Le Single Sign-On (SSO) permet aux membres de votre équipe et aux lecteurs de se connecter à Document360 en utilisant les identifiants de votre fournisseur d’identité existant (IdP), tels qu’Okta, Microsoft Entra ou Google Workspace. Au lieu de gérer des mots de passe séparés pour Document360, les utilisateurs s’authentifient une fois via votre IdP et y accèdent automatiquement. Document360 prend en charge SAML, OpenID Connect et JWT comme méthodes SSO, ainsi que SCIM pour le provisionnement automatisé des utilisateurs.
Qu’est-ce que le SSO ?
La connexion unique (SSO) est une méthode d’authentification qui permet à un utilisateur de se connecter une seule fois et d’accéder à plusieurs applications sans avoir à nouveau saisi les identifiants pour chacune.
Dans Document360, SSO fonctionne entre deux parties :
- Fournisseur d’identité (IDP) : Le service qui stocke et vérifie les identifiants de vos utilisateurs. Parmi les exemples figurent Okta, Microsoft Entra ID, Google Workspace, ADFS et OneLogin.
- Fournisseur de services (SP) : Document360, qui s’appuie sur l’IdP pour confirmer l’identité d’un utilisateur avant d’accorder l’accès.
Lorsqu’un utilisateur se connecte, l’IdP l’authentifie et envoie un jeton vérifié à Document360. Document360 fait confiance à ce jeton et accorde l’accès sans avoir besoin d’un mot de passe séparé.
Document360 prend en charge plusieurs configurations SSO simultanées. Vous pouvez utiliser un IDP pour votre équipe interne et un autre pour les lecteurs externes, offrant à chaque audience une expérience de connexion adaptée à votre configuration.
Pourquoi utiliser SSO dans Document360 ?
| Avantages | Ce que cela signifie en pratique |
|---|---|
| Sécurité améliorée | Les identifiants sont gérés de manière centralisée dans votre IDP, réduisant ainsi le risque de mots de passe faibles ou réutilisés dans Document360 |
| Accès simplifié | Les utilisateurs se connectent une seule fois et accèdent à Document360 sans connexion séparée |
| Gestion utilisateur plus facile | Ajoutez ou supprimez l’accès de votre IDP et cela apparaît automatiquement dans Document360 (avec SCIM) |
| Support de la conformité | L’authentification centralisée aide à respecter les exigences réglementaires pour le contrôle des accès |
| Réduction des frais généraux informatiques | Moins de réinitialisations de mots de passe et pas de base de données d’identifiants distincte à gérer |
Méthodes SSO prises en charge
Document360 prend en charge trois overdoses SSO de méthamphétamine. Chacun fonctionne différemment et convient à des cas d’usage variés.
SAML 2.0
Une norme basée sur XML utilisée par la plupart des fournisseurs d’identité d’entreprise. Idéal pour les organisations qui utilisent déjà Okta, Microsoft Entra, Google Workspace, ADFS ou OneLogin. Prend en charge à la fois l’authentification de l’équipe et des lecteurs.
Va sur SAML →OpenID Connect (OIDC)
Un protocole d’authentification moderne construit sur OAuth 2.0. Adapté aux organisations utilisant Okta, Auth0 ou ADFS avec support OpenID. Prend en charge à la fois l’authentification de l’équipe et des lecteurs.
Allez sur OpenID Connect →JWT (JSON Web Token)
Une méthode implémentée par un développeur pour authentifier les lecteurs depuis votre propre application. Aucun IdP externe requis. C’est mieux quand on gère l’authentification dans son propre système et que l’on souhaite transmettre des jetons vérifiés à Document360.
Va sur JWT →Choisir la bonne méthode SSO
| SAML | OpenID Connect | JWT | |
|---|---|---|---|
| Le meilleur pour | Entreprises ayant une IDP existante | Organisations utilisant des fournisseurs basés sur OAuth 2.0 | Développeurs gérant l’authentification dans leur propre application |
| Authentifie | Utilisateurs et lecteurs | Utilisateurs et lecteurs | Lecteurs uniquement |
| Nécessite une IDP | Oui | Oui | Non |
| Complexité de mise en place | Moyen | Moyen | Plus haut (nécessite un développement personnalisé) |
| Provisionnement SCIM | Pris en charge (Okta, Entra, OneLogin, ADFS, autres) | Pris en charge (Okta, ADFS, autres) | Non applicable |
| Peut coexister avec d’autres méthodes | Oui, SAML et JWT peuvent être actifs ensemble | Oui, OIDC et JWT peuvent être actifs ensemble | Oui |
SAML et OpenID Connect sont mutuellement exclusifs. Vous ne pouvez pas avoir les deux actifs dans le même projet en même temps. Cependant, SAML ou OpenID Connect peuvent coexister avec JWT dans le même projet.
Provisionnement SCIM
SCIM (System for Cross-domain Identity Management) est une couche de provisionnement qui s’ajoute à votre configuration SSO pour automatiser la gestion du cycle de vie utilisateur.
Avec SCIM activé, tout changement que vous effectuez dans votre IdP (ajouter un utilisateur, mettre à jour un rôle, désactiver quelqu’un) est automatiquement reflété dans Document360. Vous n’avez pas besoin de gérer manuellement les comptes utilisateurs dans Document360.
Le SCIM doit être configuré une fois la configuration de votre SSO terminée. Il est disponible pour les configurations SAML et OpenID Connect avec des fournisseurs pris en charge.
Découvrez les → de provisionnement SCIM
Fonctionnement du SSO
Lorsqu’un utilisateur se connecte à Document360 via SSO, ce qui suit se produit :
- L’utilisateur ouvre le portail Document360 ou le site de la base de connaissances et saisit son adresse e-mail ou son domaine.
- Document360 identifie la configuration SSO de ce domaine et redirige l’utilisateur vers la page de connexion IdP.
- L’utilisateur saisit ses identifiants dans l’IDP (et non dans Document360).
- L’IDP vérifie les identifiants et renvoie un jeton signé à Document360.
- Document360 valide le jeton et accorde l’accès à l’utilisateur en fonction de son rôle et de ses permissions.
L’utilisateur est désormais connecté. S’ils accèdent à d’autres applications couvertes par la même session SSO, ils n’ont pas besoin de se reconnecter.
Commencez avec SSO
Configurez OpenID Connect
Configurez SSO avec OpenID Connect avec votre fournisseur d’identité.
Aperçu d’OpenID Connect →Configurer JWT
Implémentez l’authentification JWT pour l’accès des lecteurs depuis votre application.
Aperçu de JWT →Configurez le provisionnement SCIM
Automatisez le provisionnement des utilisateurs et des lecteurs depuis votre IDP.
Aperçu SCIM →Gérer l’accès SSO
Ajoutez des utilisateurs, gérez les lecteurs, cartographiez les projets et contrôlez les paramètres de connexion une fois le SSO configuré.
Gérer l’accès avec le SSO →
Puis-je utiliser SAML et OpenID Connect en même temps ?
Non. Le SAML et OpenID Connect sont mutuellement exclusifs dans Document360. Vous ne pouvez en avoir qu’un seul actif à la fois par projet. Cependant, l’un ou l’autre peut coexister avec une configuration JWT dans le même projet.
Puis-je configurer SSO pour mon équipe et mes lecteurs ?
Oui. SAML et OpenID Connect prennent en charge l’authentification tant pour les membres de l’équipe (qui accèdent au portail de la base de connaissances) que pour les lecteurs (qui accèdent au site de la base de connaissances). JWT est uniquement pour l’authentification par lecteur et ne peut pas être utilisé pour se connecter au portail.
Puis-je configurer plusieurs configurations SSO dans un même projet ?
Oui. Document360 prend en charge plusieurs configurations SSO simultanées. Par exemple, vous pouvez utiliser un IDP pour les employés internes et un IDP séparé pour les lecteurs externes. Vous pouvez également avoir jusqu’à 5 configurations JWT actives dans le même projet en plus d’une configuration SAML ou OpenID Connect.