Aller au contenu principal

SSO avec SAML 2.0

  • Mise à jour

User and Data Management Plus

Le Single Sign-on (SSO) avec SAML 2.0 permet à vos utilisateurs de se connecter à deskbird avec leur fournisseur d'identité (IdP) existant. Vous trouverez ci-dessous des options de démarrage rapide pour Okta et Keycloak, ainsi qu'un guide complet de configuration de la fédération (SSO initié par le fournisseur de services).

  1. SAML avec Okta
  2. SAML avec Keycloak
  3. Configuration de la fédération SAML 2.0
  4. Renouvellement du certificat SAML
  5. Quand utiliser SAML ou OAuth / OIDC

1. SAML avec Okta

Utilisez notre guide dédié à Okta pour configurer une application SAML Okta, mapper les attributs requis et tester le SSO initié par le fournisseur de services vers deskbird. Le guide inclut des captures d'écran, des déclarations d'attributs et des conseils de dépannage.
👉 Étape par étape : Configurer le SSO SAML avec Okta

2. SAML avec Keycloak

Vous préférez utiliser Keycloak ? Suivez le guide Keycloak pour initier le SSO vers deskbird.
👉 Étape par étape : Configurer le SSO SAML avec Keycloak

3. Configuration de la fédération SAML 2.0

SAML 2.0 (Security Assertion Markup Language) est un protocole basé sur XML permettant d'échanger de manière sécurisée des données d'authentification/autorisation entre un fournisseur d'identité (IdP) et un fournisseur de services (SP). deskbird prend en charge le SSO initié par le fournisseur de services (l'authentification doit commencer depuis deskbird).

Si vous souhaitez avoir une tuile dans votre lanceur IAM (par exemple, OneLogin, JumpCloud) sur laquelle les utilisateurs peuvent cliquer, ajoutez une application de type Favori qui lance le flux initié par le fournisseur de services dans deskbird :
https://app.deskbird.com/saml?providerName={saml-provider-ID}
L'ID du fournisseur SAML suit le format saml.{company-name}. Exemple pour "Polaroid" : https://app.deskbird.com/saml?providerName=saml.polaroid.

Créez une application de fédération distincte et cachée dans votre IdP pour la connexion SAML elle-même (non visible par les utilisateurs).

3.1 Configuration générale

Configurez votre IdP avec les informations suivantes du fournisseur de services deskbird :

ID du fournisseur de services (Entity ID) https://api.deskbird.app/saml/metadata
URL ACS (Callback) https://app.deskbird.com/__/auth/handler

💡 Pour une authentification SAML 2.0 réussie, définissez NameID sur l'adresse e-mail de l'utilisateur avec le format urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified.

Exemple d'extrait d'assertion

<saml2:Subject> <saml2:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified" NameQualifier="<IdP Entity ID>" SPNameQualifier="https://api.deskbird.app/saml/metadata" xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion"> email </saml2:NameID> <saml2:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer"> </saml2:Subject>

À envoyer à deskbird pour la configuration

Entity ID de l'IdP  
URL SSO de l'IdP  
Certificat IdP Doit commencer par -----BEGIN CERTIFICATE----- et se terminer par -----END CERTIFICATE----- (coller sans caractères ou sauts de ligne supplémentaires).

Si vous disposez d'un fichier de métadonnées IdP, vous pouvez simplement nous l'envoyer à la place.

3.2 Attributs utilisateur

Attributs obligatoires (utilisez les noms exacts) :

Attribut Description
email Adresse e-mail UPN utilisée pour la connexion, les notifications et les informations de réservation
first_name Prénom de l'utilisateur (affiché sur la plateforme)
last_name Nom de l'utilisateur (affiché sur la plateforme)

Attributs recommandés :

Attribut Description
avatar_url URL de la photo de profil ; les initiales sont utilisées si omis
external_id ID utilisateur IdP pour l'appariement
manager_id ID IdP du responsable hiérarchique de l'utilisateur (utilisé pour les validations)
locale Langue préférée de l'utilisateur (par défaut la langue de l'entreprise si omis)
office Bureau principal de l'utilisateur
job_title Poste de l'utilisateur
department Département de l'utilisateur (utilisé pour la gestion des accès)
company_entity Entité légale de l'utilisateur (par défaut l'entité de l'entreprise si omis)

3.3 Fichier de métadonnées

Après avoir créé l'application SAML dans votre IdP, veuillez nous envoyer le fichier de métadonnées contenant :

  • Certificat
  • Entity ID
  • URL SSO

4. Renouvellement du certificat SAML

Les certificats SAML ont une date d'expiration (généralement 1 à 3 ans après leur création). Lorsque le certificat approche de sa date d'expiration, votre fournisseur d'identité vous en informera. Il est important de renouveler le certificat avant son expiration pour éviter toute interruption de connexion.

⚠️

Commencez le processus de renouvellement au moins 2 à 3 semaines avant la date d'expiration afin de laisser le temps de la coordination.

Processus de renouvellement étape par étape (Microsoft Entra ID) :

  1. Dans le portail Microsoft Entra ID, accédez à votre application d'entreprise deskbird.
  2. Allez dans Single sign-on > Certificats SAML.
  3. Cliquez sur l'icône Modifier (crayon).
  4. Cliquez sur Nouveau certificat.
  5. Définissez la date d'expiration (par défaut 3 ans).
  6. Cliquez sur Enregistrer. Le nouveau certificat apparaîtra avec le statut Inactif.
  7. Téléchargez le nouveau certificat (format Base64).
  8. Envoyez le certificat au support deskbird via un ticket de support. Indiquez le nom de votre entreprise et précisez qu'il s'agit d'un renouvellement de certificat SAML.
  9. Le support deskbird remplacera le certificat de notre côté et confirmera lorsque ce sera prêt.
  10. Une fois la confirmation de deskbird reçue, retournez dans Entra ID et activez le nouveau certificat (passez-le en Actif).
💡

Interruption de service

Il n'y a généralement pas d'interruption de service lors de la rotation du certificat, tant que vous coordonnez l'activation avec le support deskbird. L'ancien certificat continue de fonctionner jusqu'à ce que vous passiez au nouveau.

5. Quand utiliser SAML ou OAuth / OIDC

Si vous hésitez entre SAML et OAuth (Microsoft SSO), tenez compte des éléments suivants :

Fonctionnalité SAML 2.0 OAuth / Microsoft SSO / Google SSO
Gestion des certificats Nécessite un renouvellement périodique Aucune gestion de certificat requise
Expérience utilisateur Les utilisateurs cliquent sur "Se connecter avec le compte entreprise (SSO)" sur l'écran de connexion Les utilisateurs cliquent sur "Se connecter avec Microsoft" sur l'écran de connexion
Flexibilité de l'IdP Fonctionne avec tout IdP SAML 2.0 (Okta, Keycloak, ADFS, etc.) Uniquement Microsoft et Google
Exigence d'abonnement User and Data Management Plus Disponible sur tous les abonnements

Besoin d'aide ? Contactez-nous ici.

ℹ️ Cet article peut être traduit automatiquement.
La version anglaise fait foi. Voir la version anglaise

Retour en haut

Articles associés