Authentification

Découvrez les options vous permettant d’autoriser les utilisateurs à accéder à Workplace.

Table des matières

Présentation

Présentation

L’authentification unique (SSO) permet aux utilisateurs d’accéder à Workplace via un fournisseur d’identité que vous contrôlez. Vous et votre équipe bénéficiez de plusieurs avantages :

  • Sécurité renforcée : bénéficiez d’une couche de sécurité et de gouvernance supplémentaire (aucun identifiant n’est stocké en dehors des systèmes contrôlés par votre entreprise ni transmis sur le réseau).
  • Simplicité pour l’utilisateur final : connectez-vous à Workplace avec les identifiants d’authentification unique déjà utilisés sur d’autres systèmes (par exemple, ordinateur portable ou applications internes). Les utilisateurs peuvent ainsi accéder à Workplace sans retenir un nouveau mot de passe.

Workplace est compatible avec plusieurs fournisseurs d’identité, y compris Azure AD, G Suite, Okta, OneLogin et Ping Identity, qui disposent de connecteurs directs pour faciliter la configuration.

?
Workplace est compatible avec le protocole SAML (Security Assertion Markup Language) 2.0 pour l’authentification unique. Il s’agit d’une norme du secteur, qui indique que nous pouvons offrir une intégration facile à tout fournisseur d’identité compatible SAML 2.0 (même s’il ne figure pas sur cette page) ou créer votre propre implémentation SSO.

Activer l’authentification unique pour Workplace

Après que vous avez terminé les configurations SSO ci-dessous, les utilisateurs provisionnés dans Workplace peuvent s’authentifier via le fournisseur d’identité sélectionné.

Conditions requises

Conditions requises

Vous devez remplir les conditions suivantes pour activer l’authentification unique dans Workplace :

  • Avoir accès aux paramètres de configuration de votre fournisseur d’identité.
  • Disposer du rôle d’administrateur système dans Workplace.
  • Disposer d’un compte correspondant chez le fournisseur d’identité, avec la même adresse e-mail que l’utilisateur Workplace connecté (c’est-à-dire que l’adresse e-mail est la même pour s’authentifier auprès de Workplace et du fournisseur d’identité). Cette condition est essentielle pour tester l’authentification unique et configurer correctement Workplace.
?
Par défaut, Workplace prend en charge un seul fournisseur d’identité pour l’authentification unique dans chaque instance. Par conséquent, afin d’activer l’authentification unique pour chaque utilisateur, vous devez mettre en place un fournisseur d’identité global. Nous autorisons également les schémas d’authentification mixtes, où certains utilisateurs passent par l’authentification unique et d’autres utilisent leur nom d’utilisateur et leur mot de passe Workplace. Enfin, nous assurons la prise en charge de plusieurs fournisseurs d’identité dans le cadre de notre offre Enterprise.

Instructions de départ

L’activation de l’authentification unique demande certains changements au niveau du fournisseur d’identité et de Workplace. Voici les trois étapes :

1
Configurez votre fournisseur d’identité de façon à activer l’authentification unique pour Workplace.

2
Configurez Workplace afin d’utiliser l’authentification unique auprès des utilisateurs.

3
Activez l’authentification unique pour vos utilisateurs.

Vous trouverez ci-dessous une présentation détaillée de chacune des étapes :

Configurer le fournisseur d’identité pour l’authentification unique dans Workplace

1. Configurer votre fournisseur d’identité de façon à activer l’authentification unique pour Workplace

Suivez les instructions de votre fournisseur d’identité ci-dessous afin de configurer l’authentification unique pour Workplace. Tous les fournisseurs d’identité cloud compatibles proposent une application préconfigurée qui facilite la configuration de Workplace :

G-Suite
Azure AD
Okta
OneLogin
Ping
Duo

Workplace accepte également ADFS en tant que fournisseur SSO. En savoir plus sur la configuration d’ADFS en tant que fournisseur SSO pour Workplace.

Toutes les configurations ci-dessus fournissent au moins une URL SAML, une URL d’émetteur SAML et un certificat X.509 à utiliser dans les étapes de configuration suivantes. Pensez à les noter.

?
Il se peut que vous deviez ouvrir le certificat X.509 téléchargé dans un éditeur de texte pour l’utiliser au cours des prochaines étapes.
Configurer Workplace afin d’utiliser l’authentification unique auprès des utilisateurs

2. Configurer Workplace afin d’utiliser l’authentification unique auprès des utilisateurs

Associez votre fournisseur SSO à Workplace :

1
Dans le Panneau d’administration, sélectionnez Sécurité.

2
Cliquez sur l’onglet Authentification.

3
Cochez la case Authentification unique (SSO).

4
Cliquez sur + Ajouter un nouveau fournisseur SSO.

5
Entrez les valeurs issues de votre fournisseur d’identité dans les champs correspondants :
  • URL SAML
  • URL de l’émetteur SAML
  • Redirection de déconnexion SAML (facultatif)
  • Certificat SAML

?
Selon le fournisseur d’identité, il se peut que vous deviez copier les valeurs URL de l’audience, URL du destinataire et URL ACS (Assertion Consumer Service) figurant dans la section Configuration SAML et configurer le fournisseur d’identité en conséquence.

5
Faites défiler la page jusqu’au bas de la section et cliquez sur le bouton Tester le SSO. Une fenêtre contextuelle apparaît avec la page de connexion de votre fournisseur d’identité. Saisissez vos identifiants pour vous authentifier.

?
Résolution des problèmes : assurez-vous que l’adresse e-mail utilisée pour vous authentifier auprès du fournisseur d’identité est la même que celle du compte Workplace auquel vous êtes connecté(e).

6
Une fois le test réussi, faites défiler la page jusqu’en bas et cliquez sur le bouton Enregistrer.

7
Si nécessaire, définissez l’authentification unique comme option par défaut pour les nouveaux utilisateurs en sélectionnant SSO dans la liste déroulante Par défaut pour les nouveaux utilisateurs.

3. Activer l’authentification unique pour vos utilisateurs

Activer l’authentification unique pour vos utilisateurs

Vous pouvez désormais activer l’authentification unique pour les utilisateurs de l’une des manières suivantes :

  • Activer l’authentification unique pour un utilisateur
  • Activer l’authentification unique de façon groupée pour tout ou partie des utilisateurs

Activer l’authentification unique pour un utilisateur

Vous pouvez activer l’authentification unique pour un utilisateur en vous connectant en tant qu’administrateur doté de l’autorisation Ajouter et supprimer des comptes :

1
Dans le panneau d’administration, sélectionnez Personnes.

2
Recherchez l’utilisateur pour lequel activer l’authentification unique.

3
Cliquez sur le bouton ... et sélectionnez Modifier les détails d’une personne.

4
Pour Se connecter avec, sélectionnez SSO.
Activer l’authentification unique de façon groupée pour tout ou partie des utilisateurs

Plusieurs méthodes permettent d’activer l’authentification unique pour tout ou partie de vos utilisateurs :

  • Utilisez notre API Account Management afin d’actualiser automatiquement le champ Mode de connexion pour un ensemble d’utilisateurs. La plupart des fournisseurs d’identité intégrables à Workplace utilisent cette API pour synchroniser les paramètres d’authentification pour tous les utilisateurs à grande échelle. En savoir plus sur l’API Account Management.
  • Le champ Mode de connexion peut être modifié de façon groupée. Vous pouvez définir le champ Login method sur SSO pour un ensemble d’utilisateurs grâce à la fonctionnalité d’importation de feuille de calcul. En savoir plus sur la gestion groupée des comptes.
Redirection de déconnexion SAML

Redirection de déconnexion SAML (facultatif)

Vous avez la possibilité de configurer une URL de déconnexion SAML sur la page de configuration de l’authentification unique afin de rediriger vers la page de déconnexion de votre fournisseur d’identité. Lorsque ce paramètre est activé et configuré, l’utilisateur n’est plus dirigé vers la page de déconnexion de Workplace. À la place, il est redirigé vers l’URL ajoutée dans le paramètre de redirection de déconnexion SAML.

Fréquence de réauthentification

Fréquence de réauthentification

Vous pouvez configurer Workplace de façon à demander une authentification SAML tous les jours, tous les trois jours, toutes les semaines, toutes les deux semaines, tous les mois ou jamais. Vous pouvez également forcer une réinitialisation SAML pour l’ensemble des utilisateurs à l’aide du bouton Forcer la réauthentification maintenant.

Architecture de l’authentification unique pour Workplace

Architecture de l’authentification unique pour Workplace

?
Cette section présente de façon plus détaillée le flux d’authentification unique pris en charge par Workplace. Les solutions personnalisées d’authentification unique SAML doivent respecter les règles décrites ci-dessus dans le cadre d’une intégration à Workplace.

Workplace est compatible avec le protocole SAML 2.0 pour l’authentification unique. Les admins ont la possibilité de gérer l’accès à la plate-forme à l’aide d’un fournisseur d’identité qu’ils contrôlent. Workplace reçoit et accepte les assertions SAML issues du fournisseur d’identité et joue le rôle de fournisseur de service SAML dans le flux d’authentification suivant :

1
Authentification unique lancée par le fournisseur de service. Un utilisateur pour lequel l’authentification unique est activée arrive sur la page de connexion Workplace, puis :
  • Il renseigne son nom d’utilisateur et clique sur le bouton ContinuerOU
  • Il clique sur le bouton Connexion par SSO.

2
Workplace effectue la liaison HTTP Redirect entre le fournisseur de service et le fournisseur d’identité. L’objet <samlp:AuthnRequest> transmis dans la demande comprend des données : Issuer, qui contient l’ID de l’instance Workplace et NameIDPolicy, accepté au préalable par le fournisseur d’identité et le fournisseur de service. Ces données spécifient les exigences sur l’identifiant de nom à utiliser pour représenter la personne concernée. Workplace exige que NameID contienne l’adresse e-mail de l’utilisateur (nameid-format:emailAddress).

3
Workplace attend une liaison HTTP Post entre le fournisseur d’identité et le fournisseur de service. Un token SAML contenant les assertions utilisateur, y compris le statut d’authentification, est renvoyé. L’URL postback Workplace (également appelée URL ACS) est configurée au niveau du fournisseur d’identité et pointe vers le point de terminaison /work/saml.php de l’instance Workplace de l’entreprise.

4
Avant d’accorder l’accès à l’utilisateur, Workplace effectue les vérifications suivantes :
  • La réponse est signée avec le certificat émis par le fournisseur d’identité ;
  • La valeur emailAddress renvoyée dans les assertions SAML correspond à celle utilisée pour lancer le flux d’authentification unique ;
  • L’authentification est réussie (<samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Success"/>).