Le langage de balisage d’assertion de sécurité (SAML) est une norme ouverte pour l’échange de données d’authentification et d’autorisation entre un fournisseur d’identité (IDP) et un fournisseur de services (SP). En termes simples, le SAML permet à un utilisateur de se connecter une seule fois via le système d’identité de son organisation et d’accéder à Document360 sans avoir besoin d’un nom d’utilisateur et d’un mot de passe séparés.
Document360 agit en tant que fournisseur de services (SP). La plateforme d’identité que vous avez choisie, telle qu’Okta, Microsoft Entra ou Google Workspace, agit en tant que Fournisseur d’Identité (IdP). Lorsqu’un utilisateur se connecte, l’IdP vérifie son identité et envoie une assertion signée numériquement à Document360, qui accorde l’accédre.
Pourquoi utiliser le SSO SAML
- Contrôle d’accès centralisé. Gérez qui peut accéder à Document360 depuis votre plateforme d’identité existante sans créer de comptes séparés.
- Sécurité améliorée. L’authentification se fait via votre IDP, qui peut appliquer la MFA, les politiques d’accès conditionnel et les contrôles de session.
- Meilleure expérience utilisateur. Les utilisateurs se connectent une seule fois via le portail de leur organisation et accèdent directement à Document360, sans connexions supplémentaires.
- Offboarding simplifié. Désactiver un utilisateur dans votre IDP empêche immédiatement l’accès à Document360.
Fonctionnement de la configuration SAML SSO dans Document360
La configuration du SAML SSO dans Document360 suit toujours le même schéma en trois étapes, quel que soit le fournisseur d’identité utilisé :
- Créez une application SAML dans votre fournisseur d’identité en utilisant les paramètres du fournisseur de services (SP) de Document360.
- Complétez la configuration SSO dans Document360 en utilisant les paramètres de votre fournisseur d’identité, y compris l’URL de connexion, l’identifiant d’entité et le certificat X.509.
- Configurez des paramètres optionnels tels que le provisionnement SCIM, le nom SSO, la personnalisation des boutons de connexion et les options d’invitation utilisateur.
Sélectionnez votre fournisseur d’identité ci-dessous pour suivre le guide d’installation étape par étape.
Fournisseurs d’identité pris en charge
Document360 prend en charge le SSO SAML avec les fournisseurs d’identité suivants. Choisissez votre prestataire pour commencer.
Microsoft Entra
Configurez le provisionnement SAML SSO et SCIM avec Microsoft Entra ID.
Créez Entra →Google Workspace
Configurez le SSO SAML avec Google Workspace. Note : SCIM n’est pas pris en charge.
Configurez Google →Autres fournisseurs
Configurez un SSO SAML avec tout fournisseur d’identité compatible SAML 2.0.
Configurez d’autres → IdPCapacités SAML par fournisseur
| Fournisseur d’identité | Auth des membres de l’équipe | Auth de lecteur | Connexion initiée par l’IdP | Provisionnement SCIM |
|---|---|---|---|---|
| Okta | Oui | Oui | Oui | Oui (utilisateurs et lecteurs) |
| Microsoft Entra | Oui | Oui | Oui | Oui (utilisateurs et lecteurs) |
| Google Workspace | Oui | Oui | Oui | Non |
| OneLogin | Oui | Oui | Oui | Oui (uniquement pour les lecteurs) |
| ADFS | Oui | Oui | Oui | Oui (via des outils tiers) |
| Autres fournisseurs | Oui | Oui | Oui | Oui (si IdP prend en charge SCIM) |
Connexion initiée par l’IdP
Par défaut, les utilisateurs lancent le flux de connexion depuis la page de connexion Document360 (connexion initiée par SP). Lorsque la connexion initiée par l’IdP est activée, les utilisateurs peuvent se connecter directement depuis le tableau de bord de leur fournisseur d’identité et accéder à Document360 sans avoir d’abord visité la page de connexion Document360.
Les fournisseurs d’identité suivants prennent en charge la connexion initiée par l’IDP avec Document360 : Okta, Microsoft Entra, Google Workspace, OneLogin et ADFS.
Comment cela fonctionne :
- Une fois activé le bouton de connexion Autoriser l’IdP initié, une URL de connexion exclusive initiée par l’IdP est obtenue à partir de l’IdP et partagée avec les utilisateurs SSO.
- Les utilisateurs utilisent ce lien pour se connecter au tableau de bord de leur fournisseur d’identité.
- L’utilisateur sélectionne le projet configuré et accède directement à Document360.
Pour activer la connexion initiée par IdP lors de la configuration initiale du SSO, activez le bouton Permettre la connexion initiée par IdP sur la page Configurer le Fournisseur d’Identité (IdP ).
Pour l’activer sur une configuration SSO existante :
- Naviguez dans Paramètres () > Utilisateurs et permissions > Configuration SSO.
- Passez la souris sur la configuration SSO existante et cliquez sur l’icône Modifier ().
- Naviguez vers l’onglet des configurations IDP .
- Activez le bouton Permettre la connexion initiée IdP .
- Cliquez sur Enregistrer.
Si vous recevez une erreur en essayant d’accéder à Document360 depuis votre tableau de bord IdP, c’est probablement parce que le bouton Permettre la connexion initiée par l’IdP n’est pas activé. Suivez les étapes ci-dessus pour l’activer.
Gestion du certificat SSO
Document360 utilise un certificat X.509 pour valider les assertions SAML de votre fournisseur d’identité. Les certificats ont des dates d’expiration. Lorsqu’un certificat expire, l’authentification SSO échoue pour tous les utilisateurs.
Une bannière d’avis de rotation de certificat SAML apparaît sur la page de configuration SSO 15 jours avant l’expiration, vous permettant de télécharger le certificat mis à jour et de le renouveler auprès de votre fournisseur d’identité avant que l’accès ne soit interrompu.
En savoir plus sur la gestion des certificats SSO →
Autres ressources SAML
Provisionnement SCIM
Automatisez la gestion du cycle de vie des utilisateurs et des lecteurs en utilisant SCIM avec Okta ou Entra.
Découvrez les → SCIMSupprimer une configuration SSO SAML
Apprenez ce qui se passe lorsque vous retirez un SSO SAML configuré et comment le faire en toute sécurité.
Supprimer les → SSO SAMLFAQ
Puis-je utiliser SAML et JWT en même temps ?
Oui. Le SAML et le JWT peuvent coexister dans Document360. Le SAML gère l’authentification des utilisateurs et des lecteurs via un fournisseur d’identité, tandis que JWT est généralement utilisé par les développeurs pour authentifier les lecteurs de manière programmatique via leur propre application. Les deux peuvent être actifs dans le même projet en même temps.
Puis-je configurer plus d’un SSO SAML dans un seul projet Document360 ?
Oui. Vous pouvez configurer plusieurs configurations SAML SSO dans un même projet, chacune avec un fournisseur d’identité différent. Par exemple, vous pouvez avoir des configurations séparées pour Okta, Microsoft Entra et Google Workspace actives en même temps.