Single Sign On (SSO)

Principe de fonctionnement

L'authentification unique, souvent désignée par le sigle anglais SSO (de single sign-on) est une méthode permettant à un utilisateur d'accéder à plusieurs applications informatiques (ou sites web sécurisés) en ne procédant qu'à une seule authentification.

L'entreprise peut utiliser son propre système d'authentification à la place du login local proposé par défaut par Dastra. Parmi les systèmes SSO les plus utilisés, on peut citer Microsoft Active Directory, Google Workspace (ex GSuite), Auth0, etc.

Le fonctionnement est le suivant :

Un utilisateur (User Agent) va solliciter une connexion au fournisseur de service (Service Provider) qui ira solliciter un fournisseur d'identité (Identity Provider) qui authentifiera l'utilisateur. Cette authentification est ensuite renvoyée adressée au fournisseur du service qui acceptera la demande de connexion de l'utilisateur.

Dans notre cas, le User Agent est le navigateur d'un utilisateur de Dastra. Le Service Provider est Dastra et l'Identity Provider est votre fournisseur d'authentification favori (par exemple : Active Directory).

Mise en place

Comment activer pour tous les utilisateurs de votre organisation le SSO ?

Mise en place :

• Cliquez sur votre configuration SSO

• Cocher la case "Forcer pour tous les utilisateurs"

Gestion des d'utilisateurs exemptés de login SSO

Dans certains cas, vous souhaitez désactiver le SSO pour certains utilisateurs (par exemple un administrateur de sécurité, un compte de service, un utilisateur qui n'est pas dans votre Active Directory...), dans ce cas il est possible de renseigner des utilisateurs spécifiques qui ne seront pas redirigés vers le login SSO de votre organisation. Il est recommandé de nommer un utilisateur avec un compte de service local, ce qui permet de gérer les cas de dysfonctionnement du SSO dans le cas par exemple d'une panne du fournisseur d'identité ou un problème deconfiguration.

Ces utilisateurs pourront se connecter à l'application en utilisant leur mot de passe.

Vous pouvez nommer des utilisateurs exemptés de SSO en sélectionnant les utilisateurs de votre organisation dans le champ suivant :

Comment activer le provisionnement automatique des utilisateurs ?

Si vous souhaitez que les utilisateurs de votre fournisseur d'identité n'ait pas besoin de se créer des comptes pour accéder à l'entité, vous pouvez cocher la case "provisionnement automatique des utilisateurs". Si vous fournissez à vos utilisateurs une url de fournisseur SSO comme celle-ci :

https://account.dastra.eu/account/loginexternal?
provider={id de votre provider}&
returnUrl=https://www.dastra.eu 

Vous pouvez retrouver récupérer ce lien en cliquant sur ce bouton :

Dans le cas d'une authentification validée, ils auront automatiquement un compte créé dans Dastra et un mail de notification vous sera envoyé quelques heures plus tard.

Le provisionnement automatique ne fonctionne que si ils transmettent ce lien à leurs utilisateurs, ils ne peuvent pas le faire en passant par la page de login classique.

Vous pouvez choisir le rôle assigné par défaut sur toutes les organisations associées à votre abonnement.

Binding des équipes

Il est possible de binder les équipes d'un espace de travail sur une propriété (Claim) renvoyé par votre serveurs d'authentification.

Comment administrer les logins des utilisateurs ?

Vous pourrez également définir le type de login lors de l'invitation de nouveaux utilisateurs.

Que faire si je ne parviens pas à me logger en SSO ?