L'authentification unique (SSO) vous permet d'utiliser les informations d'identification de votre entreprise pour accéder à Contentsquare.
- Le SSO est configuré au niveau du compte et facilite la gestion des utilisateurs, tout en renforçant la sécurité.
- La configuration établit la confiance avec votre fournisseur d'identité pour créer/authentifier les utilisateurs dans Contentsquare.
- Elle est compatible avec SAML 2.0, qui est le protocole standard le plus accepté pour ce type d'opération.
Les utilisateurs possédant déjà des identifiants CS avant la configuration du SSO peuvent tout simplement commencer à se connecter en utilisant le SSO. Il n'est pas nécessaire de les supprimer dans la Console.
Les comptes des utilisateurs ne possédant pas encore d'identifiants CS avant la configuration du SSO, quant à eux, seront automatiquement créés dans notre système (sans mot de passe).
Checklist d'éligibilité
Veuillez vérifier votre éligibilité au SSO à l'aide de cette checklist et de votre CSM avant d'implémenter ce système :
✅ Le domaine de votre adresse e-mail (par example @company.com) n'est utilisé que pour un unique compte Contentsquare.
✅ Vous ne pouvez pas bénéficier à la fois de l'authentification multi-facteur (MFA) et du SSO. Si le MFA est déjà configuré, vous devrez choisir l'une des deux méthodes.
✅ Tous les utilisateurs de Contentsquare (avec le(s) domaine(s) de messagerie configuré(s)) utiliseront le SSO.
✅ Vos utilisateurs n'ont pas besoin d'accéder à deux comptes Contentsquare avec la même adresse e-mail (un compte utilisateur = une adresse e-mail).
Comment configurer le SSO ?
Si vous n'êtes pas un professionnel de l'informatique, nous vous conseillons de faire appel à l'un d'entre eux pour vous aider à effectuer cette configuration.
Choisissez une méthode
Avant de commencer, choisissez entre les deux méthodes d'implémentation du SSO : initiée par le SP (c'est-à-dire "service provider" ou "fournisseur de services" en français) ou initiée par le IdP ("identity provider" ou "fournisseur d'identité").
Initiée par le SP ("Service Provider") L'utilisateur se rend sur la page de connexion de Contentsquare et utilise son adresse e-mail pour se connecter. Contentsquare reconnaît le domaine de l'e-mail et l'envoie à votre IdP pour obtenir des identifiants. Une fois authentifié sur votre système, l'utilisateur est renvoyé vers Contentsquare, où il est également authentifié. |
Initiée par l'IdP ("Identity Provider") L'utilisateur ne peut accéder à Contentsquare qu'à partir de votre IdP. Par conséquent, s'il se rend directement sur la page de connexion, il ne sera pas reconnu. |
Instaurer la confiance
Complétez les deux configurations suivantes (de votre IdP et de votre Console) pour instaurer une relation de confiance entre les deux parties.
1. Configurez votre IdP
- Configurez l'application dans votre système en vous basant sur les métadonnées de Contentsquare.
- Puisque la configuration dépend de votre IdP, nous ne sommes pas en mesure de vous guider pas à pas pour la réalisation de cette étape.
-
La réponse SAML et la confirmation doivent toutes deux être signées :
Documentation SAML Okta Faîtes défiler la page jusqu'à la section "Paramètres SAML" ("SAML Settings") > liste des paramètres avancés ("Advanced Settings") Documentation SAML Onelogin Scrollez jusqu'à la section "Change certificate signing options and signing algorithm" Documentation SAML Azure AD Suivez toutes les instructions de l'article
- firstName (prénom)
- lastName (nom de famille)
- emailAddress (adresse e-mail)
2. Configurez votre Console Contentsquare
- Afin que la configuration puisse être effectuée de manière autonome, tous vos utilisateurs Administrateurs sont en mesure d'accéder au formulaire de configuration du SSO depuis la Console CS.
- Rendez-vous dans la Console.
- Rendez-vous dans l'onglet "Authentification", puis cliquez sur "Configurer".
- Utilisez les métadonnées de votre IdP pour remplir le formulaire de configuration du SSO illustré ci-dessous :
Formulaire de configuration du SSO | Détails du formulaire |
Le flux de connexion détermine le flux SSO qui sera choisi.
L'ID de l'entité SSO correspond à votre IdP, il doit figurer dans vos métadonnées.
L'URL de déconnexion est facultative, elle définit la page vers laquelle l'utilisateur doit être redirigé lorsqu'il décide de se déconnecter.
Le binding permet de choisir entre la redirection et l'affichage comme méthode de liaison.
|
|
Les "domaines" sont les domaines d'e-mail autorisés et pré-approuvés lors du processus d'implémentation. Si vous souhaitez ajouter un domaine qui n'apparaît pas dans le menu déroulant, contactez l'équipe Support.
|
|
Pour la méthode de cryptage pour l'assertion, Contentsquare devrait être capable de décoder 4x différents algorithmes de cryptage (grâce à la librairie Samlify) :
http://www.w3.org/2001/04/xmlenc#tripledes-cbc
http://www.w3.org/2001/04/xmlenc#aes128-cbc
http://www.w3.org/2001/04/xmlenc#aes256-cbc
http://www.w3.org/2009/xmlenc11#aes128-gcm
Les certificats sont des clés qui signent et certifient les demandes d'authentification. Ils se trouvent dans vos métadonnées.
Vous pouvez ajouter plusieurs certificats, par exemple, pour préparer de manière transparente tout changement de configuration. Dans le cas où vous auriez plusieurs certificats, nous utilisons un mécanisme de repli qui fonctionne jusqu'à ce que nous trouvions celui qui fonctionne. Si vous souhaitez tester un nouveau certificat, il vous suffit de mettre à jour la configuration de votre IdP et d'ajouter le nouveau certificat dans la liste des certificats de la Console.
La partie IT Admin du formulaire vous donne la possibilité de désigner, parmi vos utilisateurs administrateurs, un "Admin informatique".
Votre (ou vos) administrateur(s) informatique(s) se connectera(ont) toujours à Contentsquare par le biais du processus manuel (pas via le SSO). Par conséquent, en cas de problème avec la configuration SSO de votre domaine de production, vos administrateurs IT seront toujours en mesure de se connecter et de mettre à jour la configuration.
|
|
Création des nouveaux utilisateurs
Utilisez le bouton pour activer/désactiver la création automatique des nouveaux utilisateurs lors de leur première connection.
Si cette option est désactivée, vous devrez créer manuellement chaque nouvel utilisateur dans la Console ou opérer des mises à jour en batch avant que les utilisateurs puissent se connecter avec le SSO de manière automatique. |
|
La validation des nouveaux utilisateurs vous permet de choisir entre deux méthodes :
La validation automatique (recommandée)
Dans ce scénario, les administrateurs peuvent configurer un ensemble d'accès et de droits par défaut pour tous les nouveaux utilisateurs. Tous les nouveaux utilisateurs se connectant sur Contentsquare se verront attribuer par défaut cet ensemble d'accès et de droits sans aucune intervention manuelle.
Consultez cet article pour apprendre à configurer votre SSO et à automatiquement assigner les nouveaux utilisateurs à des équipes et rôles par défaut.
L'équipe par défaut fournira aux utilisateurs un accès pré-défini aux projets de cette équipe et aux configurations de rôles par défaut de ce projet. Consultez cet article pour en apprendre plus sur la gestion des équipes et comment configurer des rôles par défaut pour les projets.
⚠️ Cette méthode n'est pas activée par défaut lors de la mise en place du SSO.
⚠️ Les comptes partenaires ne peuvent utiliser la validation automatique et se verront attribuer la méthode de validation manuelle par défaut.
La validation manuelle
Dans ce scénario, votre ou vos administrateurs doivent approuver manuellement tout nouvel utilisateur qui tente d'accéder à Contentsquare.
⚠️ Les administrateurs ne sont pas informés de la création de nouveaux utilisateurs. Ils doivent se rendre dans la Console et vérifier les utilisateurs en attente dans la liste des utilisateurs. Une fois identifiés, ils peuvent activer et attribuer des droits aux nouveaux utilisateurs depuis la console.
⚠️ Les comptes partenaires ne peuvent, par défaut, utiliser que cette forme de validation.
|
Tester
Supprimer le SSO
1. Ouvrez un ticket de support et indiquez dans votre demande la raison pour laquelle vous souhaitez supprimer votre SSO.
2. Une fois le SSO supprimé, rendez-vous sur la page de connexion de Contentsquare et cliquez sur "Mot de passe oublié ?" pour créer un nouveau mot de passe.
FAQ
Les comptes de mon agence partenaire sont-ils affectés lorsque j'active le SSO ?
Les partenaires doivent être créés sur un compte partenaire distinct, puis se voir accorder l'accès à vos projets. Veuillez vous adresser à votre Customer Success Manager si vous avez des questions sur la configuration.
Que se passe-t-il si le nom de mon domaine change ? Les utilisateurs perdront-ils leurs workspaces, éléments en favoris, etc. ?
Si le changement du nom de votre domaine entraîne également une modification des adresses e-mail des utilisateurs, vous devrez d'abord mettre à jour les adresses e-mail de tous les utilisateurs dans leurs profils Contentsquare.
Ensuite, vous devrez modifier le domaine dans la configuration SSO pour qu'il corresponde au nouveau nom de domaine, afin que les utilisateurs ayant ce nom de domaine dans leur adresse e-mail soient redirigés vers le flux SSO.
Comment puis-je retirer le SSO ?
Pour retirer le SSO, vous pouvez faire appel à votre CSM ou déposer un ticket de support indépendent.
Comment les utilisateurs pourront-ils se connecter si je retire le SSO ?
Les utilisateurs qui existaient déjà avant la mise en place du SSO seront de nouveaux en mesure de se connecter à l'aide de leurs anciens identifiants (e-mail + mot de passe).
Les utilisateurs vous ayant rejoint après la configuration du SSO, eux, devront cliquer sur le bouton "Mot de passe oublié" sur la page de connexion pour obtenir un nouveau mot de passe (qui leur sera envoyé par e-mail).
Si j'ai deux comptes différents pour le même domaine, puis-je configurer le SSO pour seulement un des deux comptes ?
Oui, si le provisionnement des utilisateurs est désactivé.
Qu'advient-il des cartographies, workspaces et autres objets des utilisateurs en cas de passage au SSO ?
Rien, les objets d'analyse ne sont pas impactés. Les utilisateurs ne sont pas non plus dupliqués.
Les nouveaux utilisateurs créés par le biais du SSO recevront-ils un e-mail concernant la création de leur compte Contentsquare ?
Non.
Le SSO supporte-t-il la déconnexion automatique des utilisateurs ?
Oui, bien que cela ne soit pas obligatoire.
Y a-t-il un environnement de test dans lequel tester la connexion avec Contentsquare ?
Non, nous vous recommandons d'utiliser un environnement de test côté client et/ou un domaine de test. Vérifiez que la configuration SSO fonctionne comme prévu sur un domaine test et passez à votre véritable domaine seulement une fois le processus validé.
Puis-je gérer les autorisations des utilisateurs par le biais des groupes Active Directory ?
Contentsquare ne prend actuellement pas en charge cette méthode. Nous ne faisons que transmettre les informations d'identification de votre IdP à CS, sans passer par les autorisations.
Quels sont les protocoles SSO supportés par l'application cible ? SAML, OAuth, OpenID, etc. ?
Notre SSO n'est compatible qu'avec la technologie SAML 2.0.
Quel outil d'authentification utilisateur peut être utilisé pour activer l'intégration SSO ? OneLogin, Okta, Ping Federate, etc.?
N'importe quel fournisseur du moment qu'il supporte SAML v2.0.
Le SSO est-il gratuit ?
Oui.