Le SSO, quésako ?
Le SSO (Single Sign-On ou Authentification unique) permet de se connecter à Eurécia via un serveur (IdP) authentifiant les identités des utilisateurs.
Il existe 2 méthodes pour mettre en place une connexion SSO entre votre système d’information et Eurécia :
- Au travers d'un portail de connexion internet
- Au travers du protocole SAML2.0 (Microsoft ADFS ou Google APPS)
Un point de vocabulaire : SSO = Single Sign-On / Authentification unique IDP = Identity provider, serveur fournissant les identités des utilisateurs, c'est le point central de l'authentification, c'est un outil qui appartient au client :
SP = Service Provider, dans notre cas c'est notre application Eurecia qui fourni un service de SIRH SAML2 = c'est le protocole utilisé pour échanger le jeton de sécurité entre l'IDP et le SP Metadata = métadonnées qui sont le support pour configurer l'IDP et le SP (certificat publique, clé, adresse...), ils doivent s'échanger ces métadonnées pour se connaître et se faire confiance, elles contiennent des certificats. Le plus souvent, il s'agit d'un fichier XML. |
Pré-requis
Souscription à l’option SSO d'Eurécia
Etape 1 : mise en place des éléments nécessaires à l’envoi de connexion SSO vers Eurécia - côté client
- Pour la connexion au travers d'un portail : téléchargez le document de procédure détaillée. Inclus les phases de trusts (échanges de clés publiques et privées).
- Pour la connexion Microsoft : télécharger le document de procédure détaillée. Basé sur le rôle ADFS de votre serveur de domaine (protocole SAML2.0).
- Version 2016 : voir Mise en place du SSO avec ADFS 2016
- Pour la connexion Google : télécharger le document de procédure détaillée. Permet d'ajouter une application SAML Google liée à Eurécia (protocole SAML2.0).
Etape 2 : paramétrage de la connexion SSO - côté Eurécia
Accès : Espace Admin > Paramètres généraux > Fiche Société > onglet Paramétrage
- Je vais dans la rubrique 'Configuration SSO'
Pour un connexion SSO SAML2.0
- Champ "Fichier metadata" : ce fichier au format xml généré depuis votre server ADFS ou Google APPS doit être intégré à Eurécia pour pouvoir interpréter votre demande de connexion SSO
- Champ "URL de déconnexion SSO" : permet à l'utilisateur d'être redirigé sur son portail internet lorsqu'il se déconnecte de Eurécia
- La case "Interdire la connexion par email et mot de passe" : permet de bloquer toute connexion à Eurécia autre qu'au travers du SSO (pas d'authentification interne à Eurécia)
- La case "Utiliser l'accès SSO dans les liens de validation des demandes" : permet de personnaliser avec votre SSO tous les liens d'accès à Eurécia contenus dans les mails de validation des demandes (congés, temps ou notes de frais)
Pour un connexion SSO au travers d'un portail internet
- Champ "Identificateur" : renseigner un identificateur d’appel distant depuis le portail (ex : masociete). Cet Identificateur sera à reprendre dans l’url d’appel à la plateforme (cf. le document de procédure détaillée , chapitre introduction)
- Champ "Certificat de confiance" : télécharger votre clé publique au format ".der" ou ".pem"
- La case "Limiter la durée de vie du token" : cochée (conseillé) permet d’assurer un niveau de sécurité élevé, obligeant ainsi la partie appelante (cliente) à renouveler le token à chaque accès (en relation avec le timestamp)
- Champ "URL de connexion SSO" : Cette URL sera utilisée pour remplacer tout lien contenus dans les mails, hormis les liens de validation ou refus direct d'une demande
- Champ "URL de déconnexion SSO" : permet à l'utilisateur d'être redirigé sur son portail internet lorsqu'il se déconnecte de Eurécia
- La case "Interdire la connexion par email et mot de passe" : permet de bloquer toute connexion à Eurécia autre qu'au travers du SSO (pas d'authentification interne à Eurécia)
- La case "Utiliser l'accés SSO dans les liens de validation des demandes" : permet de personnaliser avec votre SSO tous les liens d'accés à Eurécia contenus dans les mails de validation des demandes (congés, temps ou notes de frais)
Une compétence technique est indispensable pour mettre en place cette fonctionnalité. Dans les 2 cas, il est possible d’activer une synchronisation de la base salarié : pour Microsoft, la procédure est décrite dans le document de mise en place. Pour le portail, il est possible de passer par échange de fichiers .csv via un dépôt FTP. |
Mots clés associés à cet article :
SSO - single - sign - token - metadata - SAML
Commentaires
0 commentaire
Cet article n'accepte pas de commentaires.