Accueil
Accueil

Authentification

Découvrez vos options pour autoriser l’accès aux utilisateurs à Workplace.

Table des matières

Présentation

Présentation

L’authentification unique offre aux utilisateurs un accès à Workplace via un fournisseur d’identité (IdP) que vous contrôlez. Cela vous offre certains avantages :

  • C’est plus sécurisé : cela fournit un niveau de sécurité et de gouvernance supplémentaire (aucun identifiant et mot de passe n’est stocké en dehors des systèmes contrôlés de votre entreprise ou transmis sur le réseau).
  • C’est plus facile pour l’utilisateur final : la connexion à Workplace se fait en utilisant les mêmes identifiants et mots de passe à authentification unique que pour d’autres systèmes (ordinateur portable ou applications internes). Ainsi, vos utilisateurs peuvent accéder à Workplace sans avoir à se remémorer un autre mot de passe.

Workplace est directement pris en charge par différents fournisseurs d’identité, dont Azur AD, G Suite, Okta, OneLogin, Ping Identity qui offrent des connecteurs directs pour faciliter la configuration.

?
Workplace prend en charge le SAML (Security Assertion Markup Language) 2.0 pour l’authentification unique. C'est un standard de l'industrie, et cela se traduit par notre capacité à nous intégrer facilement avec n'importe quel fournisseur d'identité qui supporte le SAML 2.0, même s'il ne figure pas dans cette page, ou même à créer votre propre implémentation d’authentification unique.

Activer l’authentification unique pour Workplace

Dès que vous aurez terminé les configurations d’authentification unique ci-dessous, les utilisateurs provisionnés dans Workplace pourront s'authentifier via votre fournisseur d'identité sélectionné.

Conditions requises

Conditions requises

Afin d’activer l’authentification unique dans Workplace, vous devrez :

  • avoir accès aux paramètres de configuration de votre fournisseur d’identité ;
  • avoir assigné un rôle Administrateur système dans Workplace ;
  • avoir un compte correspondant chez le fournisseur d’identité avec le même e-mail que l’utilisateur Workplace avec lequel vous vous êtes connecté(e) (c.-à-d. qui utilise la même adresse e-mail pour vous authentifier dans Workplace et chez le fournisseur d’identité). C’est important pour tester l’authentification unique et terminer la configuration Workplace correctement.
?
Workplace prend en charge un fournisseur d’identité pour l’authentification unique dans chaque instance. Cela signifie que pour activer l’authentification unique pour chaque utilisateur, vous devriez avoir un fournisseur d’identité global en place pour l’authentification unique. Alternativement, nous prenons en charge un scénario d'authentification mixte dans lequel certains utilisateurs s'authentifieront en utilisant l’authentification unique et d'autres en utilisant le nom d'utilisateur et le mot de passe de Workplace.

Instructions de haut niveau

Activer l’authentification unique nécessite quelques modifications au niveau de votre fournisseur d’identité et de Workplace. Selon votre fournisseur d’identité, la configuration peut varier mais les étapes à suivre peuvent être résumées comme suit :

1
Configurez votre fournisseur d’identité (IdP) pour activer l’authentification unique pour Workplace.

2
Configurez Workplace pour authentifier les utilisateurs via authentification unique.

3
Activez l’authentification unique pour vos utilisateurs.

Ci-dessous, vous trouverez une présentation détaillée de chacune des étapes :

Configurez votre fournisseur d’identité pour l’authentification unique avec Workplace

1. Configurez votre fournisseur d’identité pour activer l’authentification unique pour Workplace

Suivez les instructions de votre fournisseur d’identité pour configurer l’authentification unique pour Workplace. Tous les fournisseurs d’identité basés sur le cloud que nous prenons en charge offrent une application pré-configurée pour faciliter la configuration Workplace :

G-Suite
Azure AD
Okta
OneLogin
Ping
Duo

Workplace prend également en charge l’ADFS en tant que fournisseur d’authentification unique. En savoir plus sur comment configurer l’ADFS comme fournisseur d’authentification unique pour Workplace.

Toutes les configurations ci-dessous fourniront au moins une URL SAML, URL de l’émetteur SAML et un certificat X.509 que nous utiliserons dans les prochaines étapes pour configurer Workplace. Veuillez les noter.

?
Pour le certificat X.509, vous devrez peut-être ouvrir le certificat téléchargé dans un éditeur de texte pour l’utiliser dans les étapes suivantes.
Configurez Workplace pour authentifier les utilisateurs via l’authentification unique

2. Configurez Workplace pour authentifier les utilisateurs via l’authentification unique

Une fois que vous avez passé la configuration de votre fournisseur d’identité :

1
Accédez au Panneau d’administration et naviguez vers la section Sécurité.

2
Naviguez vers l’onglet Authentification.

3
Cochez la case authentification unique.

4
Saisissez les valeurs provenant de votre fournisseur d’identité dans les champs correspondants :
  • URL SAML
  • URL de l’émetteur SAML
  • Redirection de déconnexion SAML (facultatif)
  • Certificat SAML

5
Selon votre fournisseur d’identité, vous devrez peut-être copier les valeurs pour l’ URL Audience, l’URL du destinataire et l’URL ACS (Assertion Consumer Service) listées sous la section deconfiguration SAML et configurer votre fournisseur d’identité conformément.

6
Allez au bas de la section et cliquez sur le boutonTester l’authentification unique. Une fenêtre pop-up apparaîtra alors avec la page de connexion de votre fournisseur d'identité. Saisissez vos identifiants pour vous authentifier.

?
Dépannage : assurez-vous que l’adresse e-mail utilisée pour vous authentifier avec votre fournisseur d’identité est la même que le compte Workplace avec lequel vous êtes connecté.

7
Une fois le test correctement effectué, allez au bas de la page et cliquez sur Enregistrer.

3. Activez l’authentification unique pour vos utilisateurs

Activez l’authentification unique pour vos utilisateurs

Selon comment vous décidez de configurer l’authentification pour votre instance :

  • Activez l’authentification unique pour un utilisateur. Vous pouvez activer l’authentification unique pour un utilisateur en vous connectant en tant qu’Administrateur ayant l’autorisation d’ajouter et de supprimer des comptes. Puis, suivez les étapes suivantes pour changer les paramètres d’authentification unique pour un utilisateur :

    1
    Accédez au Panneau d’administration et naviguez vers la section Utilisateurs.

    2
    Recherchez l’utilisateur pour lequel vous voulez changer les paramètres d’authentification.

    3
    Cliquez sur le bouton... et sélectionnez Modifier les détails de la personne.

    4
    Définissez Connexion avec le champ sur Authentification unique.
  • Activez l’authentification unique pour tous vos utilisateurs Workplace. Vous pouvez activer l’authentification unique pour tous vos utilisateurs en vous connectant en tant qu’administrateur ayant le rôle de l’Administrateur système. Une fois que vous vous êtes connecté(e) en tant qu’administrateur avec cette autorisation, vous pouvez suivre les étapes suivantes pour modifier les paramètres d’authentification unique pour tous les utilisateurs Workplace.

    1
    Accédez au Panneau d’administration et naviguez vers la section Sécurité.

    2
    Naviguez vers l’onglet Authentification.

    3
    Si vous souhaitez changer tous les utilisateurs pour une authentification unique, décochez la case Mot de passe .
  • Activer l’authentification unique pour une partie de vos utilisateurs Vous pouvez utiliser différentes approches pour activer de manière sélective l’authentification unique pour une sous-partie de vos utilisateurs.

    La méthode de connexion fait partie des champs que nous prenons en charge pour la modification groupée. Vous pouvez définir la méthode de connexion sur authentification unique pour une partie des utilisateurs en utilisant csv la fonctionnalité d’importation. Vous pouvez en savoir plus sur la gestion groupée des comptes ici.

    Vous pouvez également utiliser notre API de gestion des comptes pour mettre à jour la méthode de connexion automatiquement pour une partie des utilisateurs. Vous pouvez en savoir plus sur l’API de gestion des comptes ici.

Redirection de déconnexion SAML

Redirection de déconnexion SAML (facultatif)

Vous pouvez choisir de configurer une URL de déconnexion SAML de manière optionnelle sur la page de configuration d’authentification unique qui peut être utilisée pour rediriger vers la page de déconnexion de votre fournisseur d’identité. Lorsque ce paramètre est activé et configuré, l’utilisateur n’est plus renvoyé vers la page de déconnexion de Workplace. Il est plutôt redirigé vers l’URL ajoutée dans le paramètre de redirection de déconnexion SAML.

Fréquence de la réauthentification

Fréquence de la réauthentification

Vous pouvez configurer Workplace de façon à demander une authentification SAML tous les jours, tous les trois jours, toutes les semaines, toutes les deux semaines, tous les mois ou jamais. Vous pouvez également forcer la réinitialisation SAML pour tous les utilisateurs en utilisant le bouton Forcer la réauthentification maintenant.

Architecture authentification unique de Workplace

Architecture authentification unique de Workplace

?
Cette section offre une présentation détaillée du flux d’authentification unique pris en charge par Workplace. Les solutions d’authentification unique personnalisées basées sur SAML doivent suivre les directives décrites ci-dessus pour s'intégrer à Workplace pour l'authentification.

Workplace prend en charge SAML 2.0 pour l’authentification unique, en donnant aux administrateurs la possibilité de gérer l’accès à la plate-forme en utilisant un fournisseur d’identité (IdP) qu’ils peuvent contrôler. Workplace reçoit et accepte les revendications de l’IdP basées sur SAML et joue le rôle du fournisseur de services (SP) SAML au sein du flux d’authentification suivant :

1
SSO initiée par le SP. Un utilisateur qui utilise l’authentification unique arrive sur la page de connexion Workplace, puis :
  • saisit le nom d’utilisateur et clique sur le bouton ContinuerOU
  • clique sur le bouton Se connecter en authentification unique.

2
Workplace fait une redirection HTTP du fournisseur de service (SP) vers le fournisseur d’identité (IdP). L'objet <samlp:AuthnRequest> passé dans la demande contient des données, telles que Issuer l'ID de l'instance Workplace, NameIDPolicyqui a été préalablement convenu entre IdP et SP et qui spécifie les contraintes sur l'identifiant du nom à utiliser pour représenter le sujet demandé. Workplace requiert que l’identifiant du nom contienne l’adresse e-mail de l’utilisateur (nameid-format:emailAddress).

3
Workplace s'attend à ce qu'un poste HTTP lie IdP à SP. Un jeton SAML est renvoyé contenant les revendications de l’utilisateur dont le statut de l’authentification. L’URL post-back de Workplace (également appelé l’URL Assertion Consumer Service) est configuré au niveau de l’IdP et redirige vers le /work/saml.phppoint de terminaison
de l’instance Workplace de l’entreprise.

4
Avant de laisser entrer un utilisateur, Workplace vérifie que :
  • La réponse est signée avec le certificat délivré par l’IdP ;
  • emailAddress retournée dans les assertions SAML corresponde à celle utilisée pour déclencher le flux d’authentification unique.
  • L’authentification a réussi (<samlp:​StatusCode Value="urn:​oasis:​names:​tc:​SAML​:2.0:​status:Success"/>).