Activer l'authentification unique (SSO)

Pour activer l'authentification unique (SSO), suivez ces étapes :
Trouvez le bouton bascule pour le SSO en bas de la page Publier de votre jeu.
Activez le bouton bascule pour activer le SSO pour le jeu.

Important : Vous ne pouvez tester la configuration SSO qu'en utilisant le lien direct vers votre application. La fonctionnalité SSO ne fonctionnera pas en mode aperçu.

Options de configuration du SSO

Lors de l'activation du SSO, vous avez trois possibilités de configuration :

1. Utiliser la configuration SSO héritée

Si vous activez le SSO sans le configurer manuellement dans l'application :
Le système utilisera la configuration SSO définie au niveau de l'espace de travail.
Si aucune configuration n'est disponible au niveau de l'espace de travail, il passera à la configuration au niveau utilisateur.
Cela vous permet de gérer les paramètres SSO de manière centralisée sans avoir à les configurer individuellement pour chaque jeu.
✅ Recommandé si vous souhaitez appliquer la même configuration SSO sur plusieurs jeux.

2. Configurer un SSO basé sur SAML

Si vous décidez de configurer SAML manuellement, suivez ces étapes :

Détails du fournisseur de services (fourni par Drimify)

ID d'entité du fournisseur de services – Identifiant unique de votre jeu comme fournisseur de services.
URL du Service Consommateur d'Assertion (ACS) – URL où l'IdP envoie les assertions SAML.
URL du Service de Déconnexion Unique (SLS) – URL utilisée pour gérer les demandes de déconnexion unique de l'IdP.

Ces valeurs sont disponibles une fois que vous avez activé le SSO et doivent être saisies dans votre fournisseur d'identité (IdP).

Détails du fournisseur d'identité (à récupérer de votre IdP)

ID d'entité du fournisseur d'identité (URL de l'émetteur) – par exemple, https://idp.example.com/
URL du Service d'authentification unique – par exemple, https://idp.example.com/sso/saml
URL du Service de Déconnexion Unique – par exemple, https://idp.example.com/slo/saml
Certificat X.509 – Requis pour vérifier et sécuriser la communication.
Certificat de chiffrement X.509 (optionnel) – Pour chiffrer les assertions SAML.### Configuration de la méthode d'authentification (Facultatif)

Lors de la configuration du Single Sign-On (SSO) dans votre compte Drimify, vous pouvez définir la méthode d'authentification (authenticationMethod), qui précise comment les utilisateurs s'authentifient avec le fournisseur d'identité (IdP). Ce paramètre vous permet de définir un niveau d'authentification particulier pour garantir la conformité avec les politiques de sécurité de votre organisation.

Vous pouvez choisir parmi les méthodes d'authentification suivantes :

Désactiver l'option – Supprime ce paramètre de la configuration SSO, empêchant l'application d'une méthode d'authentification spécifique.
Aucune (Laisser l'IdP décider) – Aucune méthode d'authentification spécifique n'est imposée ; l'IdP détermine le mécanisme d'authentification.
Authentification par mot de passe – Nom d'utilisateur standard et authentification par mot de passe.
Transport Protégé par Mot de passe – Authentification par mot de passe sur une couche de transport protégée (ex. TLS).
Authentification par Certificat X.509 – Authentification utilisant un certificat X.509.
Authentification PKI – Authentification basée sur une infrastructure à clés publiques (PKI).
Authentification Kerberos – Authentification via un ticket Kerberos.
Authentification par Carte à Puce – Connexion utilisant une carte à puce.
Authentification PKI par Carte à Puce – Authentification par carte à puce avec PKI.
Jeton Synchronous par Temps – Mot de passe à usage unique (OTP) généré via des jetons synchrones.
Authentification Mobile à Un Facteur / Deux Facteurs – Authentification via un appareil mobile, soit à un seul facteur ou à deux facteurs.
Authentification par Adresse IP – Authentifie les utilisateurs selon leur adresse IP.
Adresse IP avec Mot de Passe – Nécessite à la fois une authentification basée sur l'IP et un mot de passe.
Authentification de Session Précédente – Réutilise une session déjà authentifiée.
Authentification Non Spécifiée – Aucune méthode d'authentification spécifique n'est définie.

Pour configurer cela dans votre formulaire, sélectionnez simplement la méthode souhaitée dans le menu déroulant. Si aucune méthode n'est explicitement définie, l'IdP déterminera le type d'authentification.

Si vous n'êtes pas sûr, utilisez Aucune pour laisser votre IdP contrôler la méthode d'authentification.

3. Configurer le SSO bas é sur OAuth

Alternativement, vous pouvez utiliser OAuth au lieu de SAML pour l'authentification.

Options du fournisseur oauth

Vous pouvez sélectionner l'une des options suivantes :
Keycloak
Personnalisé

Si vous utilisez Keycloak, vous aurez besoin de :

ID Client
Secret Client
URL du Serveur Keycloak
Keycloak Realm
Version Keycloak

Si vous utilisez un fournisseur OAuth personnalisé, vous aurez besoin de :

ID Client
Secret Client
URL d'Autorisation
URL du Jeton d'Accès
URL du Propriétaire de Ressource
Scopes (ex. openid profil email)
Champ ID (ex. sub)
Champ Email (ex. email)
Champ Prénom (ex. given_name)
Champ Nom de Famille (ex. family_name)

Résumé Étape par Étape

Activer SSO : Activez le bouton SSO dans la section de publication du jeu.
Choisir la méthode de configuration :

Utiliser la configuration workspace/user héritée, ou
Configurer manuellement SAML ou OAuth.

Récupérer les détails du fournisseur de service (si vous utilisez SAML).
Entrer les paramètres du fournisseur d'identité ou fournisseur oauth.
Enregistrer et tester la configuration en utilisant le lien direct de l'application (pas en mode prévisualisation).

Notes Importantes

🔐 Exigence du Plan : Assurez-vous que votre abonnement inclut l'option SSO Premium.
🔗 Test de Lien Direct : Le SSO fonctionne uniquement via le lien direct de l'application, pas en mode prévisualisation.
🔧 Configuration Détail du Jeu SSO : Assurez-vous que votre plateforme SSO accepte les appels de Drimify.
📋 Guide de Référence : Consultez le guide de configuration SSO pour une aide détaillée.

Conseils de Dépannage### 🛡️ Problèmes spécifiques à SAML

URL ACS ou ID d'entité incorrects
Vérifiez que l'**URL du service consommateur d'assertions (ACS)** et l'**ID d'entité** dans votre fournisseur d'identité (IdP) correspondent à ceux fournis par Drimify dans votre configuration SSO.
Certificat X.509 non valide ou expiré
Assurez-vous que le certificat X.509 ajouté à votre configuration est valide et qu'il n'a pas expiré. S'il change, n'oubliez pas de le mettre à jour dans la configuration.
Méthode d'authentification non supportée
Si vous imposez une méthode d'authentification spécifique (comme Smartcard ou Kerberos) et que la connexion échoue, essayez de définir la méthode à "Aucune" pour laisser l'IdP décider.
Assertions SAML non acceptées
Vérifiez que votre IdP envoie l'assertion dans le bon format (typiquement urn:oasis:names:tc:SAML:2.0:assertion) et qu'elle inclut les champs utilisateur attendus (comme l'email).

🔐 Problèmes spécifiques à OAuth

Identifiant client ou secret invalide
Assurez-vous que votre ID client et secret client sont correctement copiés depuis le tableau de bord de votre fournisseur oauth. Un couple incorrect empêchera l'authentification.
URLs incorrectes (Autorisation / Jeton / Infos Utilisateur)
Confirmez que l'**URL d'autorisation**, l'**URL d'accès aux jetons**, et l'**URL de l'info propriétaire des ressources (Infos Utilisateur)** sont correctes et publiquement accessibles. Les erreurs de frappe ou les environnements incorrects (par ex., dev vs prod) sont des causes fréquentes.
Portée manquante ou incorrecte
Assurez-vous d'avoir spécifié les bonnes portées requises pour récupérer les informations utilisateur (par exemple, openid email profil). Des portées manquantes peuvent provoquer des données utilisateur incomplètes.
Champs manquants ou mal nommés
Si les utilisateurs ne sont pas correctement identifiés, vérifiez que les noms de vos champs ID, Email, Prénom, et Nom de famille correspondent à la structure renvoyée par votre fournisseur oauth.

🚨 Problèmes généraux (SAML & OAuth)

SSO fonctionne en prévisualisation mais échoue dans le lien direct (ou inversement)
Le SSO fonctionne uniquement dans le lien de l'application en ligne, pas en prévisualisation. Testez toujours en utilisant le lien direct de l'application.
SSO ne se déclenche pas
Assurez-vous que :
Le SSO est activé pour le jeu.
Votre forfait inclut l'option Premium SSO.
Votre fournisseur SSO accepte les appels des serveurs de Drimify.
Configuration de repli non fonctionnelle
Si vous comptez sur la configuration au niveau de l'espace de travail ou de l'utilisateur, assurez-vous qu'elle est correctement configurée et activée. Sinon, configurez directement SAML ou OAuth dans l'application.
L'application ne reçoit pas la bonne identité utilisateur
Vérifiez que votre IdP (SAML) ou votre fournisseur oauth renvoie un ID utilisateur, un email, ou un identifiant unique et cohérent qui correspond à ce qui est configuré dans votre application.

Mis à jour le : 30/05/2025