1. Objectif
Faciliter la vie de vos opérateurs en leur permettant de s'authentifier dans iAdvize à partir de leur propre système d'authentification centralisé (fournisseur d'identité).
2. Use case
Si les opérateurs doivent basculer entre plusieurs applications (dont iAdvize) au cours de leur travail quotidien, SAML est l'un des protocoles SSO les plus reconnus sur le marché aujourd'hui et est très répandu dans les grandes entreprises. Il permet aux clients d'authentifier leurs utilisateurs dans iAdvize en utilisant leur propre système d'authentification centralisé (fournisseur d'identité).
L'authentification SAML peut être utile pour deux raisons principales :
- sécurité : elle permet aux clients d'authentifier leurs utilisateurs dans plusieurs outils avec un seul compte utilisateur centralisé pour chaque utilisateur (nécessitant ainsi un seul login/mot de passe), et de paramétrer l'authentification et les autorisations des utilisateurs dans plusieurs outils à partir d'un seul système d'authentification.
- déploiement d'utilisateurs : il permet aux clients d'intégrer de nombreux utilisateurs (des centaines ou des milliers) facilement et rapidement sans avoir à créer et à gérer un utilisateur/mot de passe spécifique pour chacun d'eux. Il est basé sur le mot de passe des utilisateurs du contrôleur de domaine/Active Directory/base de données.
3. Processus
Si vous êtes intéressé par l'utilisation de l'authentification SSO SAML, veuillez contacter votre Customer Success Manager iAdvize.
iAdvize utilise l'adresse email comme clé d'unicité, elle doit donc être unique.
L'adresse email de l'utilisateur doit être la même entre iAdvize et votre fournisseur d'identité.
Les utilisateurs doivent également être créés au préalable sur le contrôleur de domaine/Active Directory/base de données.
5. Étapes d'implémentation
|
|
5.1.3. Exposez l'email de votre utilisateur via l'attribut NameID ou via un attribut SAML spécifique | > iAdvize utilise l'email pour faire correspondre vos utilisateurs aux utilisateurs iAdvize |
5.1.4. (optionnel) Envoyez-nous votre domaine email pour forcer les utilisateurs à utiliser le SSO | > Ceci n'est applicable que si vous voulez utiliser une application mobile et/ou si vous ne voulez pas utiliser le lien direct SAML ou pour éviter la connexion par login/mot de passe. |
5.2. Connexion d'un utilisateur
Il existe deux options de connexion. Si vous ne savez pas laquelle est la plus adaptée à votre cas d'utilisation, veuillez en discuter avec votre Customer Success Manager et le chef de projet technique impliqué dans le projet.
Il est possible de générer et d'utiliser un lien direct pour connecter un utilisateur directement dans iAdvize ; le lien généré suit cette convention et est généré sur demande pour chaque client :
C'est très utile, notamment pour les intégrations, et cela simplifie le processus d'intégration des clients à SAML car cela évite de devoir modifier le code de l'administration (voir plus de détails à ce sujet ci-dessous).
Le lien direct est l'option préférée pour se connecter à iAdvize avec SAML.
Dans ce cas, le domaine de l'email avec lequel l'utilisateur se connecte est utilisé comme clé pour déclencher la connexion via SAML, c'est-à-dire que chaque utilisateur appartenant au domaine sur lequel SAML a été activé est redirigé vers l'IdP configuré pour ce domaine lors de la connexion.
C'est la seule option SAML à l'heure actuelle pour les applications mobiles.
Au final, cela ressemble à ceci :
6. Limitations actuelles
- la déconnexion n'est pas disponible
- pas d'auto-provisioning (vous pouvez cependant créer des comptes utilisateur iAdvize via API)