Cet article est aussi disponible en :

sso entreprise - Configuration

🔐 sso enterprise – Guide Complet de Configuration

Le Single Sign-On (SSO) pour entreprise permet à votre organisation d'authentifier des utilisateurs en utilisant votre fournisseur d'identité (IdP) existant. Les utilisateurs avec le domaine de votre entreprise peuvent se connecter en toute sécurité sans créer de mots de passe distincts et seront automatiquement assignés au bon espace de travail.


Ce guide couvre :


  • Protocoles SSO disponibles
  • Configuration de OAuth 2.0
  • Configuration de SAML 2.0
  • Assignation par défaut de l’espace de travail
  • Vérification du domaine (DNS)
  • Fonctionnement de la connexion


🚀 Protocoles SSO Disponibles

Vous pouvez configurer sso enterprise en utilisant l'un des protocoles suivants :


1️⃣ OAuth 2.0 (OpenID Connect)

Recommandé pour les fournisseurs d'identité modernes.

Utilisé par :


  • Google
  • Microsoft Entra ID
  • Okta
  • Fournisseurs OIDC personnalisés


OAuth 2.0 repose sur des flux d'autorisation et des points d'accès aux infos utilisateur pour récupérer de manière sécurisée l'identité utilisateur.


2️⃣ SAML 2.0

Largement utilisé dans les environnements d'entreprise.

SAML utilise des assertions d'authentification basées sur XML échangées entre votre fournisseur d'identité et Drimify.

Choisissez le protocole pris en charge par votre fournisseur d'identité.


⚙️ Création d'une nouvelle configuration sso


Allez à :


Admin → sso enterprise → Nouvelle Configuration

Vous devrez définir :


  • Nom de la Configuration
  • Domaine de Messagerie
  • Protocole sso (OAuth 2.0 ou SAML 2.0)


Une fois enregistré, la vérification du domaine sera requise avant d'activer le SSO.


🌐 Domaine de Messagerie

Entrez le domaine associé à votre organisation.

Exemple :


company.com


Les utilisateurs se connectant avec @company.com seront automatiquement redirigés vers votre fournisseur SSO.

Une seule configuration SSO peut être active par domaine.


🟣 Configuration OAuth 2.0


Sélectionnez OAuth 2.0 comme protocole sso.

Vous devez d'abord créer une application OAuth / OpenID Connect dans votre fournisseur d'identité.


🔁 url de redirection (Requise dans votre IdP)


Lors de la création de l'application OAuth, configurez cette url de redirection :


https://my.drimify.com/fr/sso/callback/oauth


Cela doit correspondre exactement.


🔑 Identifiants Client


id client

Identifiant public fourni par votre fournisseur d'identité.

Secret Client


Clé privée associée à votre application OAuth. Gardez-la sécurisée.


🌍 Points d'accès OAuth


URL d'Autorisation


Exemple :


https://example.com/oauth/connect


Où les utilisateurs sont redirigés pour se connecter.

url du jeton d'accès


Exemple :


https://example.com/oauth/token


Utilisée pour échanger le code d'autorisation contre un jeton d'accès.

url du propriétaire de la ressource (User Info Endpoint)


Exemple :


https://example.com/oauth/userinfo


Renvoie les données d'identité de l'utilisateur après authentification.


🎯 Scopes

Entrez les scopes sous forme de liste séparée par des virgules.

Pour OpenID Connect standard :


openid, profil, email


Cela permet d'accéder à :


  • Identifiant utilisateur unique
  • adresse email
  • prénom
  • nom


👤 Mappage d'Attributs


Votre fournisseur d'identité renvoie les données utilisateur au format JSON. Vous devez définir quels champs correspondent aux valeurs requises.

champ id


Exemple :


sub


Champ E-mail


Exemple :


email


Champ Prénom


Exemple :


given_name


Champ Nom


Exemple :


family_name


Ces noms de champ doivent correspondre exactement à ce que votre fournisseur d'identité renvoie.


🔵 Configuration SAML 2.0


Sélectionnez SAML 2.0 comme protocole.

Vous aurez besoin des valeurs suivantes de votre fournisseur d'identité :


Identity Provider Entity ID (URL de l'émetteur)

Identifiant unique de votre fournisseur d'identité.


URL du Service de Connexion Unique

Le point d'accès où les requêtes d'authentification sont envoyées.


url du service de déconnexion unique (Optionnel)

Point d'accès utilisé pour la fonctionnalité de déconnexion unique.


Certificat X509

Certificat public fourni par votre fournisseur d'identité.

Utilisé pour valider les assertions SAML.


Certificat X509 de Chiffrement (Optionnel)

Utilisé si votre fournisseur requiert des assertions chiffrées.


Contexte d'Authentification Requis (Optionnel)

Définit la force d'authentification requise (par ex. MFA).

Laissez désactivé sauf si requis par votre fournisseur.# 🏢 Informations Fournies Par Le Prestataire De Services


Après avoir sauvegardé votre configuration SAML, Drimify générera les valeurs requises par votre fournisseur d'identité :


  • Identifiant de l'entité prestataire de services (URL des métadonnées)
  • Service Consommateur d'Assertions (URL ACS)
  • Service de Déconnexion Unique (URL SLS)


Ces informations doivent être ajoutées à la configuration de votre fournisseur d'identité.


🏢 Paramètres Par Défaut De L’Espace De Travail


sso enterprise permet l'affectation automatique à un espace de travail. Vous devez définir :

Espace De Travail


Tous les utilisateurs s'authentifiant via ce SSO rejoindront automatiquement cet espace de travail.

Département Par Défaut


Les utilisateurs seront affectés à ce département.

Rôle Prédéfini


Définit les permissions par défaut accordées aux nouveaux utilisateurs créés via ce SSO. Cela garantit un contrôle d'accès approprié dès la première connexion.


🌍 Vérification Du Domaine (DNS Requis)


Après avoir sauvegardé votre configuration SSO, la vérification du domaine est obligatoire. Pour vérifier la propriété :


  1. Un enregistrement TXT DNS sera généré.
  2. Ajoutez l'enregistrement TXT aux paramètres DNS de votre domaine.
  3. Cliquez sur “Vérifier le Domaine” dans la plateforme.


Exemple d'enregistrement :


  • Type : TXT
  • Hôte : company.com
  • Valeur : drimify-domain-verification=xxxxxxxxxxxxxxxx


⚠ La propagation DNS peut prendre jusqu'à 48 heures. Le SSO ne peut pas être activé tant que la vérification n'est pas réussie.


🔁 Comment Fonctionne La Connexion


  1. L'utilisateur entre son adresse email.
  2. Si le domaine correspond à un SSO configuré :
    • Il est automatiquement redirigé vers votre fournisseur d'identité.
  1. Après une authentification réussie :
    • Il est redirigé vers Drimify.
    • Si nouvel utilisateur, son compte est créé automatiquement.
    • Il est affecté à l'espace de travail et au rôle configurés.


🧪 Tester Votre SSO


Avant d'activer pour tous les utilisateurs :


  • Tester avec un utilisateur de votre domaine
  • Confirmer que le mapping des emails fonctionne correctement
  • Vérifier que les prénom et nom de famille sont correctement renseignés
  • Tester le comportement de déconnexion
  • S'assurer que l'URL de redirection correspond exactement


❗ Problèmes Courants


La réponse SSO n'a pas inclus d'adresse email


→ Assurez-vous que le scope email est inclus (OAuth) ou que l'attribut email est mappé (SAML).


URI de redirection invalide


→ Vérifier qu'elle correspond exactement :


https://my.drimify.com/fr/sso/callback/oauth


Domaine non vérifié


→ Assurez-vous que l'enregistrement TXT DNS est correctement ajouté et propagé.


🔐 Recommandations De Sécurité


  • Ne jamais exposer votre Secret Client.
  • Utiliser uniquement des endpoints HTTPS.
  • Restreindre votre application IdP à votre organisation.
  • Faire tourner régulièrement les informations d'identification lorsque cela est possible.


Votre sso enterprise est pleinement opérationnel une fois que :


  • La configuration est enregistrée
  • Le domaine est vérifié
  • Le SSO est activé

Mis à jour le : 03/03/2026

Cet article a-t-il répondu à vos questions ?

Partagez vos commentaires

Annuler

Merci !