Introduction au SSO
Le Single Sign-On (SSO) vous permet d’utiliser un service tiers pour gérer l’authentification sur le portail d’administration de Sign In App. Parmi les plateformes couramment utilisées pour gérer le SSO figurent Google, Azure et Okta. Le SSO de Sign In App utilise le protocole OpenID Connect (OIDC) ; le protocole SAML n’est pas pris en charge.
Important:
Le SSO est une fonctionnalité exclusive au plan Sign In App Pro et ne peut être configuré que par les clients disposant de ce plan.
Si vous souhaitez passer au forfait Pro, veuillez envoyer un e-mail à [email protected].
Le SSO de Sign In App est conçu uniquement pour la gestion des administrateurs du portail. Il n’est pas possible de gérer les utilisateurs de l’application Companion via le SSO. Vous pouvez en savoir plus sur les autres méthodes de gestion des utilisateurs de l’application Companion ici.
Veuillez noter : Si vous êtes un client historique disposant déjà du SSO, vous pouvez toujours utiliser cette fonctionnalité, mais l’option en libre-service ne sera pas disponible avec votre forfait actuel. Veuillez envoyer un e-mail à [email protected] pour mettre à niveau votre compte, ou à [email protected] pour obtenir plus d’informations sur la configuration du SSO pour votre compte.
Configuration en libre-service
Notre fonctionnalité en libre-service permet aux clients disposant du forfait Pro de gérer le Single Sign-On (SSO) dans leur compte. Pour activer le libre-service pour le SSO, nous devons d’abord activer cette option sur votre compte. Veuillez envoyer un e-mail à [email protected] pour en faire la demande.
Une fois cela fait, l’utilisateur principal pourra suivre les étapes de configuration ci-dessous dans le portail d’administration.
Partie 1: Configurer votre fournisseur d’identité
Step 1: Access SSO Configuration
Un utilisateur principal doit se connecter à son compte Sign In App.
Accédez à Gérer > Utilisateurs du portail.
Localisez l’option permettant de créer une nouvelle configuration SSO.
Step 2: Sélectionner votre fournisseur d’identité
Choisissez l’un des trois fournisseurs pris en charge. Les champs requis varient légèrement selon chacun d’eux ::
Fournisseur d’identité | Champs obligatoires |
Entra ID (Azure) | Client ID, Client Secret, Tenant ID |
Client ID, Client Secret, Domain | |
Okta | Client ID, Client Secret, Provider Domain |
Step 3: Champs de configuration complets
Renseignez le champ Nom de domaine (la partie de l’adresse e-mail après le symbole @).
Cliquez sur le fournisseur d’identité choisi.
Remplissez tous les champs obligatoires correspondant au fournisseur sélectionné.
Cliquez sur Enregistrer pour créer la configuration du fournisseur d’identité.
Veuillez noter :
- Un seul domaine est pris en charge par configuration SSO. Il est toutefois possible d’avoir plusieurs « alias de domaine » s’ils sont tous gérés par le même fournisseur d’identité. Dans ce cas, veuillez nous communiquer les domaines supplémentaires à l’adresse [email protected]
- Nous ne prenons pas en charge plusieurs fournisseurs d’identité simultanément ; un seul fournisseur est utilisé pour couvrir plusieurs noms de domaine.
Notes importantes de configuration :
Les enregistrements partiels ne sont pas possibles : toutes les informations doivent être fournies de manière complète.
Une fois enregistrée, la configuration devient en lecture seule.
Les détails de la configuration ne peuvent pas être consultés après l’enregistrement.
Vous pouvez reconfigurer ou mettre à jour les identifiants si ceux-ci changent ou si le secret client expire.
Votre SSO apparaîtra initialement comme « configuration incomplète » jusqu’à ce que la vérification du domaine soit terminée.
Partie 2: Vérification du domaine
Étape 4: Vérifier la propriété du domaine
Retournez dans Gérer > Utilisateurs du portail.
Votre connexion au fournisseur d’identité sera indiquée comme incomplète.
Cliquez sur la configuration pour consulter le statut de vérification du domaine.
Étape 5: Ajouter un enregistrement DNS
Notez le domaine affiché (par exemple : yourcompany.com) indiqué comme « non vérifié ».
Copiez l’enregistrement TXT fourni dans les instructions.
Ajoutez cet enregistrement TXT aux paramètres DNS de votre domaine.
Attendez la propagation DNS (généralement 5 à 15 minutes).
Étape 6: Finaliser la vérification
Retournez à la page de configuration SSO.
Cliquez sur le bouton Vérifier.
Si la vérification est réussie, votre domaine apparaîtra comme vérifié et votre configuration SSO deviendra active.
Connexion après configuration
Une fois la configuration terminée, déconnectez-vous de votre compte puis reconnectez-vous via le lien https://my.signinapp.com/. Le système reconnaîtra le domaine associé à votre adresse e-mail et vous proposera l’option de connexion via votre SSO.
Une fois que vous avez été configuré en tant qu’administrateur SSO, vous pouvez gérer le SSO depuis le portail Sign In App : allez dans Gérer, puis faites défiler jusqu’en bas et cliquez sur Utilisateurs du portail. À partir de là, cliquez sur le bouton situé sous la section Utilisateurs du Single Sign-On (vous verrez le logo de la plateforme SSO que vous utilisez, par exemple Google, Azure ou Okta).
Utilisateurs SSO
Cette section vous permet de consulter les utilisateurs SSO de votre compte. Vous pouvez cliquer sur un utilisateur pour gérer ses autorisations individuelles. En savoir plus sur la gestion des utilisateurs ici.
Approbation en attente
Lorsqu’un utilisateur demande l’accès à votre compte Sign In App via SSO, il apparaît dans cette liste, ce qui vous permet de gérer tous les nouveaux utilisateurs depuis un seul endroit.
Paramètres
Vous pouvez gérer les autorisations par défaut attribuées à un utilisateur du portail SSO une fois qu’il a été approuvé.
Gestion des utilisateurs existants et des accès
Migration des utilisateurs du portail existants vers le SSO
Pour qu’un utilisateur du portail existant soit redirigé vers la connexion SSO, un administrateur doit d’abord supprimer son compte utilisateur du portail existant.
Important: Avant de supprimer un compte utilisateur du portail existant, assurez-vous qu’un « utilisateur principal » est toujours actif afin de conserver un accès via l’authentification locale en cas de défaillance ou d’expiration du SSO.
Si vous souhaitez que votre utilisateur principal se connecte via le SSO, une adresse e-mail alternative utilisant un autre domaine doit être ajoutée et promue au statut d’utilisateur principal.
Pour supprimer un utilisateur, allez dans Gérer > Gérer le compte > Utilisateurs du portail, sélectionnez l’utilisateur à supprimer, cliquez sur Supprimer dans la fenêtre contextuelle, puis enregistrez pour confirmer. Une fois le compte supprimé, l’utilisateur pourra se connecter via le SSO et demander l’accès, qu’un administrateur pourra ensuite lui attribuer.
Nous recommandons également de définir l’administrateur SSO comme utilisateur de facturation (Billing User) afin qu’il puisse accéder aux informations d’abonnement du compte. Pour cela, allez dans Gérer > Gérer le compte > Utilisateurs du portail > onglet SSO > Utilisateurs, sélectionnez un nom à modifier, puis dans la fenêtre contextuelle cochez la case Utilisateur de facturation et enregistrez.
Demandes d’accès des utilisateurs
Si vous avez configuré des autorisations d’accès dans votre plateforme SSO, les utilisateurs sans autorisation seront refusés. Si les autorisations par défaut ne sont pas configurées, l’utilisateur devra sélectionner le ou les comptes auxquels il souhaite accéder en cliquant sur Demander accès.
Comment fonctionne la connexion SSO
L’utilisateur saisit son adresse e-mail sur la page de connexion.
S’il dispose d’un compte local, un champ de mot de passe s’affichera.
L’utilisateur peut choisir d’utiliser ses identifiants locaux ou le SSO.
Les configurations SSO existantes continueront à rediriger vers le SSO comme auparavant.
Important: Le Single Sign-On de Sign In App est déclenché par le domaine de l’adresse e-mail. Cela signifie que si votre organisation possède plusieurs comptes Sign In App, le SSO doit être utilisé sur l’ensemble de ces comptes et les administrateurs SSO doivent avoir un accès complet à tous les comptes. Les utilisateurs SSO peuvent toutefois être limités à des comptes Sign In App spécifiques.
Cela signifie également que si vous avez des utilisateurs de portail avec des domaines e-mail différents de celui sur lequel le SSO a été configuré, ils devront continuer à utiliser la connexion par e-mail/mot de passe.
Configuration du SSO pour un utilisateur
Lorsqu’un utilisateur a besoin d’accéder à votre compte Sign In App via SSO, il peut se rendre sur my.signinapp.com et saisir son adresse e-mail. Le système détectera le domaine (la partie après le @) et lui proposera l’option de connexion via SSO.
S’il s’agit de sa première connexion via SSO, il lui sera demandé de sélectionner l’adresse e-mail avec laquelle il souhaite se connecter.
Dans votre plateforme SSO, si vous avez configuré les utilisateurs autorisés à accéder à Sign In App, les utilisateurs sans accès seront refusés lorsqu’ils sélectionnent leur compte utilisateur.
Si aucune autorisation par défaut n’est définie, l’utilisateur devra sélectionner le ou les comptes auxquels il souhaite obtenir l’accès en cliquant sur Demander accès.
Suite à cela, ils sont ajoutés à la liste En attente d’approbation dans la section d’administration SSO du portail Sign In App. Les administrateurs SSO peuvent alors configurer leurs autorisations et approuver ou refuser la demande.
Avec les autorisations par défaut activées, cette étape est ignorée et l’utilisateur obtient automatiquement l’accès. Les administrateurs SSO recevront également une notification par e-mail les informant qu’un utilisateur a demandé l’accès.
Gestion des utilisateurs SSO
La gestion des autorisations par défaut vous permet de définir les permissions de base que tous les utilisateurs de votre organisation doivent avoir. Vous pouvez également gérer des utilisateurs individuels, ce qui vous donne un contrôle précis sur les sections du portail Sign In App auxquelles chaque utilisateur a accès.
Autorisations par défaut
Les autorisations par défaut signifient que tout utilisateur de votre organisation qui tente d’accéder à votre compte Sign In App avec une adresse e-mail valide (sur votre domaine) obtiendra automatiquement l’accès au(x) compte(s) avec les autorisations par défaut activées.
Selon votre fournisseur SSO, vous devriez pouvoir définir quels utilisateurs ont accès à Sign In App, ce qui vous permet de contrôler l’accès à Sign In App au sein de votre organisation. Lorsque ces utilisateurs se connectent, ils sont automatiquement configurés avec le niveau d’autorisation par défaut.
Important: Certains fournisseurs SSO ne permettent pas de gérer les utilisateurs ayant accès à Sign In App. Dans ce cas, vous pouvez choisir de désactiver les autorisations par défaut afin d’éviter que tous les utilisateurs disposant du domaine de votre organisation aient accès au portail Sign In App
Autorisations individuelles
Certains utilisateurs peuvent nécessiter des niveaux d’autorisation supérieurs ou inférieurs aux autorisations par défaut. Dans ce cas, vous pouvez modifier chaque utilisateur individuellement.
Cliquez sur Utilisateurs SSO dans la section d’administration SSO du portail pour afficher la liste de tous les utilisateurs SSO configurés sur votre compte. En cliquant sur un utilisateur, vous verrez ses autorisations. Si les autorisations par défaut sont activées, cette option sera également indiquée comme active.
Administrateurs SSO
En tant qu’administrateur SSO, vous pouvez gérer les autorisations des utilisateurs et approuver de nouveaux utilisateurs.
Si vous souhaitez nommer un autre utilisateur SSO comme administrateur SSO, modifiez l’utilisateur concerné et activez l’option Autoriser cet utilisateur à gérer les utilisateurs SSO.
Besoin d’aide ?
Si vous avez besoin d’une configuration pour des fournisseurs d’identité non listés, ou si vous rencontrez des problèmes lors de la configuration, veuillez contacter notre équipe de support à l’adresse [email protected] ou [email protected].