Document360 prend en charge le SSO SAML avec tout fournisseur d’identité (IdP) qui prend en charge le protocole SAML 2.0, même s’il n’est pas explicitement listé dans les options IdP de Document360. Cet article vous guide dans la configuration du SSO entre Document360 et un fournisseur d’identité personnalisé ou non listé.
Seuls les utilisateurs ayant les rôles de projet Propriétaire ou Administrateur peuvent configurer SSO dans Document360.
Ce que vous pouvez faire avec un IdP personnalisé
| Capacités | Soutenu |
|---|---|
| Authentification utilisateur (portail) | Oui |
| Authentification par lecteur (site de base de connaissances) | Oui |
| Connexion initiée par l’IdP | Oui |
| Provisionnement SCIM | Oui (si c’est pris en charge par votre IDP) |
| Héritage de configuration SSO (projets parent-enfant) | Oui |
Avant que tu commences
- Vous disposez des identifiants nécessaires et de l’accès administratif à la fois à Document360 et au fournisseur d’identité de votre choix.
- Vous avez l’accès Propriétaire ou Administrateur dans votre projet Document360.
- Votre fournisseur d’identité prend en charge le SAML 2.0.
- Ouvrez Document360 et votre fournisseur d’identité dans deux onglets de navigateur distincts. Vous devrez passer plusieurs fois de l’un à l’autre pendant la configuration.
Étape 1 : Créer une application SAML dans votre fournisseur d’identité
Ajoutez une nouvelle application dans votre IDP
- Connectez-vous à la console d’administration de votre fournisseur d’identité.
- Localisez la section où vous pouvez créer ou gérer des applications (souvent appelée Applications, Applications d’entreprise ou similaire).
- Sélectionnez l’option pour créer une nouvelle application.
- Configurez les paramètres de base pour la nouvelle application :
- Nom de la demande : Saisissez un nom, par exemple « Document360 SSO ».
- Type d’application : Sélectionnez SAML 2.0 comme méthode de connexion.
- Sauvegardez les paramètres de votre application.
Étape 2 : Configurez le SAML dans votre IdP en utilisant les paramètres Document360
Obtenez les paramètres du fournisseur de services via Document360
- Ouvrez Document360 dans un onglet séparé.
- Naviguez dans Paramètres () > Utilisateurs et permissions > Configuration SSO.
- Cliquez sur Créer SSO.
- Sélectionnez Autres comme fournisseur d’identité (IdP) pour accéder automatiquement à la page Configurer le fournisseur de services (SP ).
- La page Configurer le fournisseur de service (SP) affiche les paramètres nécessaires pour configurer le SAML dans votre fournisseur d’identité.
Saisissez les paramètres Document360 dans votre IdP
Dans la configuration SAML de votre fournisseur d’identité, saisissez les paramètres Document360 à l’aide de la correspondance ci-dessous.
| Votre IDP | Document360 |
|---|---|
| URL de connexion unique | Chemin de rappel |
| Identifiant d’entité | ID d’entité fournisseur de services |
| URI du public | ID d’entité fournisseur de services ou URL de connexion unique |
Configurez l’attribution de l’attribution dans votre IdP
Vous devrez peut-être configurer des instructions d’attribut dans votre fournisseur d’identité. Ajoutez les attributs suivants.
| Nom de l’attribut | Valeur |
|---|---|
| NameID | user.email ou ID utilisateur |
| user.email | |
| Nom | user.name |
Les noms d’attributs sont sensibles à la casse.
Complétez toute configuration supplémentaire dans votre IdP
- Fournissez toute information supplémentaire de configuration requise par votre fournisseur d’identité.
- Reviens tes paramètres et enregistre la configuration SAML.
- Cliquez sur Suivant dans Document360 pour accéder à la page Configurer le fournisseur d’identité (IdP ).
Étape 3 : Terminer la configuration SSO dans Document360
Configurez le fournisseur d’identité dans Document360
- Retournez à l’onglet Document360 affichant la page Configurer le fournisseur d’identité (IdP ).
- Le champ Configurer une connexion existante vous permet d’hériter d’une configuration SSO déjà créée. En sélectionnant cette option, la configuration SSO actuelle sera définie comme enfant et aucune modification ne pourra être apportée.
Pour plus d’informations sur l’héritage, voir Hériter d’une autre application.
- Saisissez les valeurs correspondantes de votre fournisseur d’identité en utilisant la correspondance ci-dessous.
| Fournisseur d’identité | Document360 |
|---|---|
| URL de connexion unique | URL de connexion |
| Fournisseur d’identité Émetteur | Identifiant d’entité |
| Certificat SAML (X.509) | Certificat SAML |
- Téléchargez le certificat X.509 auprès de votre fournisseur d’identité et téléchargez-le dans le champ Certificat SAML dans Document360.
- Activez ou désactivez l’option Permettre la connexion initiée IdP en fonction des exigences de votre projet.
- Cliquez sur Suivant pour accéder à la page de provisionnement SCIM .
Étape 4 : Configurer le provisionnement SCIM
Le provisionnement SCIM automatise la gestion du cycle de vie des utilisateurs et des lecteurs entre votre fournisseur d’identité et Document360. Ceci est disponible si votre IDP prend en charge le SCIM.
Si vous n’avez pas besoin de provisionnement SCIM, passez à l’étape 5 : Plus de paramètres.
Activez SCIM dans Document360
- Activez le bouton Activer la provision SCIM .
- Une boîte de dialogue de confirmation apparaît. Consultez les conditions, sélectionnez la case à cocher, puis cliquez sur Accepter.
- Un ensemble de paramètres sera alors affiché — utilisez-les pour activer le provisionnement SCIM dans votre IDP.
Attribuer le rôle et les groupes par défaut dans Document360
- Activez la synchronisation de groupe si besoin. Cela assigne automatiquement les utilisateurs et lecteurs en fonction de vos correspondances de groupes IdP.
- Dans le champ de rôle par défaut , le rôle est défini par défaut sur Contributeur . Vous pouvez changer cela depuis le menu déroulant si besoin.
- Dans les champs Groupes d’utilisateurs et Groupes de lecteurs , sélectionnez les groupes que vous souhaitez ajouter. Plusieurs groupes peuvent être ajoutés, et ils hériteront du rôle par défaut que vous avez sélectionné plus tôt.
- Cliquez sur Suivant pour accéder à la page Paramètres supplémentaires .
Étape 5 : Plus de réglages
Configurez le nom SSO et les options de connexion
- Dans le champ nom SSO , saisissez un nom pour la configuration SSO.
- Dans le bouton Personnaliser la connexion, saisissez le texte du bouton de connexion affiché aux utilisateurs.
- Attribution automatique du groupe de lecteurs — cette option n’est disponible que pour les configurations SSO existantes. Pour les nouvelles configurations SSO, ce basculement ne sera pas affiché car SCIM fournit automatiquement les utilisateurs et les groupes. En savoir plus sur le groupe de lecteurs Auto Assign.
- Activez la déconnexion de l’utilisateur SSO inactif si besoin, et basculez selon vos besoins.
- Choisissez d’inviter les comptes utilisateurs et lecteurs existants à SSO.
- Cliquez sur Créer pour compléter la configuration SSO.
La configuration SSO sera désormais configurée dans Document360 en utilisant le fournisseur d’identité que vous avez choisi.
Lorsque SCIM est activé, modifier le nom d’un utilisateur ou supprimer un utilisateur directement dans Document360 est désactivé, car ces actions doivent être gérées via votre IDP pour maintenir les deux plateformes synchronisées. Vous ne pouvez gérer l’accès au contenu que depuis Document360. Supprimer un profil dans votre IdP ne le retire pas de Document360 — le profil restera avec un statut Inactif .
Héritage d’une autre application
Lors de la création d’une nouvelle configuration SSO dans Document360, vous pouvez hériter des paramètres SCIM d’une connexion SSO existante. Cela simplifie le processus de configuration, évite la répétition des étapes de configuration et aide les administrateurs à gagner du temps tout en assurant la cohérence entre les intégrations.
Configuration SSO héritée par enfant
Sur la page Configurer le fournisseur d’identité (IdP ), sélectionnez le champ Configurer une connexion existante et sélectionnez l’application parent compatible SCIM SSO dont vous souhaitez hériter. Sélectionner cette option désigne le projet en cours comme projet enfant, héritant de toutes les propriétés pertinentes du parent concerné.
Une fois la configuration SSO créée, les paramètres de provisionnement SCIM seront hérités de l’application mère et ne pourront pas être modifiés dans l’application fille.
Configuration SSO héritée par le parent
L’application mère affichera une liste de tous les projets ayant hérité de sa configuration. Toute modification apportée à l’application mère sera automatiquement reflétée dans l’application enfant.
- Si SCIM est activé dans le projet parent après que les projets enfants l’ont déjà hérité, les utilisateurs et groupes seront automatiquement provisionnés sur tous les projets enfants en arrière-plan.
- Activer l’héritage facilite la gestion de plusieurs configurations SSO avec SCIM activé, car tous les paramètres sont contrôlés depuis une application parente. Cela permet de gagner du temps et réduit l’effort nécessaire pour gérer chaque configuration individuellement.
Meilleures pratiques
- Vérifiez le support SAML 2.0 avant de commencer. Confirmez que votre fournisseur d’identité prend en compte le protocole SAML 2.0. Document360 ne prend pas en charge SAML 1.x ni protocoles SSO propriétaires.
- Vérifiez attentivement la casse des noms d’attributs. Les noms
emaildes attributs etnamesont sensibles à la majuscule. Assurez-vous qu’elles sont saisies exactement comme indiqué dans le tableau de mappage des attributs. - Téléchargez et stockez le certificat X.509 avant de terminer la configuration. Vous devrez télécharger ce fichier sur Document360. Gardez une copie dans un endroit sécurisé au cas où vous auriez besoin de reconfigurer.
- Testez d’abord avec un seul utilisateur. Avant de déployer SSO à tous les utilisateurs, vérifiez la configuration avec un compte de test pour confirmer que la correspondance des attributs, les certificats et les URL fonctionnent correctement.
FAQ
Quels fournisseurs d’identité puis-je utiliser avec l’option « Autres configurations » ?
Vous pouvez utiliser n’importe quel fournisseur d’identité qui prend en charge le protocole SAML 2.0. Cela inclut des fournisseurs comme PingIdentity, Shibboleth, JumpCloud, Centrify, et d’autres qui ne sont pas explicitement listés dans le sélecteur IdP de Document360. Si votre fournisseur est explicitement listé (Okta, Entra, Google, OneLogin, ADFS), utilisez cet article dédié pour des conseils spécifiques à chaque fournisseur.
Que se passe-t-il avec le profil d’un utilisateur dans Document360 si je le supprime dans mon IDP ?
Supprimer un profil utilisateur dans votre IdP ne le retire pas de Document360. Le profil restera sur Document360 avec un statut Inactif. Vous ne pouvez gérer l’accès au contenu que directement depuis Document360.
Puis-je utiliser le provisionnement SCIM avec n’importe quel fournisseur d’identité ?
La provision SCIM est disponible si votre fournisseur d’identité prend en charge nativement le protocole SCIM 2.0. Si votre IdP ne prend pas en charge SCIM nativement, vous pouvez peut-être l’activer via un outil de provisionnement tiers ou une intégration personnalisée.