Comment activer l'authentification par SSO SAML ?
Avec l’authentification unique (SSO) basée sur SAML 2.0, vos utilisateurs peuvent accéder à MerciApp via le fournisseur d’identité de votre choix.
Le SSO est disponible uniquement pour les abonnements MerciApp Entreprise et ne peut être configuré que par un administrateur ou propriétaire d’espace.
Quand un membre essaie de se connecter sur MerciApp via l'authentification unique, une demande SAML est envoyée par MerciApp au fournisseur d'identité.
Ce dernier examine les informations de connexion du membre et envoie une réponse à MerciApp pour certifier l'identité de l'utilisateur.
Une fois cette vérification faite, MerciApp valide l'accès permettant ainsi au membre de se connecter à son compte MerciApp.
Lors de la première configuration de l'authentification unique, les utilisateurs existants de MerciApp pourront continuer à accéder à leur compte sans interruption. Toutefois, lors de leur prochaine déconnexion, expiration de session ou tentative de connexion à partir d'un nouvel appareil, ils seront redirigés vers le processus d'authentification unique.
Toutes les autres options de connexion seront désactivées pour les utilisateurs, ce qui inclut les méthodes d'identification par adresse e-mail et mot de passe, via Google et LinkedIn.
Vous pouvez utiliser le fournisseur d'identité de votre choix dès lors qu’il propose l’authentification par le protocole SAML. Voici quelques-uns parmi les plus fréquemment utilisés :
OKTA
Azure AD de Microsoft
OneLogin
ADFS de Microsoft
Auth0
Google SSO
JumpCloud SSO
Rendez-vous dans les réglages de votre espace onglet “Réglages”. Cliquez sur “Authentification unique (SSO)” pour dérouler les options de configuration. Laissez cette page ouverte de côté pour plus tard.
Choisissez l’option la plus appropriée ci-dessous entre le mode automatique et le mode manuel.
Créez une nouvelle application de type SAML dans votre fournisseur d'identité.
Si votre fournisseur d’identité le permet, vous pouvez opter pour la configuration automatique.
Après avoir créé votre nouvelle application de type SAML, une URL indiquant les métadonnées est mise à disposition sur votre fournisseur d’identité.
Pour utiliser la configuration automatique, saisissez l’URL des métadonnées fournie par le fournisseur d'identité, puis cliquez sur “Importer les métadonnées”.
Une fois les métadonnées importées, téléchargez les métadonnées MerciApp en bas de la section, et importez-les dans votre fournisseur d'identité.
Rendez-vous dans la section "Configuration des attributs utilisateur transmis" avant de valider la création de votre nouvelle application.
Dirigez-vous vers le tableau de bord de votre fournisseur d'identité et suivez les instructions fournies pour mettre en place l'authentification unique.
Intégrez les métadonnées suivantes. Nous vous suggérons de laisser les champs facultatifs vides et de conserver les valeurs par défaut inchangées.
Une fois ces étapes réalisées, validez la création de votre nouvelle application.
Après la création de l'application, téléchargez le certificat x.509 émis par le fournisseur d'identité.
Renseignez les informations suivantes dans les réglages de votre espace MerciApp.
Après avoir renseigné ces informations, cliquez sur “Sauvegarder la configuration”.
Rendez-vous dans la section "Configuration des attributs utilisateur transmis" avant de valider la création de votre nouvelle application.
Cette étape est à réaliser sur votre nouvelle application chez votre fournisseur d'identité. Cela permet de lui indiquer quelles informations sont attendues sur un utilisateur lors de sa connexion sur son espace MerciApp.
Les attributs mentionnés ci-dessous sont obligatoires.
Une fois ces attributs renseignés, validez la création de votre nouvelle application chez votre fournisseur d'identité.
Nous vous recommandons de prévenir les utilisateurs existants avant d’activer le SSO.
Une fois vos utilisateurs prévenus, cliquez sur le bouton "Activer et fermer" pour valider l'intégration du SSO SAML sur votre espace.
Après activation, toutes les autres options de connexion seront désactivées pour les utilisateurs, ce qui inclut les méthodes d'identification par adresse e-mail et mot de passe, via Google et LinkedIn.
Prérequis :
- Un compte Okta avec un accès administrateur
- Un abonnement MerciApp Entreprise
Connectez-vous à votre tableau de bord administrateur Okta
Cliquez sur Applications
Cliquez sur Ajouter une application
Configurez les paramètres généraux et cliquez sur Suivant.
Choisissez SAML 2.0 comme méthode de connexion et cliquez sur Terminé.
Attribuez MerciApp à tous les utilisateurs que vous souhaitez ajouter à votre abonnement en cliquant sur l'icône d'engrenage à côté de MerciApp dans le menu Applications.
Pour activer l'authentification unique dans votre compte MerciApp, vous aurez besoin de connaître trois paramètres :
Émetteur du fournisseur d'identité
URL d’authentification unique de Okta
Certificat x.509
Pour localiser ces informations dans votre tableau de bord Okta, ouvrez MerciApp dans la liste des Applications, accédez à l'onglet Connexion, et cliquez sur Afficher les instructions de configuration.
Sur la page qui s'ouvre, recherchez l'Émetteur du fournisseur d'identité, le Point de terminaison SAML 2.0 (HTTP) et le Certificat.
Le SSO est disponible uniquement pour les abonnements MerciApp Entreprise et ne peut être configuré que par un administrateur ou propriétaire d’espace.
Comment fonctionne l’authentification unique
Quand un membre essaie de se connecter sur MerciApp via l'authentification unique, une demande SAML est envoyée par MerciApp au fournisseur d'identité.
Ce dernier examine les informations de connexion du membre et envoie une réponse à MerciApp pour certifier l'identité de l'utilisateur.
Une fois cette vérification faite, MerciApp valide l'accès permettant ainsi au membre de se connecter à son compte MerciApp.
Que se passe-t-il après l’activation de l’authentification unique ?
Lors de la première configuration de l'authentification unique, les utilisateurs existants de MerciApp pourront continuer à accéder à leur compte sans interruption. Toutefois, lors de leur prochaine déconnexion, expiration de session ou tentative de connexion à partir d'un nouvel appareil, ils seront redirigés vers le processus d'authentification unique.
Toutes les autres options de connexion seront désactivées pour les utilisateurs, ce qui inclut les méthodes d'identification par adresse e-mail et mot de passe, via Google et LinkedIn.
Configuration de l’authentification unique
Fournisseurs d’identité
Vous pouvez utiliser le fournisseur d'identité de votre choix dès lors qu’il propose l’authentification par le protocole SAML. Voici quelques-uns parmi les plus fréquemment utilisés :
OKTA
Azure AD de Microsoft
OneLogin
ADFS de Microsoft
Auth0
Google SSO
JumpCloud SSO
Configuration générale (obligatoire)
Rendez-vous dans les réglages de votre espace onglet “Réglages”. Cliquez sur “Authentification unique (SSO)” pour dérouler les options de configuration. Laissez cette page ouverte de côté pour plus tard.
Choisissez l’option la plus appropriée ci-dessous entre le mode automatique et le mode manuel.
Créez une nouvelle application de type SAML dans votre fournisseur d'identité.
Configuration automatique
Si votre fournisseur d’identité le permet, vous pouvez opter pour la configuration automatique.
Après avoir créé votre nouvelle application de type SAML, une URL indiquant les métadonnées est mise à disposition sur votre fournisseur d’identité.
Pour utiliser la configuration automatique, saisissez l’URL des métadonnées fournie par le fournisseur d'identité, puis cliquez sur “Importer les métadonnées”.
Une fois les métadonnées importées, téléchargez les métadonnées MerciApp en bas de la section, et importez-les dans votre fournisseur d'identité.
Rendez-vous dans la section "Configuration des attributs utilisateur transmis" avant de valider la création de votre nouvelle application.
Configuration manuelle
Dirigez-vous vers le tableau de bord de votre fournisseur d'identité et suivez les instructions fournies pour mettre en place l'authentification unique.
Intégrez les métadonnées suivantes. Nous vous suggérons de laisser les champs facultatifs vides et de conserver les valeurs par défaut inchangées.
| Paramètre | Description |
|---|---|
| Protocole | SAML 2.0 |
| Liaison | Publication HTTP du fournisseur d’identité au fournisseur de service via une requête POST |
| URL de service Également appelée URL de lancement, URL de réponse, URL de service d’authentification unique d’un tiers de confiance, URL cible, URL de connexion par authentification unique, point de terminaison du fournisseur d’identité, etc. | Indiquez ici l’URL fournie sur MerciApp dans le champ “acsUrl” des réglages de l’authentification unique. |
| URL du service consommateur d’assertion Également appelée URL de rappel autorisé, URL ACS personnalisée, URL de réponse. | Indiquez ici l’URL fournie sur MerciApp dans le champ “acsUrl” des réglages de l’authentification unique. |
| ID de l’identité Également appelé identifiant, identifiant d’approbation. | merciapp |
| État du relais par défaut | Laisser vide |
| Conditions de signature | Une réponse SAML non signée avec une assertion signée |
| NameID | urn:oasis:names:tc:SAML:2.0:nameid-format:persistent |
Une fois ces étapes réalisées, validez la création de votre nouvelle application.
Après la création de l'application, téléchargez le certificat x.509 émis par le fournisseur d'identité.
Renseignez les informations suivantes dans les réglages de votre espace MerciApp.
| Paramètre | Description |
|---|---|
| Identifiant du fournisseur d’identité (IdP Entity ID) | Fourni par le fournisseur d’identité pendant la configuration de la nouvelle application |
| URL d’authentification unique du fournisseur d’identité | Il s’agit généralement de la page vers laquelle seront redirigés vos utilisateurs en voulant se connecter |
| Certificat de clé publique x.509 | Ouvrez le certificat téléchargé pendant l’étape précédente dans un éditeur de texte, et collez l’intégralité de son contenu dans le champ |
Après avoir renseigné ces informations, cliquez sur “Sauvegarder la configuration”.
Rendez-vous dans la section "Configuration des attributs utilisateur transmis" avant de valider la création de votre nouvelle application.
Configuration des attributs utilisateur transmis (obligatoire)
Cette étape est à réaliser sur votre nouvelle application chez votre fournisseur d'identité. Cela permet de lui indiquer quelles informations sont attendues sur un utilisateur lors de sa connexion sur son espace MerciApp.
Les attributs mentionnés ci-dessous sont obligatoires.
| Paramètre | Description |
|---|---|
| « firstname » ou http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname | Prénom de l'utilisateur |
| « lastname » ou http://schemas.xmlsoap.org/ws/2005/05/identity/claims/username | Nom de l'utilisateur |
| « email » ou http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress | Adresse e-mail de l'utilisateur |
Une fois ces attributs renseignés, validez la création de votre nouvelle application chez votre fournisseur d'identité.
Comment activer l’authentification unique dans les paramètres de votre espace MerciApp
Nous vous recommandons de prévenir les utilisateurs existants avant d’activer le SSO.
Une fois vos utilisateurs prévenus, cliquez sur le bouton "Activer et fermer" pour valider l'intégration du SSO SAML sur votre espace.
Après activation, toutes les autres options de connexion seront désactivées pour les utilisateurs, ce qui inclut les méthodes d'identification par adresse e-mail et mot de passe, via Google et LinkedIn.
Configuration de l’authentification unique (SSO) avec Okta
Prérequis :
- Un compte Okta avec un accès administrateur
- Un abonnement MerciApp Entreprise
Connectez-vous à votre tableau de bord administrateur Okta
Cliquez sur Applications
Cliquez sur Ajouter une application
Configurez les paramètres généraux et cliquez sur Suivant.
Choisissez SAML 2.0 comme méthode de connexion et cliquez sur Terminé.
Attribuez MerciApp à tous les utilisateurs que vous souhaitez ajouter à votre abonnement en cliquant sur l'icône d'engrenage à côté de MerciApp dans le menu Applications.
Pour activer l'authentification unique dans votre compte MerciApp, vous aurez besoin de connaître trois paramètres :
Émetteur du fournisseur d'identité
URL d’authentification unique de Okta
Certificat x.509
Pour localiser ces informations dans votre tableau de bord Okta, ouvrez MerciApp dans la liste des Applications, accédez à l'onglet Connexion, et cliquez sur Afficher les instructions de configuration.
Sur la page qui s'ouvre, recherchez l'Émetteur du fournisseur d'identité, le Point de terminaison SAML 2.0 (HTTP) et le Certificat.
Mis à jour le : 28/03/2024
Merci !