Authentification unique

Si vous souhaitez l'activer sur votre compte, veuillez en faire la demande auprès de notre équipe support. Si vous avez déjà activé cette fonctionnalité, découvrons comment la paramétrer : Vous devez répondre à certains critères avant de pouvoir configurer l'authentification unique :

1. Un fournisseur d'identité qui prend en charge la norme SAML 2.0. Nous supportons les fournisseurs suivants :

a. Microsoft Azure AD (Active Directory)
b. Okta

2. Permissions de l'utilisateur qui vous permettent de configurer des applications au sein de votre fournisseur d'identité.

3. Identifiants de l'utilisateur administrateur pour le compte parent du Hub.

Nous utilisons SAML 2.0 (Security Assertion Markup Language), une norme qui permet aux fournisseurs d'identité de transmettre en toute sécurité des informations d'autorisation, telles que votre nom d'utilisateur et votre mot de passe, à des fournisseurs de services tels que le Hub.

1. La première étape consiste à créer une nouvelle application SAML avec votre fournisseur d'identité :

• Pour Microsoft Azure AD, accédez à la galerie Microsoft Entra et sélectionnez Créer votre propre application, puis suivez ce guide. 

• Pour Okta, suivez ce guide.

2. Configurez l'application en utilisant les paramètres suivants :

● Pour Microsoft Azure AD

● Pour Okta

3. Configurez un logo ; cette option est optionnelle.

4. Affectez des utilisateurs ou des groupes à l'application.

5. Copiez ou téléchargez les métadonnées XML de l'IdP. Mettez-les en lieu sûr car vous en aurez besoin pour l'étape 5 de la configuration du Hub.

1. Connectez-vous au compte parent dans le Hub. N'oubliez pas que vos identifiants nécessitent un accès de niveau administrateur pour continuer.

2. Une fois que vous êtes connecté au Hub, allez dans le menu et cliquez sur    Paramètres, puis sélectionnez Compte :

3. Sélectionnez l'onglet Sécurité.

4. Configurez les domaines de messagerie que vous souhaitez activer pour le SSO. Les domaines de messagerie ne peuvent être utilisés qu'une seule fois par hiérarchie de compte, donc si vous définissez un domaine de messagerie au niveau d'un sous-compte, vous ne pouvez pas définir le même domaine de messagerie sur un autre sous-compte.

5. Utilisez la flèche déroulante pour sélectionner votre fournisseur d'identité, Okta ou Azure AD. Si le vôtre ne figure pas dans la liste, vous pouvez contacter le support pour discuter de l'extension de la prise en charge SSO à votre fournisseur d'identité.

6. Saisissez le XML fourni par votre fournisseur d'identité dans le champ prévu à cet effet.

7. Lorsque quelqu'un se connecte au Hub en utilisant le SSO mais qu'il n'a pas encore de profil utilisateur, vous pouvez autoriser le Hub à créer automatiquement un nouvel utilisateur avec les informations d'identification fournies par l'IdP. Il suffit de basculer ce bouton sur On pour l'activer.

8. Utilisez la flèche déroulante pour définir le rôle d'utilisateur par défaut à attribuer à ces profils nouvellement créés.

9. Sélectionnez les comptes et sous-comptes auxquels vous voulez permettre à ces nouveaux utilisateurs d'avoir accès.

10. Lorsque cette option est activée, tous les utilisateurs qui se connectent avec des informations d'identification correspondant à vos domaines de messagerie désignés seront forcés de se connecter au Hub en utilisant uniquement le SSO.

• Mon organisation utilise un fournisseur de services d'identité (IdP) qui ne figure pas dans la liste. Sera-t-il pris en charge ?
  Veuillez contacter l'équipe support en indiquant le fournisseur d'identité que vous souhaitez utiliser.
• Prenez-vous en charge Microsoft Active Directory sur site ?
  Non, nous ne prenons en charge que Azure Active Directory.
• Prenez-vous en charge le SSO initié par l'IdP ?
  Malheureusement, ce n'est pas le cas à ce stade. Les utilisateurs devront saisir à nouveau leur adresse électronique dans la page Connexion avec l'authentification unique.
• L'application de SAML SSO déconnecte-t-elle les utilisateurs ?
  Non, les sessions actives des utilisateurs restent connectées jusqu'à leur expiration. La prochaine fois qu'un utilisateur devra se connecter, il devra le faire avec SAML SSO.
• Quelle version de SAML le Hub prend-il en charge ?
  Nous supportons actuellement SAML v2.0.
• Puis-je toujours me connecter au Hub si mon fournisseur d'identité subit une panne ?
  Si vous avez activé l'authentification SAML et que votre IdP est en panne, vous devez contacter l'équipe support. Nous pouvons désactiver « Utiliser SAML » pour permettre aux administrateurs et aux utilisateurs qui existaient auparavant de se connecter à nouveau avec l'adresse email.
• Pourquoi est-ce que je reçois l'erreur « SSO auth failed » ?
  Il y a plusieurs raisons pour lesquelles vous pouvez voir ce message d'erreur. Vous trouverez les deux exemples les plus courants ci-dessous. Cependant, si aucune de ces raisons ne s'applique, veuillez contacter le support.
   a. Cette erreur est probablement due à une disparité dans votre Active Directory (AD), où les enregistrements peuvent être mal alignés. Dans ce cas, vous devez vérifier avec votre administrateur AD que les informations sont correctes.
   b. Parfois, lorsqu'un utilisateur se connecte à l'aide de l'authentification unique, il commence par saisir son adresse email. Après avoir suivi les étapes de connexion, le système confirme son identité et lui renvoie ses coordonnées, y compris son adresse email vérifiée. Parfois, l'adresse email renvoyée est différente de celle qui a été saisie. Cela se produit généralement parce que le système a été configuré pour extraire le mauvais champ d'adresse email. De nombreuses plateformes stockent plusieurs champs de type adresse email (par exemple, votreorganisation.com et on.votreorganisation.com). Si le champ utilisé n'est pas correct, l'administrateur peut simplement mettre à jour les paramètres pour sélectionner le bon.

Si vous avez encore besoin d'aide, n'hésitez pas à contacter notre équipe de support qui se fera un plaisir de vous aider.