Articles dans cette section

Afficher plus

Gérer ses utilisateurs grâce au SSO (Solution d'authentification unique)

Avatar
L'équipe CSM
  • Mise à jour
S’abonner

La solution d’authentification unique (ou SSO en anglais pour Single Sign-On) permet aux utilisateurs d’utiliser une seule méthode de connexion pour  accéder à toutes leurs applications.

Zélit permet d’utiliser le SSO avec votre fournisseur d’identité en utilisant le protocole SAML pour simplifier la gestion de vos utilisateurs et faciliter leur connexion à l’application Zélit.

 

⚠️ Il est préférable que cette configuration soit réalisée par un membre de votre DSI avec de l’expérience dans la création d’application au sein de votre fournisseur d’identité (IdP).

 

1ère étape: Configurer le fournisseur d'identification.

1/ Pour commencer la configuration, rendez-vous dans votre Studio> Onglet "Organisation" > Connecteurs > SSO/SAML

FR.png

2/ Les champs URL de connexion au SSOAudience Restriction ou Service Provider ID sont des paramètres propres à votre application Zélit. Ils doivent être copiés/collés dans la configuration de votre IdP.

3/ Après avoir renseigné les 2 URLs ci-dessus, votre IdP vous fournira une URL de métadata qui sera à copier/coller dans le champs du même nom dans votre Studio.

 

4/ Dans votre IdP, vous devez configurer le mappage des attributs suivants afin que vos utilisateurs soient correctement identifiés dans Zélit :
• l’attribut firstname doit être associé au prénom de l’utilisateur
• l’attribut lastname doit être associé au nom de famille de l’utilisateur
• l’attribut email doit être associé à l’adresse e-mail de l’utilisateur

5/ Dans la configuration de votre IdP, n’oubliez pas d’autoriser vos utilisateurs à se connecter à l’application Zélit

 

Si vous utilisez une configuration ADFS :

- Pensez également à activer le RelayState. 
- Voici un script qui vous aidera à configurer correctement tous les paramètres de votre ADFS :

$Endpoint = New-ADFSSamlEndpoint -Binding "POST" -Protocol "SAMLAssertionConsumer" -Uri "https://bo.touch-sell.net/saml/registers/acs" -IsDefault $True
$ClaimRules = @'
c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier"]
=> issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Value = c.Value, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress");
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"]
=> issue(store = "Active Directory", types = ("email", "lastname", "firstname"), query = ";mail,sn,givenName;{0}", param = c.Value);
'@
$ClaimRules | out-file rules.txt
Add-AdfsRelyingPartyTrust -Name "Touch and Sell" -Identifier "https://bo.touch-sell.net/XXX" -SignatureAlgorithm http://www.w3.org/2001/04/xmldsig-more#rsa-sha256 -SamlEndpoint $Endpoint -IssuanceTransformRulesFile rules.txt

 

2ème étape: Personnaliser les options de configuration (depuis votre Studio Zélit).  

Capture_d__cran_2019-09-18___16.42.40.png

- Création automatique des comptes utilisateurs à la connexion

En activant cette option, plus besoin d'enregistrer au préalable les utilisateurs dans le Studio. En se connectant via le SSO, ils seront automatiquement ajoutés à la liste des utilisateurs Zélit et une licence leur sera attribuée. 
Ces utilisateurs ajoutés dans le Studio par cette méthode seront ajoutés par défaut au groupe "Principal".

- Mode de connexion des utilisateurs

Il existe 2 modes de connexion:
Via SSO: C'est la méthode qui fait l'objet de cet article.
Via Email: L’utilisateur doit être enregistré au préalable dans le Studio. Il entre son adresse email pour s'enregistrer, il reçoit alors un email pour confirmer son identité. Après avoir cliqué sur le lien de l'email, il est ensuite automatiquement connecté à l'application. 

⚠️ Le mode de connexion activé par défaut est la connexion par email. Après avoir configuré votre fournisseur d'application, veillez bien à activer la connexion par SSO (ou à minima "Email+SSO" qui laisse le choix à l'utilisateur d'utiliser l'un ou l'autre).

- Nom de votre SSO

Personnalisez le bouton connexion pour que ce soit plus clair pour vos utilisateurs.
Par exemple “Google” ou “Salesforce” pour avoir un bouton “Connexion Google” ou “Connexion Salesforce” au lieu du bouton par défaut “Connexion SSO”.

 

⚠️ N'oubliez pas de cliquer sur Enregistrer.

 

3ème étape: Connexion de vos utilisateurs à l'application.

Après avoir téléchargé l'application sur leur appareil, vos utilisateurs seront invités à se connecter à l'application par la méthode de SSO, à condition que vous l'ayez bien activée comme décrit plus haut. 

Perf_FR.PNG

En cliquant sur le bouton pour se connecter via SSO, ils seront redirigés vers l'interface de connexion de votre Identity Provider (comme Google par exemple).

- Si vous avez activé l'option "Création de compte": Peu importe si l'utilisateur avait été enregistré dans le Studio au préalable ou pas, sa fiche sera créée si besoin, puis son appareil relié à sa fiche utilisateur.
- Si l'option "Création de compte" est désactivée: il vous faudra au préalable créer la fiche utilisateur et lui ouvrir l'accès à l’application pour lui attribuer une licence. 

 

 

Note: 
Pour le moment, la modification/suppression d'utilisateurs dans votre IdP n'est pas répercutée dans l'application Zélit. Si vous apportez une modification à un utilisateur après que celui-ci se soit connecté à l'application, il vous faudra modifier sa fiche utilisateur depuis votre Studio Zélit.

Commentaires

0 commentaire

Vous devez vous connecter pour laisser un commentaire.