L'authentification unique (SSO) vous permet d'utiliser vos propres identifiants d'entreprise pour accéder à Contentsquare.
- Le SSO est configuré au niveau du compte et facilite la gestion des utilisateurs tout en augmentant la sécurité.
- La configuration établit une confiance avec votre fournisseur d'identité pour créer/authentifier des utilisateurs dans Contentsquare.
- Il est compatible avec SAML 2.0, qui est le protocole standard le plus accepté pour ce type d'opération.
Pour les utilisateurs qui avaient déjà des identifiants CS avant la configuration du SSO—il n'est pas nécessaire de supprimer les anciens utilisateurs/identifiants dans la console, les utilisateurs peuvent simplement commencer à se connecter en utilisant le SSO.
Pour les utilisateurs qui n'avaient pas d'identifiants CS avant la configuration du SSO—leur compte sera automatiquement créé dans notre système (sans aucun mot de passe).
Checklist d'éligibilité
Veuillez examiner la checklist d'éligibilité suivante avec votre CSM avant de mettre en œuvre le SSO :
✅ Votre(s) domaine(s) d'adresse e-mail (par ex. @entreprise.com) sont utilisés sur un seul compte Contentsquare.
✅ Si vous avez mis en place une authentification multi-facteurs (MFA), vous ne pouvez pas également utiliser le SSO, vous devrez choisir l'un ou l'autre.
✅ Tous vos utilisateurs Contentsquare (avec le(s) domaine(s) d'e-mail configuré(s)) utiliseront le SSO.
✅ Vos utilisateurs n'auront pas besoin d'accéder à deux comptes Contentsquare en utilisant la même adresse e-mail (un compte utilisateur = une adresse e-mail)
Comment configurer
Si vous n'êtes pas un professionnel de l'informatique, vous pourriez avoir besoin de l'aide d'un pour compléter cette configuration.
Choisissez une méthode
Avant de commencer, choisissez entre deux méthodes de mise en œuvre SSO : initiée par le SP ou initiée par l'IDP.
Initiée par le SP (Service Provider Initiated) L'utilisateur se rend sur la page de connexion de Contentsquare et utilise son e-mail pour se connecter. Contentsquare reconnaît le domaine de l'e-mail et les envoie à votre IDP pour les identifiants. Une fois authentifié sur votre ID, ils sont renvoyés à Contentsquare authentifiés. |
Initiée par l'IDP (Identity Provider Initiated) L'utilisateur ne peut accéder à Contentsquare que depuis votre IDP. Par conséquent, en se rendant directement sur la page de connexion, il ne sera pas reconnu. |
Créer une confiance
Complétez les configurations suivantes de votre IDP et de la console pour créer une confiance entre les deux parties.
1. Configurez votre IDP
- Configurez l'application dans votre IDP en fonction de les métadonnées de Contentsquare.
- Nous ne pouvons pas fournir d'instructions détaillées étape par étape car cela dépendra de votre IDP.
-
La réponse SAML et l'assertion doivent être signées :
Documentation SAML d'Okta Faites défiler jusqu'à la section 'Paramètres SAML' > 'Paramètres avancés' liste Documentation SAML de Onelogin Faites défiler jusqu'à la section 'Changer les options de signature de certificat et l'algorithme de signature' Documentation SAML d'Azure AD Suivez les instructions de l'article complet
- firstName
- lastName
- emailAddress
2. Configurez votre console Contentsquare
- Tout utilisateur administrateur de votre côté peut accéder au formulaire de configuration SSO dans notre console afin que la configuration puisse être effectuée de manière autonome.
- Accéder à l''Console'
- Accéder à l'onglet 'Authentification' puis cliquer sur 'Configurer'
- Utilisez les métadonnées de votre IDP pour remplir le formulaire de configuration SSO montré ci-dessous
Formulaire de configuration SSO | Détails du formulaire |
'Flux de connexion' définit quel flux SSO sera choisi
'ID d'entité SSO' représente l'IDP et doit être dans vos métadonnées.
'URL de connexion' est uniquement requise pour la méthode initiée par le SP. C'est l'URL de la page vers laquelle nous envoyons l'utilisateur pour qu'il se connecte à son IDP. Elle doit être dans vos métadonnées.
'URL de déconnexion' est optionnelle et définit la page vers laquelle envoyer l'utilisateur lorsque celui-ci décide de se déconnecter.
'Binding' est utilisé pour choisir entre redirection ou post comme méthode de liaison.
|
|
'Domaines' sont des domaines e-mail autorisés pré-approuvés lors du processus d'implémentation. Pour ajouter un domaine qui n'est pas affiché dans le menu déroulant, veuillez contacter l'équipe de support.
|
|
'Chiffrement' est la méthode pour l'assertion. Contentsquare devrait être capable de décoder 4 algorithmes de chiffrement différents (en utilisant la bibliothèque Samilify) :
http://www.w3.org/2001/04/xmlenc#tripledes-cbc
http://www.w3.org/2001/04/xmlenc#aes128-cbc
http://www.w3.org/2001/04/xmlenc#aes256-cbc
http://www.w3.org/2009/xmlenc11#aes128-gcm
'Certificats' sont des clés, trouvées dans vos métadonnées, qui signent et certifient une demande d'authentification.
Vous pouvez ajouter plusieurs certificats, par exemple, pour préparer sans problème tout changement de configuration. Pour plusieurs certificats, nous avons un mécanisme de repli qui fonctionnera jusqu'à ce que nous trouvions le certificat qui fonctionne. Pour tester un nouveau certificat, mettez à jour la configuration sur votre IDP et ajoutez le nouveau certificat dans la liste des certificats dans la console.
'Administrateurs IT' vous donne la possibilité de désigner, parmi vos utilisateurs administrateurs, "Administrateur IT".
Vos Administrateurs IT se connecteront toujours à Contentsquare via le processus manuel (pas via SSO). Par conséquent, en cas de problème avec la configuration SSO fonctionnant sur votre domaine de production, vos Administrateurs IT pourront toujours se connecter et mettre à jour la configuration.
|
|
'Provisionnement des Nouveaux Utilisateurs'
Utilisez le commutateur pour activer/désactiver la création automatique de nouveaux utilisateurs lors de la première connexion d'un utilisateur.
Si ce commutateur est désactivé, vous devrez créer des utilisateurs manuellement dans la Console ou utiliser une mise à jour par lot avant que les utilisateurs puissent se connecter automatiquement en utilisant le SSO. |
|
'Validation des nouveaux utilisateurs' vous permet de choisir entre deux méthodes :
Validation automatique (recommandée)
Cela permet aux administrateurs de configurer un ensemble par défaut d'accès et de droits pour tout nouvel utilisateur. Tous les nouveaux utilisateurs de Contentsquare se verront par défaut attribuer cet ensemble d'accès et de droits sans intervention manuelle nécessaire.
Lisez cet article pour découvrir comment configurer votre SSO afin d'attribuer automatiquement de nouveaux utilisateurs à des équipes et fonctions par défaut en créant des règles.
L'équipe par défaut fournira aux utilisateurs un accès prédéfini aux Projets de cette Équipe et à toutes les configurations de rôle par défaut de ces projets. Lisez cet article pour en savoir plus sur la gestion des équipes et la configuration des rôles par défaut pour les projets.
⚠️ Ceci est non activé par défaut lors de la configuration du SSO.
⚠️ Les comptes Partner ne peuvent pas utiliser la Validation Automatique et seront assignés à la Validation Manuelle par défaut.
Validation manuelle
Cela nécessitera que les Administrateurs approuvent manuellement tout nouvel utilisateur essayant d'accéder à Contentsquare.
⚠️ Les Administrateurs ne sont pas notifiés lorsque de nouveaux utilisateurs sont créés. Ils doivent se rendre dans la Console et vérifier les utilisateurs en attente dans la liste des utilisateurs. Une fois identifiés, ils peuvent activer et attribuer des droits aux nouveaux utilisateurs à partir de là.
⚠️ Les comptes Partner ne peuvent utiliser cette forme de validation que par défaut.
|
Tester
Comment retirer SSO
1. Ouvrez un ticket de support et incluez la raison pour laquelle vous souhaitez retirer votre SSO dans votre demande.
2. Une fois le SSO retiré, accédez à la page de connexion de Contentsquare et cliquez sur 'Mot de passe oublié ?' pour créer un nouveau mot de passe.
FAQ
Les comptes de mon agence partenaire sont-ils impactés lorsque j'active le SSO ?
Les partenaires doivent être créés sur un compte Partner séparé et ensuite avoir accès à vos projets. Veuillez parler à votre Customer Success Manager si vous avez des questions concernant cette configuration utilisateur.
Que se passe-t-il si le nom de mon domaine change ? Vais-je perdre mes dashboards, articles favoris, etc. ?
Tout d'abord, mettez à jour les adresses e-mail de tous les utilisateurs impactés par le changement de domaine utilisé pour leur profil Contentsquare.
Ensuite, vous devrez modifier le domaine dans la configuration SSO pour qu'il corresponde au nouveau nom de domaine, afin que les utilisateurs ayant ce nom de domaine dans leur adresse e-mail soient redirigés vers le flux SSO.
Comment puis-je retirer SSO ?
Vous pouvez parler à votre CSM ou soumettre un ticket de support indépendamment pour retirer SSO.
Comment les utilisateurs se connecteront-ils si je retire le SSO ?
Les utilisateurs qui ont été créés avant la mise en place du SSO pourront se reconnecter en utilisant les identifiants qu'ils avaient au départ (e-mail + mot de passe).
Les utilisateurs arrivés après la mise en place du SSO devront cliquer sur le bouton “mot de passe oublié” sur la page de connexion pour recevoir un tout nouveau mot de passe envoyé à leurs e-mails.
Si j'ai deux comptes différents pour le même domaine, puis-je configurer SSO uniquement pour l'un des comptes ?
Oui, si la provision des utilisateurs est désactivée.
Que se passe-t-il pour les Mappings, Workspaces, etc. existants des utilisateurs si nous passons au SSO ?
Rien, ils ne sont pas impactés. Les utilisateurs ne sont pas non plus dupliqués.
Les nouveaux utilisateurs créés via SSO recevront-ils un e-mail de création de compte Contentsquare ?
Non.
Le SSO prend-il en charge la déconnexion automatique des utilisateurs ?
Oui, bien que ce ne soit pas obligatoire.
Y a-t-il un environnement de staging où nous pouvons tester la connexion avec Contentsquare ?
Non, nous recommandons d'utiliser un environnement de test côté client et/ou un domaine de test. Essayez la configuration SSO en utilisant le domaine de test et une fois validé, passez au domaine réel.
Puis-je gérer les permissions des utilisateurs via des groupes Active Directory ?
Contentsquare ne prend actuellement pas en charge cette méthode, seulement le passage des informations d'identification de votre IDP vers nous, pas via des autorisations.
Quels sont les protocoles SSO pris en charge par l'application cible ? Par ex. SAML, OAuth, OpenID, etc. ?
Notre SSO est compatible uniquement avec la technologie SAML 2.0.
Quel outil d'authentification des utilisateurs peut être utilisé pour activer l'intégration SSO ? Par ex. OneLogin, Okta, Ping Federate, etc. ?
Tout fournisseur prenant en charge SAML v2.0
Le SSO est-il gratuit ?
Oui.