Comment activer une connexion SSO avec Eurécia ?

 

Le SSO, quésako ?

Le SSO (Single Sign-On ou Authentification unique) permet de se connecter à Eurécia via un serveur (IdP) authentifiant les identités des utilisateurs.

Avec le SSO, nous ne stockons pas les mots de passe. Ils ne transitent pas sur le cloud. Nous utilisons directement le protocole SAML2.

 

 

Qui est concerné par cet article ?

Les administrateurs en charge du paramétrage d'Eurécia ou leurs collègues du service informatique 😉!  

 

Au programme dans cet article :

 

• Un point de vocabulaires
• Pré-requis
• Etape 1 : mise en place des éléments nécessaires à l’envoi de connexion SSO vers Eurécia - côté client
• Etape 2 : paramétrage de la connexion SSO - côté Eurécia

 

Un point de vocabulaires

Il existe 2 méthodes pour mettre en place une connexion SSO entre votre système d’information et Eurécia :

• Au travers d'un portail de connexion internet
• Au travers du protocole SAML2.0 (Microsoft ADFS ou Google APPS)

Un point de vocabulaire : SSO = Single Sign-On / Authentification unique IDP = Identity provider, serveur fournissant les identités des utilisateurs, c'est le point central de l'authentification, c'est un outil qui appartient au client : Active Directory + ADFS Azure AD Google Okta SP = Service Provider, dans notre cas c'est notre application Eurecia qui fourni un service de SIRH SAML2 = c'est le protocole utilisé pour échanger le jeton de sécurité entre l'IDP et le SP Metadata = métadonnées qui sont le support pour configurer l'IDP et le SP (certificat publique, clé, adresse...), ils doivent s'échanger ces métadonnées pour se connaître et se faire confiance, elles contiennent des certificats. Le plus souvent, il s'agit d'un fichier XML.

 

 

Pré-requis

Souscription à l’option SSO d'Eurécia

 

Etape 1 : mise en place des éléments nécessaires à l’envoi de connexion SSO vers Eurécia - côté client

• Pour la connexion Microsoft basée sur l'ADFS :
  • Version 2008 : télécharger le document de procédure détaillée. 
  • Version 2016 : voir Mise en place du SSO avec ADFS 2016
• Pour la connexion Azure AD : télécharger le document de procédure détaillée
• Pour la connexion Google : télécharger le document de procédure détaillée
• Pour la connexion au travers d'un portail (Inclus les phases de trusts / échanges de clés publiques et privées) : téléchargez le document de procédure détaillée.

 

Etape 2 : paramétrage de la connexion SSO - côté Eurécia

Accès : Espace Admin > Paramètres généraux > Fiche Société > onglet Paramétrage 

 

Je vais dans la rubrique 'Configuration SSO'

 

               Pour un connexion SSO SAML2.0

• "Fichier metadata" : ce fichier au format xml généré depuis votre server ADFS ou Google APPS doit être intégré à Eurécia pour pouvoir interpréter votre demande de connexion SSO
• "URL de déconnexion SSO" : permet à l'utilisateur d'être redirigé sur son portail internet lorsqu'il se déconnecte de Eurécia
• "Interdire la connexion par email et mot de passe" : permet de bloquer toute connexion à Eurécia autre qu'au travers du SSO (pas d'authentification interne à Eurécia)
• "Utiliser l'accès SSO dans les liens de validation des demandes" : permet de personnaliser avec votre SSO tous les liens d'accès à Eurécia contenus dans les mails de validation des demandes (congés, temps ou notes de frais)
• "Activer l'url personnalisée dans les mails de notification avec connexion SSO" : permet d'envoyer le lien vers votre url personnalisé dans les mails envoyés par Eurécia : validation des demandes de congés, des notes de frais,...

 

                Pour un connexion SSO au travers d'un portail internet

• "Identificateur" : renseigner un identificateur d’appel distant depuis le portail (ex : masociete). Cet Identificateur sera à reprendre dans l’url d’appel à la plateforme (cf. le document de procédure détaillée , chapitre introduction)
• "Certificat de confiance" : télécharger votre clé publique au format ".der" ou ".pem"
• "Limiter la durée de vie du token" : cochée (conseillé) permet d’assurer un niveau de sécurité élevé, obligeant ainsi la partie appelante (cliente) à renouveler le token à chaque accès (en relation avec le timestamp)
• "URL de connexion SSO" : Cette URL sera utilisée pour remplacer tout lien contenus dans les mails, hormis les liens de validation ou refus direct d'une demande
• "URL de déconnexion SSO" : permet à l'utilisateur d'être redirigé sur son portail internet lorsqu'il se déconnecte de Eurécia 
• "Interdire la connexion par email et mot de passe" : permet de bloquer toute connexion à Eurécia autre qu'au travers du SSO (pas d'authentification interne à Eurécia)
• "Utiliser l'accès SSO dans les liens de validation des demandes" : permet de personnaliser avec votre SSO tous les liens d'accès à Eurécia contenus dans les mails de validation des demandes (congés, temps ou notes de frais)
• "Activer l'url personnalisée dans les mails de notification avec connexion SSO" permet d'envoyer le lien vers votre url personnalisé dans les mails envoyés par Eurécia : validation des demandes de congés, des notes de frais,...

 

Attention !  Une compétence technique est indispensable pour mettre en place cette fonctionnalité. Dans les 2 cas, il est possible d’activer une synchronisation de la base salarié : pour Microsoft, la procédure est décrite dans le document de mise en place. Pour le portail, il est possible de passer par échange de fichiers .csv via un dépôt FTP.

 

Mots clés associés à cet article :

SSO - single - sign - token - metadata - SAML - AZUR - Azure - AzureAD - Azure AD - directory - microsoft - ADFS - active directory - URL - Google