Articles sur : Espace de travail

Comment activer l'authentification par SSO OpenID ?

Avec l’authentification unique (SSO) basée sur OpenID, vos utilisateurs peuvent accéder à MerciApp via le fournisseur d’identité de votre choix.

Le SSO est disponible uniquement pour les abonnements MerciApp Entreprise et ne peut être configuré que par un administrateur ou propriétaire d’espace.

Comment fonctionne l’authentification unique



Quand un membre essaie de se connecter sur MerciApp via l'authentification unique, une demande OpenID est envoyée par MerciApp au fournisseur d'identité.
Ce dernier examine les informations de connexion du membre et envoie une réponse à MerciApp pour certifier l'identité de l'utilisateur.
Une fois cette vérification faite, MerciApp valide l'accès permettant ainsi au membre de se connecter à son compte MerciApp.

Que se passe-t-il après l’activation de l’authentification unique ?



Lors de la première configuration de l'authentification unique, les utilisateurs existants de MerciApp pourront continuer à accéder à leur compte sans interruption. Toutefois, lors de leur prochaine déconnexion, expiration de session ou tentative de connexion à partir d'un nouvel appareil, ils seront redirigés vers le processus d'authentification unique.

Toutes les autres options de connexion seront désactivées pour les utilisateurs, ce qui inclut les méthodes d'identification par adresse e-mail et mot de passe, via Google et LinkedIn.

Configuration de l’authentification unique



Fournisseurs d’identité



Vous pouvez utiliser le fournisseur d'identité de votre choix dès lors qu’il propose l’authentification par le protocole OpenID. Voici quelques-uns parmi les plus fréquemment utilisés :

OKTA
Azure AD de Microsoft
OneLogin
ADFS de Microsoft
Auth0
Google SSO
JumpCloud SSO

Configuration générale



Pour configurer OpenID Connect :

Rendez-vous dans les réglages de votre espace onglet “Réglages”. Cliquez sur “Sécurité” pour dérouler les options de configuration. Laissez cette page ouverte de côté pour plus tard.
Contactez l’administrateur de votre fournisseur d’identité pour obtenir les renseignements nécessaires.

Vous aurez besoin de l'URL de configuration de votre fournisseur d’identité. Cette URL est appelée Discovery URL ou Well-Known URL, vous pouvez la trouver dans la documentation de votre fournisseur d'identité.

Selon la méthode d'authentification sélectionnée, il vous faudra également entrer les variables suivantes :

- Client ID : il s’agit de l’identifiant client de la configuration de MerciApp dans votre fournisseur d’identité.
- Client Secret : il s’agit du secret client de la configuration de MerciApp dans votre fournisseur d’identité.

Configuration du fournisseur d'identité



Cette étape est à réaliser sur votre nouvelle application chez votre fournisseur d'identité. Cela permet de lui indiquer quelles informations sont attendues sur un utilisateur lors de sa connexion sur son espace MerciApp.

Configuration des attributs utilisateur transmis (obligatoire)



Les scopes requis sont email, profile.

Configuration des équipes (optionnel)



Il est possible de rattacher automatiquement les utilisateurs de votre entreprise à des équipes au sein de votre espace MerciApp. Si les utilisateurs existent déjà côté MerciApp, ils seront rattachés à leur équipe dès leur prochaine connexion.

Configuration des URL de connexion



Vous aurez besoin d'autoriser l'URL de redirection MerciApp (aussi appelée Callback URL) : https://web.merci-app.com/sso/callback.

Vous devrez également spécifier l'URL de connexion (aussi appelée Login URL). Vous pourrez la trouver dans l'encart jaune sur la page des réglages SSO de votre espace MerciApp.


Exemple d'informations de configuration SSO OpenID

Activation



Nous vous recommandons de prévenir les utilisateurs existants avant d’activer le SSO.

Une fois vos utilisateurs prévenus, cliquez sur le bouton "Activer et fermer" pour valider l'intégration du SSO OpenID sur votre espace.

Après activation, toutes les autres options de connexion seront désactivées pour les utilisateurs, ce qui inclut les méthodes d'identification par adresse e-mail et mot de passe, via Google et LinkedIn.

Mis à jour le : 28/06/2024

Cet article a-t-il répondu à vos questions ?

Partagez vos commentaires

Annuler

Merci !