Récupérer les métadonnées SAML du Service Provider

Renvoie les métadonnées SAML (Service Provider) que le client doit importer dans son fournisseur d'identité pour configurer le SSO.

2 min de lectureTélécharger en PDF

Réponse exemple

{
  "xml": "<?xml version=\"1.0\"?>\n<EntityDescriptor xmlns=\"urn:oasis:names:tc:SAML:2.0:metadata\" entityID=\"https://abcdef123456.supabase.co/auth/v1/sso/saml/metadata\">\n  <SPSSODescriptor protocolSupportEnumeration=\"urn:oasis:names:tc:SAML:2.0:protocol\" AuthnRequestsSigned=\"false\" WantAssertionsSigned=\"true\">\n    <SingleLogoutService Binding=\"urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect\" Location=\"https://abcdef123456.supabase.co/auth/v1/sso/saml/slo\"/>\n    <NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</NameIDFormat>\n    <AssertionConsumerService Binding=\"urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST\" Location=\"https://abcdef123456.supabase.co/auth/v1/sso/saml/acs\" index=\"0\" isDefault=\"true\"/>\n  </SPSSODescriptor>\n</EntityDescriptor>",
  "acs_url": "https://abcdef123456.supabase.co/auth/v1/sso/saml/acs",
  "slo_url": "https://abcdef123456.supabase.co/auth/v1/sso/saml/slo",
  "entity_id": "https://abcdef123456.supabase.co/auth/v1/sso/saml/metadata",
  "x509_cert": "-----BEGIN CERTIFICATE-----\nMIIDazCCAlOgAwIBAgIU...\n-----END CERTIFICATE-----",
  "cert_configured": true
}

Cette route renvoie les métadonnées SAML 2.0 du Service Provider (SP) Coffrify, à importer dans le fournisseur d'identité (IdP) du client pour activer l'authentification unique (SSO). Le SP est porté nativement par l'authentification Supabase (GoTrue) : l'IdP doit donc pointer vers les endpoints SAML Supabase (/auth/v1/sso/saml/...) et non vers app.coffrify.com, qui n'expose aucun handler ACS ou SLO. Le SP est défini au niveau du projet Supabase, il n'existe donc pas de chemin par espace de travail : les valeurs renvoyées sont identiques quel que soit le workspace appelant. Ces données reflètent exactement celles affichées dans le tableau de bord (Paramètres > SSO), afin que l'API et l'interface annoncent le même SP à l'IdP.

Authentification

Requiert une clé API valide avec le scope workspace:manage. Ce scope correspond aux opérations d'administration de l'espace de travail, dont la configuration du SSO. Une clé sans ce scope est rejetée avec une erreur scope_missing.

Réponse

La réponse JSON contient le document de métadonnées complet ainsi que ses champs décomposés pour faciliter une configuration manuelle de l'IdP.

Champ	Type	Description
xml	string	Document XML EntityDescriptor SAML 2.0 complet du Service Provider, prêt à être importé tel quel dans l'IdP.
entity_id	string	Identifiant d'entité (Entity ID / Audience) du SP, de la forme https://<ref>.supabase.co/auth/v1/sso/saml/metadata.
acs_url	string	URL Assertion Consumer Service (ACS) où l'IdP poste l'assertion SAML (binding HTTP-POST).
slo_url	string	URL Single Logout (SLO) du SP (binding HTTP-Redirect).
x509_cert	string	Certificat X.509 du SP au format PEM. Renvoie un placeholder explicite [CERT_NOT_CONFIGURED] si la variable d'environnement COFFRIFY_SSO_SP_CERT_PEM n'est pas configurée.
cert_configured	boolean	true si un certificat X.509 réel est configuré côté serveur, false si la réponse contient le placeholder.

Erreurs

Code	Quand	Résolution
missing_api_key	Aucun en-tête Authorization fourni.	Ajoutez l'en-tête Authorization: Bearer cof_live_... .
invalid_api_key	La clé est invalide, ne respecte pas le préfixe attendu, ou est introuvable.	Vérifiez la clé et son préfixe (cof_live_ / cof_test_ / cof_rk_ / cof_mcp_).
scope_missing	La clé est valide mais ne porte pas le scope workspace:manage.	Émettez une clé incluant le scope workspace:manage.
rate_limited	Le quota par minute de l'espace de travail est dépassé.	Patientez puis réessayez en respectant l'en-tête Retry-After.
internal_error	Erreur serveur inattendue.	Réessayez ultérieurement ; conservez le request_id pour le support.

Voir aussi

GET /v1/welcome — point d'entrée public pour valider une clé API et découvrir les capacités du compte.
GET /v1/audit-logs — journal d'audit, utile pour tracer les connexions SSO et les actions d'administration.
Tableau de bord Coffrify > Paramètres > SSO — configuration et activation du SSO côté interface.