ? Nous ne voulons pas que les utilisateurs individuels puissent choisir cela eux-mêmes.

Les paramètres de résidence des données d'un utilisateur sont déterminés par la personne qui contrôle les données de l'utilisateur, en fonction du fait que l'utilisateur soit fédéré ou non
  • S'il n'est pas fédéré, c'est l'utilisateur qui contrôle les données. Cet utilisateur peut appartenir à plusieurs comptes/entreprises, qui peuvent avoir des besoins contradictoires en matière de paramètres de données. L'utilisateur a donc la possibilité de définir sa région selon ses besoins.
  • Si l'utilisateur est fédéré, c'est le fournisseur d'identité (IdP) de l'utilisateur qui contrôle les données. Avec la fédération, l'entreprise décide à quelle région elle souhaite associer ses utilisateurs.
    Remarque : La fédération d'une entreprise ne peut être associée qu'à une seule région.