L'authentification unique (Single Sign-On (SSO) est une procédure permettant à un utilisateur d'accéder à plusieurs services informatiques en ne procédant qu'à une seule authentification. Dialog Insight offre l’authentification unique pour la connexion à sa plateforme via votre fournisseur d’identité (IdP). Ainsi, un utilisateur déjà authentifié dans votre système pourra accéder à Dialog Insight sans devoir se reconnecter. Pour des raisons de sécurité et d’expérience utilisateur, la mise en place du SSO est fortement recommandée. Par défaut, Dialog Insight gère les utilisateurs et les mots de passe localement. Toutefois, si votre organisation dispose déjà d’un fournisseur d’identité, vous pouvez l’utiliser pour permettre à vos utilisateurs de se connecter à la plateforme sans qu’un compte doive être créé et configuré manuellement au préalable. Dans cet article, vous apprendrez comment vérifier si votre IdP est compatible avec le SSO de Dialog Insight et quels éléments vous devez configurer dans votre IdP. Vous pourrez ensuite remplir le formulaire de demande à télécharger à la fin de cet article. Si vous avez besoin de plus de détails, vous pouvez consulter la FAQ à la fin de l'article.
Étape 1 : Vérifier la compatibilité de l'IdP
Modes supportés
Votre IdP doit être compatible SAML 2.0 (Security Assertion Markup Language) et permettre la personnalisation de champs. SAML offre plusieurs modes de communication. Nous supportons uniquement le mode de communication le plus commun « POST ».
Signature cryptographique
Tous les échanges contiennent une signature cryptographique RSA afin d'authentifier la provenance du mssage ainsi que son intégrité. Les clés publiques des deux parties sont échangées via les fichiers metadata. Les algorithmes de hachage suivants sont supportés : SHA-1, SHA-256, SHA-384 et SHA-512.
Groupes de permissions et attributs d'utilisateur
Vous devez repenser la sécurité du compte en termes de groupes de permissions. Lorsque SAML est utilisé dans un compte Dialog Insight, il n'est plus possible de configurer individuellement les permissions des utilisateurs, tout doit passer par des groupes de permissions. Dès lors, concevez un ensemble de groupes qui permettent de couvrir tous les besoins de sécurité/permissions.
Vous devez vérifier que vous pouvez créer et nous transférer des attributs supplémentaires du système, afin de représenter les permissions des utilisateurs. Ces attributs devront suffire pour remplir tous les champs requis de la fiche utilisateur et les attributs de sécurité (s'ils sont utilisés dans le compte), et déterminer quel utilisateur a droit d'accéder à la plateforme Dialog Insight selon le groupe de permission assigné à cet utilisateur.
→ Voir les groupes de permissions de Dialog Insight
Étape 2 : Configurer l'IdP
2.1 Metadata URL
Dialog Insight vous fournira sur demande un URL Metadata à ajouter à votre IdP. Communiquez avec notre équipe pour obtenir l'URL metadata.
2.2 Transmission des champs de profil des utilisateurs (attributs)
Vous devez ajouter des attributs aux profils de vos utilisateurs dans l'IdP afin de définir les champs de profil qui seront transmis dans la réponse d’authentification (SAML). Ces champs seront utilisés pour générer un compte utilisateur à un utilisateur lors de sa première connexion. Il se peut que les champs que vous jugez nécessaires existent déjà dans l'IdP (comme les champs email, nom et prénom).
2.3 Groupes et permissions
Lorsque le SSO est utilisé, les permissions des utilisateurs dans Dialog Insight sont attribuées à partir de groupes de permissions configurés dans la plateforme. Chaque utilisateur est associé à un groupe de permissions qui détermine son niveau d’accès lors de l’authentification. Dialog Insight offre des groupes de permissions prédéfinis, mais il est également possible de créer des groupes personnalisés sur demande.
De votre côté, vous devez vous assurer que les groupes définis dans votre IdP correspondent aux niveaux d’accès souhaités dans Dialog Insight. Par exemple, si vous voulez limiter l'accès à Dialog Insight à certains utilisateurs, vous pourriez créer un champ "hasAccessToDialogInsight" (accès générique pour un gestionnaire de campagne) ou "adminHasAccessToDialogInsight (accès admin).
Dans le formulaire de configuration (prochaine étape), vous devrez fournir un mapping entre vos groupes de permissions dans l'IdP et ceux dans Dialog Insight afin que chaque utilisateur soit automatiquement associé au bon groupe lors de sa connexion.
Étape 3 : Remplir le formulaire de demande
Lorsque la configuration de votre IdP est complétée, veuillez télécharger le formulaire de demande, le remplir et nous le retourner.
FAQ
Si mon entreprise met en place le SSO, est-ce que tous mes utilisateurs doivent utiliser le SSO pour se connecter?
Des utilisateurs « réguliers » (avec un mot de passe spécifique à la plateforme) peuvent encore exister en parallèle des utilisateurs gérés par fournisseur d’identité. Il n’est donc pas nécessaire de transférer tous vos utilisateurs actuels à votre fournisseur d’identité.
Que se passe-t-il lors de la première connexion d'un utilisateur?
À la première connexion d'un utilisateur qui utilise le fournisseur d’identité, un nouvel utilisateur sera créé. Alors, pour les utilisateurs existants, ceci créera un deuxième compte séparé. La création d’un nouveau compte veut dire que toutes les configurations précédentes faites par l’utilisateur ne seront plus rattachées à son utilisateur courant (par exemple des abonnements à des notifications).
Comment sont gérées les permissions?
À toutes les connexions à la plateforme utilisant le SAML, l’utilisateur sera mis à jour (informations et permissions). Les informations et permissions de la dernière connexion seront alors remplacées par les informations fournies par le SAML. L’information inclut tout le contenu précisé à la configuration (prénom, nom, attributs de sécurité, etc.).
Comment supprime-t-on un utilisateur?
Il n’existe aucune méthode par SAML, où un utilisateur dans la plateforme sera automatiquement désactivé après la désactivation dans le fournisseur d’identité puisque la synchronisation des données se fait seulement à la connexion de l’utilisateur. Cependant, l’utilisateur ne pourra plus se connecter puisqu’à la connexion l’IdP ne retournera pas les permissions. La suppression reste donc manuelle.
Note : Lors de la mise en place du SSO sur un projet déjà existant, puisque de nouveaux utilisateurs seront créés, il est recommandé d’aller supprimer ou désactiver les doublons avec les anciens profils classiques pour forcer l’utilisation du SAML.
Si je modifie un groupe de permissions dans l'IdP, est-ce que les changements s'appliquent immédiatement?
Non. Le certificat est synchronisé une fois par jour la nuit. Si un utilisateur est connecté, il faudra qu'il se déconnecte pour que les changements s'applique à ses permissions.
Formulaire de demande SSO
Vous pouvez télécharger le formulaire ci-dessous.