# OpenId ## Principe de fonctionnement Les spécification de OpenId se trouve [ici](https://openid.net/connect/) ![](/files/-MRtTZgY7LlBnKDAQcoC) La configuration du SSO avec OpenID se fait en trois étapes * Configuration du fournisseur d'authentification : Active Directory, Google Workspace... * Configuration du fournisseur de service : Dastra * Tests de l'authentification ## 1. Configuration du fournisseur d'authentification Vous devez mettre en place une configuration OpenId dans votre fournisseur d'authentification. Pour active directory : Pour faire le rapprochement entre les comptes locaux (ceux hébergés dans Dastra), vous avez besoin de fournir une propriété contenant l'email de l'utilisateur (par défaut, Dastra va chercher la propriété nommée ). Voici les informations dont vous avez besoin pour configurer le service provider : * **Authority/domain (ex: )** * **Id du client : ClientId** * **Secret key (facultatif)** * **Response Type, par défaut id\_token** * **Scope : par défaut "openid profile email"** Pour configurer votre fournisseur d'authentification, vous allez avoir besoin des informations suivantes : * **The provided Redirect URI in this format : ** ## 2. Configuration du fournisseur de service Dans dastra.eu, rendez-vous su[r la page d'administration du SSO](https://app.dastra.eu/general-settings/sso) et cliquez sur "ajouter un login SSO" ![](/files/-MRtEUimJ6LEOtyvTvxd) Renseignez les champs du formulaire à l'aide des infos de la configuration de l'entité
{% hint style="info" %} À partir du **30/03/2026,** Dastra autorisera l'authentification via le système JWT à clé privée. Vous n'aurez donc plus besoin de spécifier une clé secrète dans votre configuration SSO. Dastra récupérera automatiquement les clés publiques pour générer les JWT à clé privée.\ Pour cela, sélectionnez la deuxième option "JWT private key" dans le formulaire. {% endhint %} {% hint style="danger" %} Il est possible de forcer tous les utilisateurs du compte d'abonnement à utiliser un SSO particulier (en cochant la case "forcer les utilisateurs à utiliser ce SSO"). Il faut faire attention avant d'activer cette option. Car si le SSO dysfonctionne, vous ne pourrez plus accéder à votre compte en tant qu'administrateur. Il est préférable de gérer le SSO par utilisateur. {% endhint %} {% hint style="warning" %} **Cas particuliers des utilisateurs externes**\ Seuls les comptes qui sont internes à un abonnement seront soumis au SSO. Les comptes d'utilisateurs externes (qui ont un autre abonnement supplémentaire) ne seront pas soumis au SSO. {% endhint %} ## 3. Tester le SSO avec OpenId Une fois que la configuration est terminée, vous pouvez tester l'authentification en cliquant sur le bouton tester en bas à droite. Si vous rencontrez un problème lors de la configuration du SSO, n'hésitez pas à vous rapprocher du support en vous rendant sur la page de [gestion des tickets support](https://app.dastra.eu/general-settings/support). ![](/files/-MRtUcXCb267NrZEd4u_) --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://doc.dastra.eu/features/settings/single-sign-on-sso/openid.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.