Authentification unique (SSO) - Configuration principale
Activation du Single Sign-On (SSO)
Pour activer le Single Sign-On (SSO), suivez ces étapes :
Repérez l'**interrupteur SSO** dans vos paramètres d'authentification.
Activez l'interrupteur pour activer SSO.
⚠️ Important : Vous pouvez tester votre configuration SSO uniquement en utilisant le lien direct vers votre application. Le SSO ne fonctionnera pas en mode prévisualisation.
Options de Configuration SSO
1. Configurer SSO basé sur SAML
Si vous choisissez d'utiliser SAML, vous devrez configurer à la fois les détails du fournisseur de service de Drimify et ceux de votre fournisseur d'identité.
Détails du Fournisseur de Services (fournis par Drimify) :
ID d'Entité – identifiant unique pour votre configuration.
URL ACS (Assertion Consumer Service) – Où l'IdP envoie les assertions SAML.
URL SLS (Single Logout Service) – Gère les demandes de déconnexion.
Ces valeurs apparaîtront une fois que le SSO est activé et doivent être ajoutées à votre Fournisseur d'Identité (IdP).
Détails du Fournisseur d'Identité (fournis par vous) :
ID d'Entité (Emetteur) – ex. https://idp.example.com/
URL du Service de Single Sign-On – ex. https://idp.example.com/sso/saml
URL du Service de Single Logout – ex. https://idp.example.com/slo/saml
Certificat X.509 – Requis pour valider les réponses SAML.
Certificat de Chiffrement (optionnel) – Pour chiffrer les assertions.
2. Méthode d'Authentification (Optionnelle)
Vous pouvez optionnellement définir une authenticationMethod pour imposer un niveau d'authentification spécifique lors de la connexion des utilisateurs via le SSO.
Méthodes disponibles :
Aucune (Laisser l'IdP décider)
Mot de passe / Mot de passe sur TLS
Certificat X.509
Authentification PKI
Kerberos
Carte à puce / PKI de carte à puce
Jeton temporel synchronisé (OTP)
Mobile (1FA / 2FA)
Adresse IP uniquement / IP + Mot de passe
Session précédente
Non spécifié
Si vous n'êtes pas sûr, sélectionnez Aucune pour laisser votre Fournisseur d'Identité déterminer le mécanisme d'authentification.
3. Configurer SSO basé sur OAuth
Vous pouvez également configurer le SSO en utilisant un fournisseur OAuth.
Options OAuth supportées :
Keycloak
Fournisseur personnalisé
Pour Keycloak :
ID du client
Secret Client
URL du serveur Keycloak
Realm
Version
Pour OAuth personnalisé :
ID du client
Secret Client
URL d'autorisation
URL du jeton d'accès
URL du Propriétaire de Ressource (User Info)
Scopes (ex. openid, profile, email)
champ d'identifiant (ex. sub)
Champ d’e-mail (ex. email)
Champ Prénom (ex. given_name)
Champ Nom (ex. family_name)
Résumé étape par étape
Activer le SSO via l'interrupteur.
Choisir une méthode de configuration :
Configurer manuellement SAML ou OAuth.
Renseigner les détails requis (selon la méthode).
Sauvegarder et tester en utilisant le lien direct vers l'application.
Notes Importantes
🔐 Nécessité de l'abonnement : Votre abonnement doit inclure l'option Premium SSO.
🔗 Tester en utilisant le lien direct : Le mode de prévisualisation ne prend pas en charge le SSO.
🛠️ Vérifiez votre plateforme SSO : Assurez-vous que votre IdP ou fournisseur OAuth autorise les demandes de Drimify.
Conseils de Dépannage
Spécifique à SAML
✅ Non-correspondance URL ACS / ID d'Entité : Vérifiez ces valeurs dans votre IdP.
📅 Certificat expiré : Mettez à jour le certificat X.509 s'il est expiré ou a changé.
🚫 Méthode d'authentification non supportée : Essayez de la régler sur "Aucune" si la connexion échoue.
📥 Assertion SAML non acceptée : Assurez-vous qu'elle est au bon format et inclut les champs requis (comme l'e-mail).
Spécifique à OAuth
❌ ID/Secret Client invalide : Vérifiez les identifiants.
🌐 URLs incorrectes : Assurez-vous que toutes les URLs sont correctes et accessibles.
🔍 Scopes manquants : Confirmez que les scopes requis sont inclus.
🧩 Champs de correspondance manquants : Faites correspondre les noms de champs avec la réponse utilisateur de votre fournisseur OAuth.### Problèmes Généraux
⚠️ Le SSO fonctionne seulement via un lien direct : Évitez de tester en prévisualisation.
🔄 Le SSO ne se déclenche pas : Assurez-vous qu'il est activé et que votre abonnement inclut cette fonctionnalité.
🧭 Incohérence dans les données utilisateur : Vérifiez que votre IdP ou fournisseur oauth renvoie un identifiant utilisateur valide et unique.
Mis à jour le : 30/05/2025
Merci !