Configurer un SSO

Vision d'ensemble du SSO

intentPlatform supporte l'authentification unique (SSO) en utilisant Auth0 comme fournisseur d'authentification délégué.
Ce mécanisme permet à vos utilisateurs de s'authentifier à intentPlatform en utilisant les identifiants gérés par votre propre fournisseur d'identité (IdP).
  • Méthodes supportées : SAML (Security Assertion Markup Language).
  • Fournisseurs d'identité (IdP) supportés :
  • Azure Active Directory (Azure AD) / Microsoft Identity Platform
  • Google Workspace (anciennement G Suite)
  • Tout autre IdP supportant la norme SAML

Pré-requis et Contraintes

1. Fournisseur d'identité (IdP)

Le client doit avoir un IdP déployé et opérationnel (ex : Azure AD, Google Workspace). Sans IdP, la mise en place du SSO n'est pas possible.

2. Gestion des Certificats SAML

La connexion SSO basée sur SAML repose sur des certificats pour la signature des assertions. Ces certificats ont une date d'expiration.
  • Responsabilité Client : Le client est responsable de la surveillance de la date d'expiration de son certificat de signature SAML sur l'IdP.
  • Procédure d'Update : Le client doit impérativement nous prévenir à l'avance (recommandé : au moins 30 jours avant l'expiration) et nous fournir le nouveau certificat.
  • Période de Chevauchement (Overlap) : Pour garantir la continuité du service et éviter toute coupure, le client doit prévoir de gérer une période de chevauchement (overlap) où l'ancien et le nouveau certificat peuvent être acceptés temporairement par intentPlatform.

3. Autorisation et Accès

  • Gestion des Utilisateurs : Le client est responsable de paramétrer au sein de son IdP les utilisateurs ou les groupes qui sont autorisés à accéder à l'application intentPlatform.
  • Expérience Utilisateur : L'authentification est basée sur l'adresse e-mail de l'utilisateur. Lors de la connexion, si le domaine de l'e-mail (ex : @votre-entreprise.com) est reconnu comme configuré pour le SSO, l'utilisateur sera automatiquement redirigé vers la page de connexion de son IdP (ex : l'écran de connexion Azure AD).
  • Accessibilité : Le SSO sera activé pour les accès Web et/ou Mobile selon votre besoin.

Collecte des Informations

La chefferie de projet doit collecter les informations spécifiques à votre IdP.
  • Configuration Microsoft (Azure AD/Microsoft Identity Platform) :
  • Domaine(s) concerné(s) (ex : @votre-entreprise.com)
  • Application/Client ID
  • Client Secret (à transmettre de manière sécurisée)
  • Identity API : Préciser si vous utilisez Microsoft Identity Platform (v2) ou Azure Active Directory (v1).
  • Date de mise en service prévue pour le fournisseur d'identité dans intentPlatform.
  • Compte Test Obligatoire :
  • Fournir un compte test (ex : intent-test@votre-entreprise.com).
  • L'ID (e-mail) et le mot de passe associés (temporaires).
  • Date de mise en service prévue pour ce compte test.

Création des comptes utilisateurs

Le mécanisme de SSO d'intentPlatform est pour l'authentification et non pour la création des utilisateurs.
Warning Le SSO ne crée pas automatiquement les comptes utilisateur dans intentPlatform.
Il est impératif que les comptes utilisateur existent dans intentPlatform pour que les personnes autorisées puissent se connecter via SSO. Ces comptes doivent être créés en parallèle par l'une des méthodes suivantes :
  • Méthode Automatisée (Recommandée) : Via un connecteur d'API client qui gère la création et la mise à jour des comptes.
  • Méthode Manuelle/Semi-automatisée :
  • Création des comptes directement via l'interface IntentStudio.
  • Création des comptes via des tâches de support par le service client intentPlatform.