Après avoir configuré et testé votre configuration JWT, Document360 vous donne un contrôle total sur le comportement de chaque configuration en production. Vous pouvez activer ou désactiver des configurations individuelles, régénérer des jetons secrets, gérer la manière dont les lecteurs sont dirigés vers la bonne configuration JWT, contrôler l’apparence de la page de connexion du lecteur, et consulter une trace complète d’audit de toutes les modifications.
Avant que tu commences
- Seuls les utilisateurs ayant les rôles de projet Propriétaire ou Administrateur peuvent gérer les configurations JWT.
- Au moins une configuration JWT doit déjà exister dans votre projet. Si vous n’en avez pas encore créé, consultez Configurer JWT dans Document360.
Gestion des configurations
Activer ou désactiver une configuration JWT
Vous pouvez désactiver une configuration JWT sans la supprimer. C’est utile lorsque vous devez suspendre temporairement une configuration sans perdre ses paramètres.
- Va dans Paramètres () > Utilisateurs et permissions > JWT.
- Localisez la configuration JWT que vous souhaitez gérer.
- Cliquez sur l’icône Modifier () dans la configuration.
- Développer les paramètres avancés.
- Désactivez l’activation de l’authentification JWT pour désactiver ou activez pour réactiver.
- Cliquez sur Enregistrer.
Supprimer une configuration JWT
- Va dans Paramètres () > Utilisateurs et permissions > JWT.
- Localisez la configuration JWT que vous souhaitez retirer.
- Cliquez sur l’icône Supprimer ().
- Confirmez la suppression quand on vous le demande.
Régénération des jetons secrets
Chaque configuration JWT possède un jeton secret principal et un jeton secret secondaire. Le jeton secondaire existe spécifiquement pour supporter la rotation : il permet de continuer l’authentification pendant que vous mettez à jour le jeton principal dans votre application, évitant ainsi toute interruption de service.
Régénérer un jeton invalide immédiatement le jeton précédent. Vous devez mettre à jour votre application avec le nouveau jeton immédiatement pour éviter les échecs d’authentification.
- Va dans Paramètres () > Utilisateurs et permissions > JWT.
- Cliquez sur l’icône Modifier () dans la configuration.
- Sous les touches JWT, cliquez sur Régénérer à côté du jeton que vous souhaitez remplacer.
- Copiez immédiatement le nouveau jeton. Les jetons ne sont affichés qu’une seule fois et ne sont pas stockés dans Document360.
- Mettez à jour votre application avec le nouveau jeton.
- Cliquez sur Enregistrer.
Gestion de l’accès des lecteurs
Routage de lecteur basé sur le domaine
Lorsque plusieurs configurations JWT sont actives, Document360 redirige chaque lecteur vers la bonne configuration en fonction du nom de domaine qu’il saisit sur la page de connexion.
Document360 applique une règle de correspondance très spécifique. Si et support.example.com sont tous deux example.com configurés, un lecteur entrant support.example.com est acheminé vers cette configuration plutôt que vers le domaine parent. Cela permet de gérer les sous-domaines par des configurations dédiées sans conflit.
Règles de routage supplémentaires :
- La correspondance de domaine est insensible à la majuscule et chaque nom de domaine doit être unique dans toutes les configurations JWT du projet.
- Si la configuration correspondante est inactive, le lecteur est dirigé vers les options de connexion par défaut.
- Si aucune correspondance n’est trouvée, le lecteur est dirigé vers les options de connexion par défaut.
- Le champ nom de domaine s’applique uniquement au routage JWT. Les fournisseurs SSO ne peuvent pas être accessibles via ce domaine.
Coexistence entre JWT et SSO
Les configurations JWT et SSO (SAML ou OpenID) peuvent être actives simultanément dans un même projet. Chaque type est géré de manière indépendante. Modifier une configuration JWT n’a aucun effet sur les configurations SSO, et inversement. Cela permet aux organisations de soutenir les lecteurs de différents systèmes d’identité via un portail de base de connaissances unique sans conflit entre les méthodes d’authentification.
Exemple : Les clients entreprises peuvent s’authentifier via JWT lié à votre application, tandis que les membres internes de l’équipe se connectent via un fournisseur d’identité centralisé tel qu’Okta via SAML. Les deux méthodes peuvent être actives en même temps sans interférence.
Limites des boutons de connexion
Un maximum de 3 boutons de connexion JWT et 5 boutons SSO peuvent être affichés à tout moment sur la page de connexion du lecteur. Ces limites sont appliquées indépendamment.
| Type d’authentification | Nombre maximal de boutons de connexion affichés | Accès au-delà de la limite |
|---|---|---|
| JWT | 3 | Les trois premières configurations JWT sont affichées sous forme de boutons de connexion selon leur ordre de position CTA. Les lecteurs peuvent s’authentifier en entrant leur nom de domaine dans le champ Nom de domaine . Jusqu’à 5 configurations JWT peuvent être actives au total. |
| SSO | 5 | Seuls les 5 premiers fournisseurs SSO (par ordre de poste CTA) sont affichés. Les fournisseurs SSO au-delà de cette limite ne sont accessibles aux lecteurs par aucun moyen. |
Par exemple, si 5 configurations JWT sont actives, 3 apparaissent comme boutons de connexion et les 2 autres ne sont accessibles que via la saisie du domaine. Si 6 configurations SSO sont actives, seulement 5 sont accessibles. Le 6e est injoignable par les lecteurs.
Lorsque la limite de 3 boutons pour JWT est atteinte, tous les administrateurs de projet reçoivent une notification système : « Vous avez atteint la limite de 3 boutons de connexion JWT. Les configurations JWT supplémentaires n’apparaîtront pas comme boutons sur la page de connexion. Les lecteurs peuvent toujours se connecter en saisissant leur nom de domaine. »
Atteindre la limite de boutons JWT n’a aucun effet sur la limite de boutons SSO, et inversement.
Réorganisation des boutons de connexion
Par défaut, les boutons de connexion apparaissent dans l’ordre dans lequel les configurations SSO et JWT ont été créées. Vous pouvez modifier cet ordre depuis la personnalisation du site. L’ordre s’applique à la fois aux boutons principaux et à la section des options de connexion Autre .
Pour réorganiser les boutons de connexion :
- Cliquez sur Ouvrir le constructeur de site depuis la fenêtre contextuelle Paramètres dans la configuration SSO ou depuis le mode de connexion Configurer JWT . Le constructeur de site s’ouvre directement sur la page de connexion.
- Assurez-vous que le style de base est sélectionné.
- Dans la liste des postes de CTA , faites passer les prestataires dans l’ordre souhaité. La liste affiche toutes les configurations activées SSO et JWT actives dans une seule liste fusionnée.
- Cliquez sur Enregistrer, puis sur Publier.

L’aperçu ne montre que les deux premiers boutons. Les autres fournisseurs apparaissent dans les options de connexion Autres une fois publiées.
États de la page de connexion du lecteur
La page de connexion affichée aux lecteurs dépend de deux facteurs : l’état du bouton de désactivation de la page de connexion par défaut et les configurations JWT et SSO actuellement actives.
| État | Bascule | JWT actif | SSO active | Expérience des lecteurs |
|---|---|---|---|---|
| 1 | OFF | Non | Oui | Formulaire standard d’email/mot de passe avec boutons de connexion SSO |
| 2 | OFF | Oui | Oui | Formulaire standard d’email/mot de passe avec boutons de connexion SSO et JWT |
| 3 | OFF | Oui | Non | Formulaire standard d’email/mot de passe avec boutons de connexion JWT |
| 4 | ON | Non | Oui | Boutons de connexion SSO uniquement, pas de formulaire email ou mot de passe |
| 5 | ON | Oui | Non | Champ de saisie de nom de domaine avec boutons de connexion JWT, pas de formulaire email/mot de passe |
| 6 | ON | Oui | Oui | Champ de saisie de nom de domaine avec boutons de connexion JWT et SSO, pas de formulaire e-mail ni mot de passe |
Lorsque trois prestataires ou plus sont actifs, les deux premiers dans votre ordre de position CTA configuré apparaissent comme boutons principaux. Les fournisseurs restants apparaissent sous Autres options de connexion sous forme d’une liste unique fusionnée de fournisseurs SSO et JWT dans le même ordre configuré.
Règles applicables dans tous les États :
- Seules les configurations actives sont affichées. Les configurations inactives ne sont jamais affichées aux lecteurs, quel que soit l’état du basculement.
- Le champ d’entrée Nom de domaine s’affiche chaque fois que le bascule est activé et qu’au moins une configuration JWT est active. Cela garantit que les configurations JWT sans bouton de connexion visible restent accessibles via la saisie de domaine.
- Si toutes les configurations JWT et SSO sont inactives alors que le basculement est activé, un message indique aux lecteurs qu’aucune option de connexion n’est actuellement disponible.
- Les modifications pour activer l’état ou l’état de configuration prennent effet immédiatement pour les nouvelles sessions de lecture. Les sessions authentifiées existantes ne sont pas affectées.
Activez le basculement de la page de connexion par défaut uniquement après que l’authentification JWT ou SSO a été entièrement configurée et testée. Si le fournisseur d’authentification externe est mal configuré, les lecteurs ne pourront pas accéder à la base de connaissances.
Surveillance et audit
Journalisation de l’audit
Toutes les actions de configuration JWT sont automatiquement enregistrées dans le journal d’audit, fournissant un enregistrement complet et inviolable des modifications pour la conformité et la vérification de la sécurité.
Actions enregistrées :
- Créer, mettre à jour, supprimer
- Activer, désactiver
- Régénérer le jeton principal, régénérer le jeton secondaire
- Activer/désactiver la connexion directe JWT
- Désactiver la page de connexion par défaut
Chaque entrée de journal enregistre le type d’action, l’horodatage (UTC), l’identité de l’administrateur qui a effectué l’action, ainsi que le nom de configuration au moment de l’action. Pour les actions de mise à jour, le journal capture les champs spécifiques qui ont changé ainsi que les valeurs précédentes et nouvelles. Les valeurs des jetons ne sont jamais enregistrées ; seul le fait de la rotation est enregistré pour protéger la sécurité des accréditations.
Les journaux sont conservés pendant un minimum de 90 jours. L’accès aux journaux d’audit JWT est restreint aux utilisateurs disposant des autorisations Sécurité et Audit.
Pour activer le suivi des activités JWT :
- Va dans Paramètres () > Sécurité et audit > équipe audit > configuration de l’audit.
- Activez les basculements d’événements JWT pertinents.
- Une fois activée, l’activité JWT apparaît dans l’onglet d’audit de l’équipe . Utilisez le menu déroulant Événement et recherchez « JWT » pour filtrer par type d’événement.
Destinataires des notifications par email :
| Type d’événement | Récipiendaires |
|---|---|
| Tous les événements de configuration JWT | Administrateurs de projet |
| Régénération secrète de jetons | Administrateurs et propriétaires de projets |
Meilleures pratiques
- Utilisez le jeton secret secondaire comme tampon de rotation. Mettez toujours à jour le jeton secondaire dans votre application d’abord, puis faites pivoter le jeton principal. Cela évite les échecs d’authentification lors de la rotation des identifiants.
- Désactivez plutôt que supprimez les configurations JWT lors du dépannage. Désactiver préserve vos paramètres et vous permet de les réactiver sans reconfigurer.
- Activez la connexion directe JWT uniquement lorsque JWT est la seule méthode d’authentification. Lorsque plusieurs méthodes sont actives, désactivez-la pour que les lecteurs puissent choisir leur option de connexion.
- Testez le bouton Désactiver la page de connexion par défaut dans un environnement de staging avant de l’activer en production.
- Examinez régulièrement le journal d’audit pour détecter des changements de configuration inattendus ou des régénérations de jetons.
- Garde le nombre de configurations JWT actives à ce que tu utilises activement. Des configurations inutilisées créent une surcharge de gestion inutile et une exposition potentielle à la sécurité.
FAQ
JWT et SSO peuvent-ils être actifs en même temps ?
Oui. Les configurations JWT et SSO (SAML ou OpenID) peuvent coexister dans un même projet sans conflit. Chaque type est géré indépendamment et les changements de l’un n’affectent pas l’autre.
Que se passe-t-il si je perds mon jeton secret ?
Les jetons secrets ne sont affichés qu’une seule fois lors de la création. Si vous êtes perdu, allez dans le modal Modifier la configuration et cliquez sur Régénérer pour obtenir le jeton concerné. La régénération invalide immédiatement le jeton existant. Mettez à jour votre application avec le nouveau jeton immédiatement pour éviter les échecs d’authentification.
Combien de configurations JWT puis-je avoir dans un même projet ?
Vous pouvez créer jusqu’à 5 configurations JWT par projet. Jusqu’à 3 d’entre eux peuvent apparaître comme boutons de connexion sur la page de connexion du lecteur. Les lecteurs peuvent accéder à des configurations supplémentaires en saisissant leur nom de domaine dans le champ Nom de domaine sur la page de connexion.
Si je désactive une configuration JWT, cela affecte-t-il les sessions de lecture existantes ?
Non. Désactiver une configuration empêche de nouvelles connexions via cette configuration mais ne met pas fin aux sessions authentifiées existantes. Ces sessions restent actives jusqu’à l’expiration du jeton.