Comment activer une connexion SSO avec Eurécia ?

Le SSO, quésako ?

Le SSO (Single Sign-On ou Authentification unique) permet de se connecter à Eurécia via un serveur (IdP) authentifiant les identités des utilisateurs.

Avec le SSO, nous ne stockons pas les mots de passe. Ils ne transitent pas sur le cloud. Nous utilisons directement le protocole SAML2.

Il existe 2 méthodes pour mettre en place une connexion SSO entre votre système d’information et Eurécia :

• Au travers d'un portail de connexion internet
• Au travers du protocole SAML2.0 (Microsoft ADFS ou Google APPS)

Pré-requis

Souscription à l’option SSO d'Eurécia

Etape 1 : mise en place des éléments nécessaires à l’envoi de connexion SSO vers Eurécia - côté client

• Pour la connexion au travers d'un portail : téléchargez le document de procédure détaillée. Inclus les phases de trusts (échanges de clés publiques et privées).
• Pour la connexion Microsoft : télécharger le document de procédure détaillée. Basé sur le rôle ADFS de votre serveur de domaine (protocole SAML2.0).
  • Version 2016 : voir Mise en place du SSO avec ADFS 2016
• Pour la connexion Google : télécharger le document de procédure détaillée. Permet d'ajouter une application SAML Google liée à Eurécia (protocole SAML2.0).

Etape 2 : paramétrage de la connexion SSO - côté Eurécia

Accès : Espace Admin > Paramètres généraux > Fiche Société > onglet Paramétrage 

• Je vais dans la rubrique 'Configuration SSO'

               Pour un connexion SSO SAML2.0

• Champ "Fichier metadata" : ce fichier au format xml généré depuis votre server ADFS ou Google APPS doit être intégré à Eurécia pour pouvoir interpréter votre demande de connexion SSO
• Champ "URL de déconnexion SSO" : permet à l'utilisateur d'être redirigé sur son portail internet lorsqu'il se déconnecte de Eurécia
• La case "Interdire la connexion par email et mot de passe" : permet de bloquer toute connexion à Eurécia autre qu'au travers du SSO (pas d'authentification interne à Eurécia)
• La case "Utiliser l'accès SSO dans les liens de validation des demandes" : permet de personnaliser avec votre SSO tous les liens d'accès à Eurécia contenus dans les mails de validation des demandes (congés, temps ou notes de frais)

                Pour un connexion SSO au travers d'un portail internet

• Champ "Identificateur" : renseigner un identificateur d’appel distant depuis le portail (ex : masociete). Cet Identificateur sera à reprendre dans l’url d’appel à la plateforme (cf. le document de procédure détaillée , chapitre introduction)
• Champ "Certificat de confiance" : télécharger votre clé publique au format ".der" ou ".pem"
• La case "Limiter la durée de vie du token" : cochée (conseillé) permet d’assurer un niveau de sécurité élevé, obligeant ainsi la partie appelante (cliente) à renouveler le token à chaque accès (en relation avec le timestamp)
• Champ "URL de connexion SSO" : Cette URL sera utilisée pour remplacer tout lien contenus dans les mails, hormis les liens de validation ou refus direct d'une demande
• Champ "URL de déconnexion SSO" : permet à l'utilisateur d'être redirigé sur son portail internet lorsqu'il se déconnecte de Eurécia 
• La case "Interdire la connexion par email et mot de passe" : permet de bloquer toute connexion à Eurécia autre qu'au travers du SSO (pas d'authentification interne à Eurécia)
• La case "Utiliser l'accés SSO dans les liens de validation des demandes" : permet de personnaliser avec votre SSO tous les liens d'accés à Eurécia contenus dans les mails de validation des demandes (congés, temps ou notes de frais)

Mots clés associés à cet article :

SSO - single - sign - token - metadata - SAML