Reach 360 : comment activer l'authentification unique (SSO)

L'authentification unique (SSO) vous permet d'authentifier vos utilisateurs auprès de vos propres systèmes sans leur obliger à saisir des informations de connexion supplémentaires à Reach 360. Ainsi, si un utilisateur est déjà authentifié par votre fournisseur d'identité (IDP), il est également authentifié dans Reach 360.

Seuls les propriétaires de comptes Reach 360 peuvent activer ou désactiver le SSO depuis l'interface intégrée à l'application.

1. Obtenir des informations sur l'IDP
2. Activer le SSO dans Reach 360
3. Ajoutez les informations Reach 360 à votre IDP
4. Ajouter les attributs obligatoires pour les utilisateurs
5. Désactiver le SSO

Étape 1 : Obtenir des informations sur l'IDP

Nous avons besoin de connaître votre IDP et ils ont besoin de nous connaître. Pour activer le SSO, vous devez saisir des informations sur votre fournisseur dans Reach 360 et, à notre tour, nous vous donnerons les informations dont vous avez besoin pour accéder à votre compte IDP.

Vous aurez besoin de trois éléments :

1. URL SSO IDP
2. URI de l'émetteur IDP
3. Certificat de signature IDP

Ils doivent tous être disponibles/configurables dans votre compte IDP.

Étape 2 : activer le SSO dans Reach 360

L'option de configuration de l'authentification unique est réservée aux propriétaires. Si vous n'êtes pas sûr de ce que vous devez saisir pour une étape donnée, cliquez sur En savoir plus pour plus de détails.

1. Dans Reach 360, sélectionnez l'onglet Gérer et cliquez sur Paramètres.
2. Sélectionnez l'onglet Paramètres du développeur.
3. Sous Authentification par authentification unique (SSO), cliquez sur Configurer l'authentification unique.
4. Sur la page Configurer l'authentification unique (SSO), dans le champ URL SSO IDP, entrez l'URL SSO IDP que vous avez obtenue à l'étape 1. Il s'agit de l'adresse à laquelle vos utilisateurs se connectent.
5. Entrez l'ID d'entité IDP pour votre SSO dans le champ IDP Issuer URI.
6. Ouvrez le certificat de signature IDP que vous avez téléchargé à l'étape 1. Copiez et collez l'intégralité du certificat X.509 dans l'espace prévu à cet effet.
7. Sélectionnez le mode de signature de la réponse SAML de votre IDP. Vous devez choisir Response ou Assertion.
8. Indiquez si vous souhaitez signer les demandes d'authentification SAML et si vous souhaitez utiliser SCIM pour approvisionner automatiquement les utilisateurs et les groupes.
9. Une fois que vous avez vérifié vos entrées, cliquez sur Enregistrer et continuer.

Étape 3 : Ajoutez les informations Reach 360 à votre IDP

Une fois que vous aurez saisi les informations à l'étape précédente, nous aurons tout ce dont nous avons besoin pour générer les certificats et les jetons pour votre compte IDP.

Après avoir cliqué sur Enregistrer et continuer, vous remarquerez que la page SSO est légèrement différente. Voici ce dont vous avez besoin pour connecter votre solution SSO à Reach 360 :

• URL du service Assertion Consumer (ACS)
• URL du public
• Certificat de signature

Si vous avez sélectionné l'option d'utilisation du SCIM à l'étape 2, vous recevrez également :

• URL DU SCIM
• Jeton d'authentification SCIM

Ajoutez ces valeurs à l'endroit approprié sur la page de configuration de votre IDP. Une fois que vous avez terminé de saisir ces informations, cliquez sur OK.

Une fois configuré, vous pouvez consulter vos paramètres SSO à tout moment en cliquant sur Configurer l'authentification unique dans l'onglet Paramètres du développeur. Si le SCIM est activé, vous pouvez générer un nouveau jeton SCIM en cliquant sur le bouton dans la section URL SCIM. Cela invalide votre jeton actuel et en émet un nouveau que vous devrez ajouter à la page de configuration de votre IDP.

Remarque : Si vous rencontrez des problèmes pour ajouter ces informations à votre compte IDP, veuillez contacter leur équipe de support technique.

Étape 4 : Ajouter les attributs requis pour les utilisateurs

Pour qu'un utilisateur soit créé dans Reach 360, son enregistrement dans votre IDP doit contenir les attributs suivants :

• firstName= prénom
• lastName= nom de famille
• email= adresse e-mail
• subjectNameIdou Unique User Identifier = n'importe quel identifiant unique de votre IdP

Vous pouvez également envoyer les attributs facultatifs suivants :

• avatar= remplace la photo de profil définie par l'utilisateur (doit être transmise sous forme d'URL)
• groups= une liste des groupes auxquels l'utilisateur est affecté dans l'IdP que vous souhaitez synchroniser avec Reach 360.

SCIM

Si vous utilisez SCIM, vous devez également configurer votre IDP avec les attributs obligatoires suivants :

• name.givenName= prénom
• name.familyName= nom de famille
• userName= adresse e-mail

Vous pouvez également utiliser les attributs SCIM facultatifs suivants :

• avatar= remplace la photo de profil définie par l'utilisateur (doit être transmise sous forme d'URL et doit être envoyée sous forme d'attribut faisant partie duurn:scim:schemas:extension:metadata:2.0:User schema)
• externalId= n'importe quel identifiant unique de votre IdP

Le guide de l'utilisateur de Reach 360 contient des informations supplémentaires sur la gestion des utilisateurs et des groupes lorsque l'authentification unique est activée. Contactez enterprise@articulate.com si vous rencontrez des problèmes ou si vous avez besoin d'aide.

Étape 5 : Désactiver le SSO

La désactivation du SSO est simple et rapide. N'oubliez pas que lorsque vous désactivez le SSO, vous devez répéter l'intégralité du processus décrit dans les étapes 1 à 3 si vous souhaitez le réactiver.

1. Dans l'onglet Gérer, cliquez sur Paramètres.
2. Cliquez sur l'onglet Paramètres du développeur.
3. Dans la section Paramètres de configuration SAML, cliquez sur Désactiver l'authentification unique.
4. Cliquez sur Désactiver pour confirmer que vous souhaitez désactiver l'authentification unique.

Un e-mail est envoyé aux membres de votre équipe liés au SSO pour les informer que le SSO a été désactivé. Pour réactiver leur connexion, ils doivent cliquer sur le bouton Définir le mot de passe contenu dans cet e-mail.