Configurer le SSO (Single Sign-On)
SSO est un processus d'authentification qui permet aux utilisateurs d'accéder à plusieurs applications après s'être authentifiés une seule et unique fois. Diligent One prend en charge l'intégration SSO pour tous les fournisseurs d'identité qui adhèrent au protocole OASIS SAML 2.0.
Diligent One propose une prise en charge limitée de SSO puisque les autres scénarios d'authentification présentent un risque de sécurité potentiel pour les entreprises.
Autorisations
Seuls les admins système peuvent configurer des paramètres SSO pour leur entreprise.
Conditions requises
- Votre fournisseur d'identité doit se conformer au protocole OASIS SAML 2.0.
- Tous les utilisateurs d'une instance Diligent One à SSO actif doivent s'authentifier par le biais d'un fournisseur d'identité.
Si vos utilisateurs accèdent à plusieurs instances
Les utilisateurs qui s'authentifient par le biais d'un fournisseur d'identité peuvent le faire pour plusieurs instances Diligent One, si toutes ces instances appartiennent à la même entreprise.
Pour vérifier cette information, regardez l'option « Nom client » dans les paramètres d'organisation de chaque instance. Il doit en être de même dans toutes les instances auxquelles les utilisateurs SSO ont besoin d'accéder. Pour plus d'informations, consultez Mettre à jour les paramètres de l'organisation. Vous pouvez également utiliser le sélection d'instance pour vérifier que les instances en question ont été retirées de dessous le même nom de société. Pour plus d'informations, consultez Passer d'une instance Diligent One à l'autre.
Si vous avez besoin de modifier l'entreprise d'appartenance de votre instance, contactez l'Assistance.
L'authentification n'est pas propre à une région. Les utilisateurs peuvent accéder à des instances Diligent One dans différentes régions.
Si vos utilisateurs accèdent à des instances de formation
Les utilisateurs qui s'authentifient par un fournisseur d'identités peuvent créer des instances de formation qui sont automatiquement liées à la même entreprise.
Il est possible d'ajouter d'autres utilisateurs à cette instance de formation dans la mesure où ces utilisateurs n'appartiennent pas déjà à une autre instance de formation avec ce même e-mail.
Si vos utilisateurs travaillent pour différentes entreprises
Les utilisateurs qui travaillent pour différentes entreprises (par exemple, des consultants) ne peuvent pas utiliser SSO.
Si un utilisateur Diligent One de votre entreprise utilise déjà une instance à SSO actif appartenant à une autre entreprise, vous ne pouvez pas activer SSO. Pour activer SSO, vous devez supprimer cet utilisateur de Diligent One de votre entreprise ou lui demander de supprimer lui-même son accès Diligent One dans l'autre entreprise.
Vous ne pouvez pas utiliser l'authentification SSO et l'authentification 2FA conjointement
Vous ne pouvez pas utiliser l'authentification à deux facteurs avec l'authentification unique. Si vous avez besoin d'utiliser l'authentification SSO et 2FA, vous devez utiliser la capacité 2FA propre à votre fournisseur d'identification SSO. Si l'authentification SSO est activée, Diligent One ne vous autorise pas à activer l'authentification 2FA. De la même manière, si un membre de votre instance utilise l'authentification 2FA, Diligent One ne vous autorise pas à activer l'authentification SSO.
Mode d'activation de SSO
Pour activer SSO pour Diligent One, vous devez réaliser les tâches suivantes :
- Configurez les paramètres SSO dans votre fournisseur d'identité.
- Activer le SSO dans la Barre de lancement.
- Ouvrez la barre de lancement.
- Cliquez sur Paramètres de l'organisation > Organisation.
- Cliquez sur Gérer les paramètres SSO.
- Renseignez les champs SSO, qui sont détaillés ci-après, et vérifiez l'option Activer le SSO (Single Sign-On).
- Cliquez sur Enregistrer les modifications.
- Ajoutez des utilisateurs à une instance à SSO actif.
Pour lier Diligent One à votre fournisseur d'identité, vous devez indiquer le prénom, le nom et l'adresse e-mail de tous les utilisateurs. Pour plus d'informations, consultez Méthodes pour l'ajout d'utilisateurs.
Pour obtenir des informations détaillées sur la configuration, recherchez des articles SSO dans Assistance.
Champs SSO
| Champ | Définition |
|---|---|
| Le domaine personnalisé |
Le nom unique qui identifie votre instance et permet aux utilisateurs de l'instance de se connecter à Diligent One. Le domaine personnalisé correspond à un sous-domaine de l'instance complété par un code de région. Remarque
Vous pouvez modifier votre sous-domaine de l'instance dans la page Mettre à jour l'organisation. Pour plus d'informations, consultez Mettre à jour les paramètres de l'organisation. |
| L'ID de l'entité | L'URL qui identifie le fournisseur d'identité à l'origine d'une requête SAML. Il s'agit d'une URL propre à votre fournisseur d'identité. |
| L'URL des métadonnées | L'URL à laquelle la Barre de lancement peut accéder pour obtenir les données de configuration SSO auprès de votre fournisseur d'identité. Il s'agit d'une URL propre à votre fournisseur d'identité. |
| L'URL de connexion de redirection |
L'URL de votre fournisseur d'identité destinée aux utilisateurs de l'entreprise pour la connexion à Diligent One. |
| L'URL de déconnexion | L'URL vers laquelle Diligent One redirige les utilisateurs dans l'entreprise une fois qu'ils sont déconnectés de Diligent One. |
| L'empreinte du certificat de sécurité |
L'empreinte digitale SHA-1 ou SHA-256 du certificat SAML pouvant être obtenue auprès de votre fournisseur d'identité. Remarque Lorsque Diligent One correspond au fournisseur de service, le fournisseur d'identité doit crypter la réponse SAML et vous devez configurer l'empreinte du certificat de sécurité dans la barre de lancement. |
| L'activation de SSO (Single Sign-On) | Cette option active SSO pour cette instance. |
URL de prestataire de service de Barre de lancement
Lorsque vous configurez votre fournisseur d'identité SSO, vous pouvez avoir besoin des URL de prestataire de service suivantes pour la barre de lancement :
- ID entité du prestataire de service https://accounts.highbond.com/saml/metadata/votre_domaine_spécifique
- URL consommateur d'assertion du prestataire de service https://accounts.highbond.com/saml/sso/consume/votre_domaine_spécifique
Mode de connexion lorsque SSO est activé
Les utilisateurs peuvent se connecter de deux manières différentes lorsque SSO est activé.
Que se passe-t-il lorsque SSO est activé ?
Lorsque SSO est activé, vous pouvez vous connecter en accédant à www.highbond.com, en cliquant sur Connectez-vous à un domaine personnalisé, puis en indiquant votre domaine personnalisé.
Vous pouvez également accéder à Diligent One à l'aide du lien de l'application Diligent One depuis la page de destination de votre fournisseur d'identité.
Vous êtes redirigé vers Diligent One via votre fournisseur d'identité lorsque vous accédez à l'une des applications Diligent One (y compris en cliquant sur un lien figurant dans un e-mail envoyé par Diligent One).
Une fois SSO activé, vous ne pouvez pas vous connecter avec votre e-mail et votre mot de passe ni modifier votre mot de passe.
Les adresses e-mail ne peuvent pas être modifiées lorsque SSO est activé. Toutefois, si les adresses e-mail ont besoin d'être modifiées, l'admin système doit désactiver SSO dans Diligent One, apporter les modifications nécessaires aux adresses e-mail, puis réactiver SSO. Sinon, les adresses e-mail modifiées seront considérées comme de nouveaux comptes, et les utilisateurs ne pourront pas accéder aux informations liées à leurs anciennes informations d'identification.
Faut-il que je saisisse mon domaine personnalisé à chaque connexion ?
- Si vous vous connectez par le biais de votre fournisseur d'identité, vous n'avez pas besoin de renseigner de domaine personnalisé à chaque fois.
- Si vous vous connectez via Diligent One, vous pouvez accéder à l'URL suivante afin de ne pas avoir à saisir systématiquement de domaine personnalisé : https://accounts.highbond.com/saml/sso?custom_domain=votre-domaine-personnalisé
Se connecter à plusieurs instances de Diligent One
Si vous avez accès à différentes instances de Diligent One, vous êtes dirigé vers l'instance que vous avez la plus récemment utilisée. Vous pouvez passer d'une instance à l'autre normalement. Pour plus d'informations, consultez Passer d'une instance Diligent One à l'autre.
Mode de déconnexion lorsque SSO est activé
Diligent One prend en charge SLO (Single Log-Out) à l'aide du flux de travail lancé par le fournisseur d'identité. L'URL de SLO correspond à :
https://accounts.highbond.com/saml/slo/votre-domaine-personnalisé
Fonctionnement de l'expiration de session
Lorsqu'une session Diligent One expire ou que vous essayez de vous déconnecter de Diligent One, vous devez commencer par vous déconnecter de votre fournisseur d'identité. Sinon, vous êtes automatiquement renvoyé vers Diligent One.
Par exemple, si l'expiration de la session de votre instance se trouve dans trois heures et si celle de votre fournisseur d'identité est dans trois jours, vous êtes automatiquement connecté à Diligent One pendant trois jours.
Par souci de sécurité, votre entreprise doit vérifier si l'expiration de votre fournisseur d'identité est inférieure à celle de votre instance.
Vous pouvez modifier l'expiration de session de votre instance dans la page Mettre à jour l'organisation. Pour plus d'informations, consultez Mettre à jour les paramètres de l'organisation.
Que se passe-t-il lorsque vous ajoutez un utilisateur à une instance SSO de Diligent One ?
Diligent One prend en charge l'approvisionnement JAT (Juste-à-temps) pour SAML. Lorsqu'un utilisateur se connecte pour la première fois, un compte d'utilisateur correspondant avec la même adresse e-mail est créé dans Diligent One.
Rapprocher des adresses e-mail et des comptes de domaine
Diligent détermine le fournisseur d'identité préféré de l'utilisateur et le nom d'utilisateur. L'adresse e-mail et le compte de domaine de chaque utilisateur doit correspondre. Si ces deux éléments ne correspondent pas, vous devez définir un alias pour l'utilisateur dans votre service d'accès au répertoire.
Abonnements et accès aux applications Diligent One
Aucune inscription ni aucun accès aux applications Diligent One ne sont affectés à l'utilisateur. Les admins système doivent affecter un rôle et un abonnement aux utilisateurs dans la barre de lancement afin de s'assurer que les utilisateurs ont un accès approprié au niveau de l'instance.
Désactivation du SSO
Si votre entreprise active SSO, et par la suite décide de le désactiver :
- Les utilisateurs n'ayant pas créé de mot de passe avant l'activation du SSO doivent cliquer sur l'option Réinitialiser le mot de passe de la page de connexion pour obtenir un mot de passe.
- Les utilisateurs ayant créé un mot de passe avant l'activation du SSO peuvent se connecter avec leur nom utilisateur et leur mot de passe.
SSO et SAML
Diligent One prend en charge l'intégration SSO pour tous les fournisseurs d'identité qui adhèrent au protocole OASIS SAML 2.0.
Qu'est-ce qu'OASIS SAML 2.0 ?
SSO permet aux utilisateurs de se connecter à l'aide d'OASIS SAML 2.0 (Security Assertion Markup Language 2.0), un format de communication et d'authentification d'identités entre deux applications Web.
OASIS SAML 2.0 implique :
- Un utilisateur demandant un service
- Un fournisseur de service ou une application fournissant un service (Diligent One)
- Un fournisseur d'identité ou un répertoire qui gère les informations sur l'utilisateur
Pour les instances qui ont activé SSO, les utilisateurs sont authentifiés lorsqu'ils se connectent à Diligent One à l'aide d'un fournisseur d'identité SAML pris en charge. Si l'utilisateur n'est pas activé dans le fournisseur d'identité SAML de son entreprise, son accès est refusé.
Flux de travail pris en charge
Une fois les paramètres SSO configurés, les flux de travail suivants sont pris en charge :
- Fournisseur d'identité lancé : accès à Diligent One depuis la page de destination du fournisseur d'identité.
- Fournisseur de service lancé : accès à Diligent One depuis la page d'accueil de Diligent One.
Processus d'authentification pour fournisseur d'identité lancé
Processus d'authentification pour fournisseur de service lancé
Déclasser des utilisateurs en partance
Si un utilisateur quitte votre entreprise, votre processus de déclassement le supprimera également de votre fournisseur d'identités. L'impact sur les utilisateurs dépend des instances auxquelles ils avaient accès et du mode de configuration de ces dernières.
- Si l'utilisateur faisait seulement partie de vos instances prenant en charge SSO, il ne peut plus accéder à ces instances de Diligent One.
- Si l'utilisateur faisait partie de vos instances prenant en charge SSO, mais aussi d'autres instances non SSO :
- Si vous supprimez l'utilisateur de votre fournisseur d'identité, il ne peut plus accéder aux instances Diligent One. S'il essaye d'accéder à une instance non SSO, il reçoit le message d'erreur suivant : « Votre organisation a activé l'authentification unique (SSO). Veuillez vous connecter au domaine personnalisé de votre organisation. »
- Si vous supprimez manuellement l'utilisateur d'instances prenant en charge l'authentification unique (SSO), ils peuvent accéder aux instances non-SSO une fois qu'ils ont réinitialisé leur mot de passe.
