📆 Nouveautés & Événement !
Français English (GB) Español (España)

Découvrez toutes les nouveautés disponibles sur Eurécia !
✍ La signature électronique
☕ Simplifier la gestion des pauses : déclarer ou badger vos pauses directement dans vos feuilles de temps !

Comment activer une connexion SSO avec Eurécia ?

S’abonner

Le SSO, quésako ?

Le SSO (Single Sign-On ou Authentification unique) permet de se connecter à Eurécia via un serveur (IdP) authentifiant les identités des utilisateurs.

Avec le SSO, nous ne stockons pas les mots de passe. Ils ne transitent pas sur le cloud. Nous utilisons directement le protocole SAML2.

 

sso_connections.png

 

Il existe 2 méthodes pour mettre en place une connexion SSO entre votre système d’information et Eurécia :

  • Au travers d'un portail de connexion internet
  • Au travers du protocole SAML2.0 (Microsoft ADFS ou Google APPS)

 

 

Un point de vocabulaire :

SSO = Single Sign-On / Authentification unique

IDP = Identity provider, serveur fournissant les identités des utilisateurs, c'est le point central de l'authentification, c'est un outil qui appartient au client :

  • Active Directory + ADFS
  • Azure AD
  • CAS
  • Google
  • Okta

SP = Service Provider, dans notre cas c'est notre application Eurecia qui fourni un service de SIRH

SAML2 = c'est le protocole utilisé pour échanger le jeton de sécurité entre l'IDP et le SP

Metadata = métadonnées qui sont le support pour configurer l'IDP et le SP (certificat publique, clé, adresse...), ils doivent s'échanger ces métadonnées pour se connaître et se faire confiance, elles contiennent des certificats. Le plus souvent, il s'agit d'un fichier XML.

 

 

Pré-requis

Souscription à l’option SSO d'Eurécia

 

Etape 1 : mise en place des éléments nécessaires à l’envoi de connexion SSO vers Eurécia - côté client

 

Etape 2 : paramétrage de la connexion SSO - côté Eurécia

Accès : Espace Admin > Paramètres généraux > Fiche Société > onglet Paramétrage 

  • Je vais dans la rubrique 'Configuration SSO'

               Pour un connexion SSO SAML2.0

  • Champ "Fichier metadata" : ce fichier au format xml généré depuis votre server ADFS ou Google APPS doit être intégré à Eurécia pour pouvoir interpréter votre demande de connexion SSO
  • Champ "URL de déconnexion SSO" : permet à l'utilisateur d'être redirigé sur son portail internet lorsqu'il se déconnecte de Eurécia
  • La case "Interdire la connexion par email et mot de passe" : permet de bloquer toute connexion à Eurécia autre qu'au travers du SSO (pas d'authentification interne à Eurécia)
  • La case "Utiliser l'accès SSO dans les liens de validation des demandes" : permet de personnaliser avec votre SSO tous les liens d'accès à Eurécia contenus dans les mails de validation des demandes (congés, temps ou notes de frais)

 

                Pour un connexion SSO au travers d'un portail internet

  • Champ "Identificateur" : renseigner un identificateur d’appel distant depuis le portail (ex : masociete). Cet Identificateur sera à reprendre dans l’url d’appel à la plateforme (cf. le document de procédure détaillée , chapitre introduction)
  • Champ "Certificat de confiance" : télécharger votre clé publique au format ".der" ou ".pem"
  • La case "Limiter la durée de vie du token" : cochée (conseillé) permet d’assurer un niveau de sécurité élevé, obligeant ainsi la partie appelante (cliente) à renouveler le token à chaque accès (en relation avec le timestamp)
  • Champ "URL de connexion SSO" : Cette URL sera utilisée pour remplacer tout lien contenus dans les mails, hormis les liens de validation ou refus direct d'une demande
  • Champ "URL de déconnexion SSO" : permet à l'utilisateur d'être redirigé sur son portail internet lorsqu'il se déconnecte de Eurécia 
  • La case "Interdire la connexion par email et mot de passe" : permet de bloquer toute connexion à Eurécia autre qu'au travers du SSO (pas d'authentification interne à Eurécia)
  • La case "Utiliser l'accès SSO dans les liens de validation des demandes" : permet de personnaliser avec votre SSO tous les liens d'accès à Eurécia contenus dans les mails de validation des demandes (congés, temps ou notes de frais)

 


Attention ! 

Une compétence technique est indispensable pour mettre en place cette fonctionnalité.

Dans les 2 cas, il est possible d’activer une synchronisation de la base salarié : pour Microsoft, la procédure est décrite dans le document de mise en place. Pour le portail, il est possible de passer par échange de fichiers .csv via un dépôt FTP.

 

Mots clés associés à cet article :

SSO - single - sign - token - metadata - SAML - AZUR - Azure - AzureAD - Azure AD - directory - microsoft - active directory

Avatar
Rédigé par Yaël
  • Mise à jour
Cet article vous a-t-il été utile ?
Utilisateurs qui ont trouvé cela utile : 5 sur 8
Retour en haut

Articles associés

Commentaires

0 commentaire

Cet article n'accepte pas de commentaires.

Articles dans cette section