OpenID Connect (OIDC) est un protocole d’authentification construit sur le cadre OAuth 2.0. Il permet aux utilisateurs de se connecter à plusieurs applications en utilisant un seul ensemble d’identifiants de leur fournisseur d’identité, sans avoir besoin d’un mot de passe distinct pour chaque application.
Dans Document360, OpenID Connect fonctionne de la même manière que le SAML. Votre fournisseur d’identité (IdP) vérifie l’identité de l’utilisateur et envoie un jeton à Document360, qui accorde l’accès. La principale différence réside dans le protocole sous-jacent : OIDC utilise des jetons web JSON (JWT) et des flux OAuth 2.0, tandis que SAML utilise des assertions basées sur XML.
Pourquoi utiliser OpenID Connect
- Protocole moderne. OIDC est construit sur OAuth 2.0 et est largement pris en charge par les fournisseurs d’identité basés sur le cloud.
- Contrôle d’accès centralisé. Gérez qui peut accéder à Document360 depuis votre plateforme d’identité existante sans créer de comptes séparés.
- Sécurité améliorée. L’authentification se fait via votre IDP, qui peut appliquer la MFA, les politiques d’accès conditionnel et les contrôles de session.
- Meilleure expérience utilisateur. Les utilisateurs se connectent une seule fois via le portail de leur organisation et accèdent directement à Document360.
- Offboarding simplifié. Désactiver un utilisateur dans votre IDP empêche immédiatement l’accès à Document360.
Comment fonctionne l’authentification OpenID Connect dans Document360
- L’utilisateur navigue vers Document360 et clique sur le bouton de connexion SSO.
- Document360 redirige l’utilisateur vers le fournisseur d’identité configuré.
- L’IdP authentifie l’utilisateur.
- L’IdP émet un jeton ID contenant les informations d’identité de l’utilisateur.
- Document360 valide le jeton et accorde l’accès à l’utilisateur.
SAML vs OpenID Connect
Vous ne savez pas quel protocole utiliser ? Voici une rapide comparaison.
| SAML | OpenID Connect | |
|---|---|---|
| Base du protocole | Basé sur XML | OAuth 2.0 / basé sur JSON |
| Le meilleur pour | Entreprises, IDP sur site | IdPs basés sur le cloud |
| Format du jeton | Assertions XML | Jetons Web JSON (JWT) |
| Pris en charge par Document360 | Oui | Oui |
| Provisionnement SCIM | Oui (sélectionner les fournisseurs) | Oui (sélectionner les fournisseurs) |
Si votre organisation utilise un fournisseur d’identité cloud tel qu’Okta ou Auth0, OpenID Connect est généralement l’option recommandée. Si vous utilisez un fournisseur sur site comme ADFS, le SAML est le choix le plus courant. Les deux protocoles sont entièrement pris en charge par Document360.
En savoir plus sur le SAML dans Document360 →
Fournisseurs d’identité pris en charge
Document360 prend en charge OpenID Connect SSO avec les fournisseurs d’identité suivants. Choisissez votre prestataire pour commencer.
ADFS
Configurez OpenID Connect SSO avec ADFS. SCIM nécessite des outils tiers.
Mettre en place ADFS →Autres fournisseurs
Configurez OpenID Connect SSO avec tout fournisseur d’identité compatible OIDC.
Configurez d’autres → IdPCapacités OpenID Connect par fournisseur
| Fournisseur d’identité | Authentification utilisateur (portail) | Authentification par lecteur | Provisionnement SCIM |
|---|---|---|---|
| Okta | Oui | Oui | Oui |
| Auth0 | Oui | Oui | Non |
| ADFS | Oui | Oui | Oui (via des outils tiers) |
| Autres fournisseurs | Oui | Oui | Si pris en charge par l’IdP |
Autres ressources OpenID Connect
Supprimer un SSO OpenID Connect
Apprenez comment retirer en toute sécurité une configuration SSO OpenID Connect configurée.
Supprimer les → SSO de l’OIDCProvisionnement SCIM
Automatisez la gestion du cycle de vie des utilisateurs et des lecteurs en utilisant SCIM avec Okta.
Découvrez les → SCIMFAQ
Puis-je utiliser OpenID Connect et SAML en même temps ?
Non. Le SAML et OpenID Connect sont mutuellement exclusifs dans Document360. Vous ne pouvez avoir qu’une seule configuration SAML ou OIDC active par projet à la fois. Cependant, l’un ou l’autre peut coexister avec une configuration JWT dans le même projet.
Quels fournisseurs prennent en charge le provisionnement SCIM avec OpenID Connect ?
Okta prend en compte le provisionnement SCIM lorsqu’il est configuré comme fournisseur OpenID Connect dans Document360. ADFS prend en charge le provisionnement SCIM via des outils tiers. Auth0 ne prend pas en charge le provisionnement SCIM avec OpenID Connect dans Document360.
Dois-je utiliser SAML ou OpenID Connect pour mon organisation ?
Si votre organisation utilise un fournisseur d’identité cloud tel qu’Okta ou Auth0, OpenID Connect est généralement l’option recommandée. Si vous utilisez un fournisseur sur site comme ADFS, le SAML est le choix le plus courant. Les deux protocoles sont entièrement pris en charge par Document360.