Certaines fonctionnalités ne sont disponibles que sur des abonnements particuliers ou sous forme de modules complémentaires payants et vous pouvez vérifier les inclusions sur notre page de tarifs. Si vous avez d'autres questions, contactez le support et nous pourrons examiner votre abonnement et vous proposer des options, y compris de parler à l'un des membres de notre équipe de réussite client.
Cet article explique ce qu'est l'authentification unique, comment elle fonctionne et quelle configuration est nécessaire pour l'installer sur votre compte Sinch Engage.
L'authentification unique (SSO) est une méthode d'authentification qui permet aux utilisateurs de se connecter à plusieurs applications ou services à l'aide d'un seul jeu d'identifiants. Au lieu de se connecter séparément à différentes plateformes, l'authentification unique (SSO) simplifie l'accès en authentifiant l'utilisateur une seule fois et en lui accordant l'accès à tous les systèmes connectés.
Remarque - Cette page sera bientôt supprimée et les clients utilisant cette fonctionnalité seront migrés vers notre nouveau système d'authentification unique Sinch ID - vous pouvez en lire plus à ce sujet dans cet article.
Comment fonctionne l'authentification unique (SSO)
L'utilisateur se connecte une seule fois : l'utilisateur saisit ses identifiants sur une plateforme de fournisseur d'identité (IdP).
Émission d'un jeton d'authentification : l'IdP vérifie les identifiants et génère un jeton d'authentification sécurisé.
Accès accordé : le jeton est partagé avec les applications connectées, ce qui permet à l'utilisateur d'y accéder sans avoir à se reconnecter.
Avantages de l'authentification unique (SSO)
Commodité : les utilisateurs n'ont pas besoin de se souvenir de plusieurs mots de passe.
Sécurité : réduit le risque d'hameçonnage et de réutilisation des mots de passe.
Efficacité : accélère les temps de connexion et réduit la fréquence des demandes de réinitialisation de mot de passe auprès du support informatique.
Informations préalables à la configuration
Actuellement, l'authentification unique (SSO) est une fonctionnalité disponible uniquement sur demande. Si vous souhaitez l'activer sur votre compte, veuillez en faire la demande auprès de notre équipe support. Si vous avez déjà activé cette fonctionnalité, voyons comment la configurer. Vous devez répondre à certains critères avant de pouvoir configurer l'authentification unique (SSO) :
Un fournisseur d'identité qui prend en charge la norme SAML 2.0. Nous prenons en charge les fournisseurs suivants : Microsoft Azure AD (Active Directory)
OktaPermissions d'utilisateur qui vous permettent de configurer des applications au sein de votre fournisseur d'identité.
Identifiants de l'administrateur pour le compte parent de Sinch Engage.
Validation de la vérification du domaine SSO
Lors de la configuration de l'authentification unique (SSO), vous devrez prouver que vous êtes propriétaire du domaine en ajoutant un enregistrement TXT DNS. Il s'agit d'une pratique de sécurité courante dans le secteur.
Étapes pour valider votre domaine
- Obtenir les détails de votre enregistrement TXT : Dans l'écran de configuration de l'authentification unique, vous verrez la valeur de l'enregistrement TXT généré pour votre domaine.
- Ajoutez l'enregistrement TXT à votre DNS
- Connectez-vous aux paramètres DNS de votre fournisseur de domaine.
- Ajoutez un enregistrement TXT avec les détails fournis. - Attendre la mise à jour du DNS : Les modifications du DNS peuvent prendre quelques minutes pour se propager.
- Enregistrez votre configuration d'authentification unique
- Revenez à la page de configuration de l'authentification unique et cliquez sur Enregistrer.
- Si l'enregistrement TXT n'est pas encore en place, le système vous empêchera d'effectuer l'enregistrement et affichera des instructions claires sur les corrections à apporter.
Remarque : si vous devez utiliser un seul domaine pour plusieurs comptes et vérifier la propriété du domaine pour chacun d'eux, vous pouvez insérer plusieurs valeurs dans l'enregistrement TXT, séparées par un espace, chaque valeur étant placée entre guillemets. Par exemple :
_sso_domain_verify.dub.ams.stg.mmd.zone. 60 IN TXT "559d63e31092f630ecc07ef84b58a643b64dfd7d0612fc3125ab1c825deb53cd" "4c54ce3fe8553f75282c75f6be30d8d087c4dc82f6cd038d56fb8a3ec6415096"
Si vous ne parvenez pas à ajouter un enregistrement TXT vous-même, veuillez contacter votre équipe informatique ou votre fournisseur de domaine pour obtenir de l'aide. S'ils vous indiquent qu'ils ne sont pas non plus en mesure de vous aider, veuillez contacter notre équipe support.
Étape 1 | Configuration du fournisseur d'identité SSO
Important : ce guide de configuration est destiné aux administrateurs de systèmes informatiques. Bien que nous puissions vous aider à configurer l'authentification unique (SSO) pour qu'elle fonctionne avec notre plateforme, nous ne pouvons pas fournir d'assistance pour la configuration de votre fournisseur d'identité SAML.
Pour garantir la sécurité et la compatibilité, notre système ne prend pour l'instant en charge que les fournisseurs d'identité (IdP) reconnus tels que Microsoft Entra ID (Azure AD) et Okta. Malheureusement, nous ne prenons pas en charge les domaines personnalisés ou les fournisseurs d'identité auto-hébergés pour la configuration de l'authentification unique (SSO) pour le moment.
Les emplacements de confiance supported sont :
- okta.com
- Microsoft Azure AD (Active Directory)
Les domaines IDP utilisés doivent être des sous-domaines du domaine de confiance.
Nous avons également remarqué que certains clients tentent de configurer une connexion par authentification unique (SSO) en un clic (telle que l'application Okta ISPM SSO) avec Sinch Engage. Nous ne prenons pas en charge cette fonctionnalité pour le moment. Pour accéder à votre compte via l'authentification unique (SSO), vous devez vous connecter via la page de connexion SSO du portail web Sinch Engage.
Nous utilisons SAML 2.0 (Security Assertion Markup Language), une norme qui permet aux fournisseurs d'identité de transmettre en toute sécurité des informations d'autorisation, telles que votre nom d'utilisateur et votre mot de passe, à des fournisseurs de services tels que Sinch Engage.
- La première étape consiste à créer une nouvelle application SAML avec votre fournisseur d'identité :
- Pour Microsoft Azure AD, naviguez vers la Microsoft Entra Gallery et sélectionnez Créer votre propre application, puis suivez ce guide.
- Pour Okta, suivez ce guide
- Configurez l'application en utilisant les paramètres suivants :
Pour Microsoft Azure AD
| MICROSOFT AZURE AD | |
| URI d'audience (« Entity ID » SP) | https://app.sinch.com/ |
| URL d'authentification unique | https://app.sinch.com/login |
| URL du service consommateur d'assertions (URL de réponse) | https://eu.app.api.sinch.com/v2/iam/sso/acs |
| MICROSOFT AZURE AD | Réclamation | ||
| NOM | TYPE | VALEUR |
| Identifiant unique de l'utilisateur (Name ID) | SAML | user.userprincipalname |
| MICROSOFT AZURE AD | Réclamation supplémentaire | ||
| NOM | TYPE | VALEUR |
| http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress | SAML | user.mail |
| http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname | SAML | user.givenname |
| http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name | SAML | user.userprincipalname |
| http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname | SAML | user.surname |
Pour Okta
| OKTA | |
| URI d'audience (« Entity ID » SP) | https://app.sinch.com/ |
| URL de l'authentification unique (URL du service consommateur d'assertions (URL de réponse)) | https://app.api.sinch.com/v2/iam/sso/acs |
| OKTA | Attributs | ||
| NOM | FORMAT DU NOM | VALEUR |
| http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress | Référence URI | user.email |
| http://schemas.microsoft.com/claims/authnmethodsreferences | Référence URI | session.amr |
| http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname | Référence URI | user.firstName |
| http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname | Référence URI | user.lastName |
- Configurez un logo, cette option est facultative.
- Affectez des utilisateurs ou des groupes à l'application.
- Copiez ou téléchargez les métadonnées XML de l'IdP. Mettez-les en lieu sûr car vous en aurez besoin pour l'étape 5 de la configuration de la plateforme Sinch Engage.
Étape 2 | Configuration de la plateforme Sinch Engage
- Connectez-vous au compte parent dans la plateforme Sinch Engage. N'oubliez pas que vous aurez besoin d'identifiants d'administrateur pour continuer.
- Une fois que vous êtes connecté à la plateforme Sinch Engage, allez dans le menu et cliquez sur Paramètres > Compte :
Remarque : si vous ne voyez pas l'option d'authentification unique (SSO), cela signifie simplement que la fonctionnalité n'est pas activée sur votre compte. Vous pouvez contacter le support pour demander son activation.
- Configurez les domaines de messagerie que vous souhaitez activer pour le SSO. Les domaines de messagerie ne peuvent être utilisés qu'une seule fois par hiérarchie de compte, donc si vous définissez un domaine de messagerie au niveau d'un sous-compte, vous ne pouvez pas définir le même domaine de messagerie sur un autre sous-compte. Pour enregistrer les informations saisies, il suffit d'appuyer sur la touche Entrée de votre clavier ou de cliquer n'importe où en dehors du champ.
- Utilisez la flèche déroulante pour sélectionner votre fournisseur d'identité (IdP), Okta ou Azure AD. Si le vôtre ne figure pas dans la liste, vous pouvez contacter le support pour discuter de l'extension de la prise en charge SSO à votre fournisseur d'identité.
-
Saisissez le XML fourni par votre fournisseur d'identité dans le champ prévu à cet effet.
- Lorsque quelqu'un se connecte à la plateforme Sinch MessageMedia en utilisant le SSO mais qu'il n'a pas encore de profil utilisateur, vous pouvez autoriser la plateforme Sinch MessageMedia à créer automatiquement un nouvel utilisateur avec les informations d'identification fournies par l'IdP. Il suffit de basculer ce bouton sur On pour l'activer.
- Utilisez la flèche du menu déroulant pour définir le rôle d'utilisateur par défaut à attribuer à ces profils nouvellement créés.
- Sélectionnez les comptes et sous-comptes auxquels vous voulez permettre à ces nouveaux utilisateurs d'accéder.
- Lorsque cette option est activée, tous les utilisateurs qui se connectent avec des informations d'identification correspondant à vos domaines de messagerie désignés seront forcés de se connecter à la plateforme Sinch MessageMedia en utilisant uniquement le SSO.
-
Vous pouvez choisir d'appliquer l'authentification SAML en l'activant ou en la désactivant, cela s'appliquera à tous les utilisateurs.
Note sur l'authentification à deux facteurs (2FA)
Lorsque l'authentification unique (SSO) est forcée, l'utilisateur ne peut pas se connecter à l'aide d'un mot de passe, de sorte que l'authentification à deux facteurs (2FA) n'est pas déclenchée.
Lorsque l'authentification unique (SSO) n'est pas forcée, l'utilisateur peut se connecter à l'aide d'un mot de passe, ce qui déclenchera l'authentification à deux facteurs (2FA). Cependant, les utilisateurs peuvent également choisir de se connecter via l'authentification unique (SSO), ce qui permet de contourner l'authentification à deux facteurs (2FA).
FAQ
-
Mon organisation utilise un fournisseur de services d'identité (IdP) qui ne figure pas dans la liste. Sera-t-il pris en charge ?
Veuillez contacter l'équipe support en indiquant le fournisseur d'identité que vous souhaitez utiliser. -
Prenez-vous en charge Microsoft Active Directory sur site ?
Non, nous ne prenons en charge que Azure Active Directory. -
Prenez-vous en charge le SSO initié par l'IdP ?
Malheureusement, ce n'est pas le cas à ce stade. Les utilisateurs devront saisir à nouveau leur adresse électronique dans la page Connexion avec l'authentification unique. -
L'application de SAML SSO déconnecte-t-elle les utilisateurs ?
Non, les sessions actives des utilisateurs restent connectées jusqu'à leur expiration. La prochaine fois qu'un utilisateur devra se connecter, il devra le faire avec SAML SSO. -
Quelle version de SAML est prise en charge par Sinch Engage ?
Nous prenons actuellement en charge SAML v2.0. -
Puis-je toujours me connecter à la plateforme Sinch Engage si mon fournisseur d'identité subit une panne ?
Si vous avez activé l'option « Appliquer l'authentification SAML » et que votre fournisseur d'identité est en panne, vous devez contacter l'équipe d'assistance. Nous pouvons désactiver l'option « Appliquer l'authentification SAML » pour permettre aux administrateurs et aux utilisateurs existants de se connecter à nouveau avec leur adresse e-mail. -
Pourquoi est-ce que je reçois l'erreur « SSO auth failed » ?
Il y a plusieurs raisons pour lesquelles vous pouvez voir ce message d'erreur. Vous trouverez les deux exemples les plus courants ci-dessous. Cependant, si aucune de ces raisons ne s'applique, veuillez contacter le support.
a. Cette erreur est probablement due à une disparité dans votre Active Directory (AD), où les enregistrements peuvent être mal alignés. Dans ce cas, vous devez vérifier avec votre administrateur AD que les informations sont correctes.
b. Parfois, lorsqu'un utilisateur se connecte à l'aide de l'authentification unique, il commence par saisir son adresse email. Après avoir suivi les étapes de connexion, le système confirme son identité et lui renvoie ses coordonnées, y compris son adresse email vérifiée. Parfois, l'adresse email renvoyée est différente de celle qui a été saisie. Cela se produit généralement parce que le système a été configuré pour extraire le mauvais champ d'adresse email. De nombreuses plateformes stockent plusieurs champs de type adresse email (par exemple, votreorganisation.com et on.votreorganisation.com). Si le champ utilisé n'est pas correct, l'administrateur peut simplement mettre à jour les paramètres pour sélectionner le bon.