📆 Nouveautés & Événement !
Français English (GB) Español (España)

Mise en place d'une connexion SSO avec Eurecia : documentation technique

S’abonner

 

Vous souhaitez mettre en place la connexion SSO avec Eurecia.

Voici quelques éléments clefs à connaitre pour la configuration de votre IDP. 

 

 

 

Qui est concerné par cet article ?

 

Le Service technique en charge de la configuration

 

 

 

 

Prérequis : 

                                  Souscription à l’option SSO d'Eurécia

 

 

Méthodes de mise en place d'une connexion SSO entre votre système d'exploitation et Eurécia :

 

schéma sso.png

 

 

Il existe 2 méthodes pour mettre en place une connexion SSO entre votre système d’information et Eurécia :

  • Au travers d'un portail de connexion internet
  • Au travers du protocole SAML2.0 (Microsoft ADFS ou Google APPS)

 

 

Image1.png

Un point de vocabulaire :

SSO = Single Sign-On / Authentification unique

IDP = Identity provider, serveur fournissant les identités des utilisateurs, c'est le point central de l'authentification. Par exemple  : L'EntityID de l'IDP d'un client Microsoft Entra ID aura toujours la forme : https://sts.windows.net/<ID_unique_au_client>/

SP = Service Provider, dans notre cas c'est notre application Eurecia qui fourni un service de SIRH. Par exemple : L'entityID d'Eurécia en tant que SP est toujours : https://plateforme.eurecia.com/shibboleth

SAML2 = c'est le protocole utilisé pour échanger le jeton de sécurité entre l'IDP et le SP

Metadata = métadonnées qui sont le support pour configurer l'IDP et le SP (certificat publique, clé, adresse...), ils doivent s'échanger ces métadonnées pour se connaître et se faire confiance, elles contiennent des certificats. Le plus souvent, il s'agit d'un fichier XML.

 

 

Point d'attention :

 

Si actuellement, vous vous connectez avec une url personnalisée. La mise en place d'une connexion SSO nécessitera l'abandon de celle-ci. 

En effet, les urls personnalisées déstabilisent la connexion SSO en générant des requêtes. Pour une connexion pérenne en SSO, l'url doit être supprimée.

 

Comment faire ? 

 

Rapprochez vous de votre administrateur et demandez lui de faire une demande de suppression d'url personnalisée au support.

Une action est nécessaire côté Eurecia pour que vous puissiez basculer sur l'url Générique.

 

Comment cela se passe ?

 

Une fois, votre demande de suppression prise en compte. 

Le consultant support vous demandera à quelle date vous souhaitez la suppression et le basculement vers notre url générique plateforme.eurecia.com.

De cette façon, nos services se coordonnent afin que vous puissiez réaliser la communication auprès de vos collaborateurs du changement d'url et de la mise en place du SSO 😉

Astuce : Pensez à indiquer à vos collaborateurs de mettre à jour leur favoris et vider cache et cookies du navigateur.

 

Configuration selon votre IDP⚙️

 

Configuration avec connexion Microsoft basée sur l'ADFS : 

 

 

Configuration avec Microsoft Entra ID (Anciennement Azure AD) :

 

 

Configuration avec Google :

 

 

Configuration au travers d'un portail (Inclus les phases de trusts / échanges de clés publiques et privées) :

 

 

Configuration avec OKTA :

 

Voici ce que nous préconisons dans le paramétrage d'OKTA :
 

 
Concernant le Name ID format, voici les informations :
 

 
Une fois la configuration terminée, l'URL de connexion sera alors : https://plateforme.eurecia.com/Shibboleth.sso/Login?entityID=[votre_entity_ID] (entityID de votre fichier metadata sans les ")

 

 

Vous utilisez un autre IDP que ceux mentionnés précédemment : 

 

Voici quelques informations utiles pour vote configuration :

  • EntityID (cet élément sera toujours comme cela) : https ://plateforme.eurecia.com/shibboleth
  • Url de réponse : https ://plateforme.eurecia.com/shibboleth.sso/SAML/POST

  • Attention à la notion d'attribut sur certain IDP, pour votre configuration cela doit être pour l'authentification :

    Name = emailadress (suivant l'IDP utilisé l'intitulé des attributs varie) voici un exemple de ce que l'on attend : Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"

 

L'attribut pour la connexion est l'email car pour vous connecter sur Eurecia l'identifiant est l'adresse mail du collaborateur 😊

 

 

Configuration sur votre plateforme Eurecia ⚙️

 

Pour cela rapprochez vous de votre administrateur qui a les accès à la fiche société de la plateforme et pourra cocher les cases correspondantes :

 

Pour la connexion via le protocole SAML 2.0 :

[image de la configuration SSO de votre plateforme]

configuration SSO - fiche société.png

 

  • "Fichier metadata" : ce fichier au format XML généré depuis votre serveur ADFS ou Google APPS doit être intégré à Eurécia pour pouvoir interpréter votre demande de connexion SSO : Fichier à communiquer à votre administrateur pour l'uploader sur la plateforme.

 

  • "URL de déconnexion SSO" : permet à l'utilisateur d'être redirigé sur son portail internet lorsqu'il se déconnecte d'Eurécia.

 

  • "Interdire la connexion par email et mot de passe" : permet de bloquer toute connexion à Eurécia autre qu'au travers du SSO (pas d'authentification interne à Eurécia)

 

  • "Utiliser l'accès SSO dans les liens de validation des demandes" : permet de personnaliser avec votre SSO tous les liens d'accès à Eurécia contenus dans les mails de validation des demandes (congés, temps ou notes de frais)

 

Pour la connexion au travers d'un portail internet :

[image de la configuration SSO de votre plateforme]

ancien SSO.jpg
  • "Identificateur" : renseigner un identificateur d’appel distant depuis le portail (ex : ma société). Cet Identificateur sera à reprendre dans l’url d’appel à la plateforme (cf. paragraphe : configuration selon votre IDP )

 

  • "Certificat de confiance" : Charger votre clé publique au format ".der" ou ".pem"

 

  • "Limiter la durée de vie du token" : cochée (conseillé) permet d’assurer un niveau de sécurité élevé, obligeant ainsi la partie appelante (cliente) à renouveler le token à chaque accès (en relation avec le timestamp)

     

  • "URL de connexion SSO" : Cette URL sera utilisée pour remplacer tout lien contenus dans les mails, hormis les liens de validation ou refus direct d'une demande.

 

  • "URL de déconnexion SSO" : permet à l'utilisateur d'être redirigé sur son portail internet lorsqu'il se déconnecte d'Eurécia.

 

  • "Interdire la connexion par email et mot de passe" : permet de bloquer toute connexion à Eurécia autre qu'au travers du SSO (pas d'authentification interne à Eurécia)

 

  • "Utiliser l'accès SSO dans les liens de validation des demandes" : permet de personnaliser avec votre SSO tous les liens d'accès à Eurécia contenus dans les mails de validation des demandes (congés, temps ou notes de frais).

 

 

Utilisation possible sur Mobile  

 

Eurecia est disponible sur mobile grâce à une PWA (Progressive Web App). 

La connexion SSO est donc réalisable sur mobile 😁

Pour installer un raccourci sur le téléphone de vos collaborateurs, suivez les indications de l'article suivant : Accéder à Eurécia via votre mobile (Android et iOS)

 

 

 

Image1.png

 

Dans les 2 cas de mise en place, il est possible d’activer une synchronisation de la base salarié : pour Microsoft, la procédure est décrite dans le document de mise en place. 

Pour le portail, il est possible de passer par échange de fichiers .csv via un dépôt FTP.

 

 

Mots clés associés à cet article :

SSO - single - sign - token - metadata - SAML - AZUR - Azure - AzureAD - Azure AD - directory - microsoft - ADFS - active directory - URL - Google

Avatar
Rédigé par Marjorie
  • Mise à jour
Cet article vous a-t-il été utile ?
Utilisateurs qui ont trouvé cela utile : 0 sur 0
Retour en haut

Articles associés

Commentaires

0 commentaire

Vous devez vous connecter pour laisser un commentaire.

Articles dans cette section