Cet article est à l'attention des administrateurs.
- 🗒 Instructions par service
- 🧑🏻💻 Instructions génériques
- 🧑🏻💻 Désactivation du SSO pour certains collaborateurs
- 🆕 Mise à jour de notre certificat SAML
- 🙋🏽♂️ Questions
L'authentification unique ou SSO (Single Sign-On) permet d'utiliser votre méthode de connexion habituelle pour vous connecter à Elevo. Ainsi vos utilisateurs n'ont pas besoin d'un nouveau mot de passe pour Elevo et peuvent se connecter en toute facilité.
⚠️ Attention : L'authentification unique est une fonctionnalité différente de la synchronisation des utilisateurs. Seuls les utilisateurs déjà présents sur Elevo pourront se connecter en utilisant l'authentification unique.
Elevo supporte l'authentification unique avec tous les services d'identités utilisant le protocole SAML 2.0. (ex: Google Workspace, Microsoft Azure Active Directory, Okta, OneLogin, etc...)
🗒 Instructions par service
Vous trouverez ci-dessous les instructions de mise en place pour les fournisseurs principaux :
🧑🏻💻 Instructions génériques
Si votre service n'est pas listé ci-dessus suivez ces instructions :
1️⃣ Contactez notre support@elevo.io qui vous fournira les informations suivantes :
- ACS URL dédiée
2️⃣ Avec ces paramètres créez un accès SAML 2.0 sur votre service d'identité avec :
- Nom du service : Elevo
- ACS URL : fourni par le support Elevo
- Entity ID : https://app.elevo.fr/sp
- Name identifier : choisir l'email
- Si vous avez la possibilité de mettre un logo : voici le fichier
3️⃣ Renvoyez au support@elevo.io les informations fournies par votre service d'identité. La plupart du temps il s'agit d'un fichier XML contenant les métadonnées nécessaires.
4️⃣ Pour certains services d'identités, il est nécessaire d'autoriser vos utilisateurs sur le nouvel accès SAML 2.0 que vous avez créé à l'étape 2.
💡 Note : Nous ne proposons actuellement pas la double authentification (2FA). Cependant, en activant le SSO il peut être possible d'activer la 2FA directement par le biais du fournisseur s'il le propose.
🧑🏻💻 Désactivation du SSO pour certains collaborateurs
Pour encore plus de flexibilité dans la gestion de vos collaborateurs, il est désormais possible de désactiver le SSO de manière individuelle pour un ou plusieurs collaborateurs. Ils devront ainsi se connecter en créant un mot de passe.
Pour cela, allez dans Utilisateurs > Collaborateur concerné > et indiquer "Oui" ou "Non" dans le champ SSO. Il est aussi possible de synchroniser ce champ en SFTP (Synchroniser les utilisateurs via SFTP) ou lors d'un import manuel (Ajouter, importer ou mettre à jour des utilisateurs).
Cas d'usage ➡️ Utilisateurs ayant de multiples adresses emails ou autre cas d'adresses emails incompatibles avec la connexion SSO.
💡 Note : Les utilisateurs externes ont toujours la valeur SSO fixée à "Non" → ils ne peuvent pas se connecter via SSO et doivent utiliser leur email ou leur nom d'utilisateur + définir un mot de passe.
🙋🏽 Questions
➡️ Quels Fournisseurs d’Identités (IdP) sont supportés ? Quelle version d’Active Directory est supportée ?
Tous les Fournisseurs d’Identités compatibles avec SAML 2 sont supportés.
➡️ Dois-je créer un groupe AD, une Business Unit, etc. ? Comment puis-je filtrer l’accès à l’application via mon Fournisseur d’Identité ?
Elevo utilise SAML uniquement pour valider l’identité de l’utilisateur qui se connecte. Les permissions sont gérées via l’application elle-même, manuellement ou à travers une intégration avec votre SIRH. En particulier, les comptes utilisateurs ne sont pas créés à travers la connexion SAML. Vous pouvez donc limiter le périmètre des utilisateurs concernés de votre côté, mais cela n’est pas nécessaire.
➡️ Avez-vous un environnement de recette pour tester le SSO ?
Nous avons plusieurs mécanismes pour valider la connexion SAML avant de l’activer pour tout le monde en production :
- Tester sur une sous-partie de la population dans votre organisation de production,
- Provisionner une organisation de recette dans notre environnement de production.
Le type de tests sera choisi par notre équipe de Customer Success pour satisfaire au mieux vos besoins.