Sinch Engage fait la transition vers l'utilisation de l'identifiant Sinch - un service d'authentification partagé pour les produits Sinch. L'identifiant Sinch est basé sur la plateforme Auth0. L'identifiant Sinch prend en charge la connexion avec un nom d'utilisateur et un mot de passe (avec MFA via SMS, Authenticator (TOTP) et clés de sécurité) ainsi que l'authentification unique (SSO) basée sur SAML 2.0.
Le SSO basé sur SAML convient aux entreprises souhaitant exploiter leurs services d'identité existants pour offrir une expérience de connexion plus simple à leurs utilisateurs. Il est disponible pour tous les clients Sinch Engage ayant un contrat ou un abonnement (à l'exclusion du forfait Basics).
Cet article fournit des instructions pour configurer la connexion SSO SAML avec Sinch Engage - avec des exemples pour le fournisseur d'identité Microsoft Entra, mais le SSO fonctionnera avec tout IdP (fournisseur d'identité) compatible SAML 2.0.
Étapes principales
Pour configurer votre domaine avec le SSO SAML pour la connexion à Sinch Engage, les étapes suivantes sont requises :
Obtenir l'accès à la fonctionnalité SSO SAML de l'identifiant Sinch
Ajouter et valider un domaine
-
Configurer le SSO
Dans l'identifiant Sinch
Dans votre IdP (plateforme de fournisseur d’identité)
Assigner des utilisateurs pour accéder à Sinch Engage dans votre IdP
Inviter des utilisateurs sur Sinch Engage et assigner des rôles
Tester et valider la configuration SSO
Remarque : Pour effectuer la configuration complète du SSO, vous, vos équipes ou votre fournisseur de service aurez besoin d'accéder à :
- Votre configuration d'hébergement DNS / de domaine
- Votre plateforme de fournisseur d'identité (IdP) pour configurer l'application pour le SSO et ajouter des utilisateurs aux groupes
Étapes détaillées pour activer le SSO SAML
Accès au SSO SAML de l'identifiant Sinch
Pour l'instant, veuillez contacter notre équipe support ou votre chargé de compte pour activer l'accès à cette fonctionnalité.
Ajouter et valider un domaine
Avant de pouvoir configurer le SSO pour un domaine donné, vous devez ajouter le domaine et en valider la propriété. Cela se fait en ajoutant un enregistrement TXT à votre DNS, que nous validons. Cela protège contre l'utilisation abusive de votre domaine et assure la sécurité de votre configuration SSO.
Instructions étape par étape
- Connectez-vous à Sinch Engage et allez dans Compte > Sécurité.
- Cliquez sur le bouton Configurer SSO dans le panneau Comment connecter SSO avec SAML - vous devrez peut-être faire défiler la page jusqu'en bas si vous utilisez déjà l'ancienne solution SSO de Sinch Engage. Vous accéderez ainsi au portail Sinch ID.
Allez dans Configuration SSO > Domaines
-
Choisissez Connecter un domaine :
-
Entrez le domaine que vous souhaitez configurer pour le SSO SAML - au format mondomaine.com et cliquez sur Envoyer :
-
Il vous sera présenté un enregistrement TXT qui doit être ajouté à la configuration DNS de votre domaine :
-
Copiez l'enregistrement TXT et ajoutez-le à votre DNS. Cliquez sur OK pour revenir à la liste des domaines. Veuillez vous référer à votre équipe informatique ou à votre fournisseur de service pour obtenir de l'aide sur la configuration DNS.
Remarque : Il est recommandé de maintenir la session de navigation sur my.sinch.com active jusqu'à ce que le domaine soit confirmé comme vérifié à l'étape 8.
-
Votre domaine sera ajouté - avec le statut « En cours d'examen ». Une fois que l'enregistrement DNS a eu le temps de se propager, vous pouvez cliquer sur Vérifier le DNS pour vérifier si l'enregistrement peut être vu :
Remarque : La propagation du DNS peut prendre quelques minutes, ou beaucoup plus longtemps. Vérifiez vos paramètres TTL DNS.
-
Une fois propagé, le statut du domaine changera en
Vérifiéet vous verrez un boutonGérer.
Configurer le SSO SAML dans l'identifiant Sinch et votre plateforme d'identité (IdP)
Guide Microsoft Entra (Azure AD)
Remarque : Ceci est la version de la documentation pour Microsoft Entra / Azure Active Directory. Si vous utilisez une plateforme IdP différente, les instructions peuvent différer ou des valeurs supplémentaires peuvent être requises.
Microsoft Entra (Azure AD) |
Identifiant Sinch - Configuration SAML SSO |
|
| 1 |
Créer l'application Entra
|
|
| 2 |
|
Obtenir les détails de la connexion SAML
|
| 3 |
Configuration SAML de base
|
|
| 4 |
Configurer l'URL de connexion Copiez l' |
|
| 5 |
|
|
| 6 |
Échanger le certificat
|
|
| 7 |
|
Importer le certificat
|
| 8 |
|
Activer la requête signée (POST)
|
| 9 |
|
Activer le SSO d'entreprise
Remarque : Il est recommandé de laisser l'accès par Nom d'utilisateur et mot de passe activé jusqu'à ce que vous ayez validé que la configuration SSO est complète et fonctionne comme prévu |
Assigner des utilisateurs à l'application dans votre IdP
Avant que les utilisateurs puissent accéder à Sinch Engage en utilisant le SSO SAML, l'accès à l'application doit leur être assigné dans votre IdP.
Pour Microsoft Entra (Azure AD), cela peut être fait en allant dans Utilisateurs et groupes dans l'application Sinch Engage, et en sélectionnant les utilisateurs ou les groupes pour accorder l'accès.
Ajoutez au moins un utilisateur ou groupe pour les tests initiaux.
Activer le libre-service
Si vous utilisez Microsoft Entra - My Access, vous pouvez configurer les utilisateurs pour qu'ils demandent l'accès à Sinch Engage. Dans le portail d'administration Entra, allez dans l'application Sinch Engage, et allez dans la section Libre-service.
Inviter des utilisateurs sur votre compte Sinch Engage
Remarque : Actuellement, les utilisateurs doivent être invités et créés dans Sinch Engage, et se voir accorder des autorisations dans votre IdP. Nous travaillons sur la capacité pour que les utilisateurs soient automatiquement provisionnés et créés dans Sinch Engage.
Avant que les utilisateurs puissent se connecter et utiliser Sinch Engage, ils doivent être invités par un utilisateur Admin, et se voir assigner un rôle pour le ou les comptes.
Pour ce faire :
Connectez-vous à Sinch Engage avec un utilisateur qui a le rôle d'administrateur
Dans le menu de gauche, allez dans Paramètres > Utilisateurs et cliquez sur le bouton Nouvel utilisateur en haut à droite
Ajoutez l'email du ou des utilisateurs, et sélectionnez le rôle (pour plus d'informations sur les rôles, consultez le [lien vers l'article sur les rôles d'utilisateur]) et le ou les comptes auxquels vous souhaitez assigner l'utilisateur
Cliquez sur Envoyer l'invitation
L'utilisateur recevra un email l'informant qu'il a été invité sur Sinch Engage. Il doit cliquer sur le lien pour accepter et son compte utilisateur sera créé.
Il peut ensuite se connecter en utilisant le SSO SAML - à condition que l'accès ait été accordé par votre IdP (section précédente).
Tester et valider
Vous êtes maintenant prêt à tester votre configuration SSO SAML avec Sinch Engage.
Dans une session de navigation vierge, allez sur app.sinch.com
Entrez l'email d'un utilisateur assigné et cliquez sur Continuer
Si l'utilisateur n'est pas connecté à son compte Microsoft Entra, il sera invité à se connecter et à s'authentifier - en fonction des paramètres de votre IdP
Une fois connecté à son compte Entra, l'utilisateur sera connecté en toute sécurité à Sinch Engage
Désactiver l'accès par nom d'utilisateur et mot de passe
Pour garantir la sécurité et les avantages complets du SSO, vous devez désactiver la connexion par nom d'utilisateur et mot de passe depuis la section de gestion des domaines de l'identifiant Sinch.
Remarque : Assurez-vous d'avoir au moins un utilisateur ayant accès pour gérer la configuration SSO (un propriétaire dans le portail de l'identifiant Sinch, section de configuration SSO), avec un domaine différent de celui en cours de configuration pour le SSO. Cet utilisateur peut se connecter en dehors du SSO et mettre à jour la configuration selon les besoins.
FAQ et résolution des problèmes
La connexion initiée par l'IdP est-elle supported ?
Malheureusement, la connexion initiée par l'IdP n'est actuellement pas supported pour Sinch Engage. Ceci est prévu dans une version future.
Pourquoi dois-je inviter des utilisateurs depuis Sinch Engage ? / Prenez-vous en charge le provisionnement automatisé des utilisateurs ?
Pour l'instant, vous devez inviter les utilisateurs depuis Sinch Engage - pour vous assurer qu'ils sont assignés au bon rôle et au(x) bon(s) compte(s).
Nous travaillons sur la capacité de provisionnement automatisé et nous attendons qu'elle soit disponible dans une version future.
Comment puis-je accéder à la configuration SSO en cas de problème ?
Dans le cas où la configuration SSO ne fonctionne pas, les utilisateurs ayant un rôle de propriétaire de domaine dans le portail de l'identifiant Sinch (my.sinch.com) peuvent se connecter avec des identifiants non SSO pour résoudre le problème.
Comment les utilisateurs peuvent-ils accéder à Sinch Engage en cas de problème avec la configuration de notre IdP ou de notre SSO ?
À partir du portail de l'identifiant Sinch (http://my.sinch.com) vous pouvez désactiver la connexion SSO d'entreprise.
Notez cependant que seuls les utilisateurs qui avaient précédemment un nom d'utilisateur et un mot de passe pourront se connecter à Sinch Engage. Les utilisateurs sans mot de passe devront faire réinitialiser leurs identifiants en contactant le support.
Problème / erreur |
Résolution |
|---|---|
|
Erreur : L'authentification SSO a échoué Il y a plusieurs raisons pour lesquelles vous pouvez voir ce message d'erreur. Vous trouverez les deux exemples les plus courants ici. Cependant, si aucune de ces raisons ne s'applique, veuillez contacter le support. |
|
|
Microsoft Entra - Erreur de liaisons de connexion
|
Pour Microsoft Entra, vous devez activer « Requêtes signées » selon l'étape 8 ci-dessus, et vous assurer que le protocole est POST. |