Comment activer une connexion SSO avec Eurécia ?

Le SSO, quésako ?

Le SSO (Single Sign-On ou Authentification unique) permet de se connecter à Eurécia via un serveur (IdP) authentifiant les identités des utilisateurs.

Il existe 2 méthodes pour mettre en place une connexion SSO entre votre système d’information et Eurécia :

• Au travers d'un portail de connexion internet
• Au travers du protocole SAML2.0 (Microsoft ADFS ou Google APPS)

Pré-requis

Souscription à l’option SSO d'Eurécia

Etape 1 : mise en place des éléments nécessaires à l’envoi de connexion SSO vers Eurécia - côté client

• Pour la connexion au travers d'un portail : téléchargez le document de procédure détaillée. Inclus les phases de trusts (échanges de clés publiques et privées).
• Pour la connexion Microsoft : télécharger le document de procédure détaillée. Basé sur le rôle ADFS de votre serveur de domaine (protocole SAML2.0).
  • Version 2016 : voir Mise en place du SSO avec ADFS 2016
• Pour la connexion Google : télécharger le document de procédure détaillée. Permet d'ajouter une application SAML Google liée à Eurécia (protocole SAML2.0).

Etape 2 : paramétrage de la connexion SSO - côté Eurécia

Accès : Espace Admin > Société

Dans l’onglet paramétrage à la rubrique "Configuration SSO" :

                Pour un connexion SSO au travers d'un portail internet

• Champ "Identificateur" : renseigner un identificateur d’appel distant depuis le portail (ex : masociete). Cet Identificateur sera à reprendre dans l’url d’appel à la plateforme (cf. le document de procédure détaillée , chapitre introduction)
• Champ "Certificat de confiance" : télécharger votre clé publique au format ".der" ou ".pem"
• La case "Limiter la durée de vie du token" : cochée (conseillé) permet d’assurer un niveau de sécurité élevé, obligeant ainsi la partie appelante (cliente) à renouveler le token à chaque accès (en relation avec le timestamp)
• Champ "URL de connexion SSO" : Cette URL sera utilisée pour remplacer tout lien contenus dans les mails, hormis les liens de validation ou refus direct d'une demande
• Champ "URL de déconnexion SSO" : permet à l'utilisateur d'être redirigé sur son portail internet lorsqu'il se déconnecte de Eurécia 
• La case "Interdire la connexion par email et mot de passe" : permet de bloquer toute connexion à Eurécia autre qu'au travers du SSO (pas d'authentification interne à Eurécia)
• La case "Utiliser l'accés SSO dans les liens de validation des demandes" : permet de personnaliser avec votre SSO tous les liens d'accés à Eurécia contenus dans les mails de validation des demandes (congés, temps ou notes de frais)

               Pour un connexion SSO SAML2.0

• Champ "Fichier metadata" : ce fichier au format xml généré depuis votre server ADFS ou Google APPS doit être intégré à Eurécia pour pouvoir interpréter votre demande de connexion SSO
• Champ "URL de déconnexion SSO" : permet à l'utilisateur d'être redirigé sur son portail internet lorsqu'il se déconnecte de Eurécia
• La case "Interdire la connexion par email et mot de passe" : permet de bloquer toute connexion à Eurécia autre qu'au travers du SSO (pas d'authentification interne à Eurécia)
• La case "Utiliser l'accés SSO dans les liens de validation des demandes" : permet de personnaliser avec votre SSO tous les liens d'accés à Eurécia contenus dans les mails de validation des demandes (congés, temps ou notes de frais)