Single Sign On (SSO)
Cette page détaille la mise en place du SSO au sein de Dastra
L'authentification unique, souvent désignée par le sigle anglais SSO (de single sign-on) est une méthode permettant à un utilisateur d'accéder à plusieurs applications informatiques (ou sites web sécurisés) en ne procédant qu'à une seule authentification.
L'entreprise peut utiliser son propre système d'authentification à la place du login local proposé par défaut par Dastra. Parmi les systèmes SSO les plus utilisés, on peut citer Microsoft Active Directory, Google Workspace (ex GSuite), Auth0, etc.
Le fonctionnement est le suivant :
Un utilisateur (User Agent) va solliciter une connexion au fournisseur de service (Service Provider) qui ira solliciter un fournisseur d'identité (Identity Provider) qui authentifiera l'utilisateur. Cette authentification est ensuite renvoyée adressée au fournisseur du service qui acceptera la demande de connexion de l'utilisateur.
Dans notre cas, le User Agent est le navigateur d'un utilisateur de Dastra. Le Service Provider est Dastra et l'Identity Provider est votre fournisseur d'authentification favori (par exemple : Active Directory).
Principe de fonctionnement du SSO en utilisant le protocole SAML 2
Au sein d'un abonnement à Dastra, vous avez la possibilité, si vous avez souscrit à la fonctionnalité, de gérer un ou plusieurs login SSO. Pour accéder à la configuration du SSO, allez sur la page de configuration des logins SSO dans l'onglet sécurité du panel de configuration du compte d'abonnement.
Si vous souhaitez que les utilisateurs de votre fournisseur d'identité n'ait pas besoin de se créer des comptes pour accéder à l'entité, vous pouvez cocher la case "provisionnement automatique des utilisateurs". Si vous fournissez à vos utilisateurs une url de fournisseur SSO comme celle-ci : https://account.dastra.eu/account/loginexternal?provider={id de votre provider}&returnUrl=https://www.dastra.eu
=> dans le cas d'une authentification validée, ils auront automatiquement un compte créé dans Dastra.
Si le compte de l'utilisateur est supprimé ou invalidé dans le fournisseur d'authentification, son compte ne sera pas effacé dans Dastra, il ne pourra en revanche plus se connecter. Vous avez la possibilité d'épurer ses comptes via le gestionnaire d'utilisateur de l'abonnement
Vous pouvez choisir le rôle assigné par défaut sur toutes les organisations associées à votre abonnement.
Pour l'instant, Dastra ne supporte pas le binding des rôles via les propriétés du serveur d'authentification. Si cette fonctionnalité est importante, vous pouvez nous le remonter via la page de support.
Il est possible de binder les équipes d'un espace de travail sur une propriété (Claim) renvoyé par votre serveurs d'authentification.
Vous pouvez configurer le type de login des utilisateurs en vous rendant dans la page de gestion des utilisateurs de l'abonnement . En vous rendant dans un profil utilisateur, il sera possible de choisir le login SSO privilégié. Dès lors, l'utilisateur qui se connecte à Dastra avec son adresse email, sera automatiquement redirigé vers la page de login du fournisseur d'authentification que vous avez mis en place.
Vous pourrez également définir le type de login lors de l'invitation de nouveaux utilisateurs.
Dernière mise à jour 4mo ago