Prérequis pour la connexion SSO
Cette page explique les informations nécessaires pour configurer le SSO pour votre entreprise. Ce document peut être partagé tel quel avec vos équipes IT.
Une fois ces informations transmises à votre Customer Success Manager, le SSO sera implémenté rapidement, suivi d'une session de test pour confirmer le bon fonctionnement du flux de connexion.
Avertissement de sécurité
Certaines informations peuvent être sensibles (appelées "secrets"). Merci de les partager via un canal sécurisé et chiffré. N'utilisez pas de messagerie publique (emails, Slack, Teams) et ne les stockez pas localement.
Informations requises
Pour une connexion SSO, nous demandons la présence de plusieurs champs, tandis que d'autres sont optionnels pour améliorer l'expérience de l'utilisateur dès sa première connexion (OOBE) :
Champ | Détails | Requis ? |
|---|---|---|
ID Unique du Fournisseur d'Identité | ID unique utilisé pour identifier l'utilisateur dans votre système. Nous l'utilisons pour faire le pont entre votre compte et le nôtre. | ✅ Oui |
Email personnel (préféré) ou professionnel. | ✅ Oui | |
Prénom | N/A | Non |
Nom | N/A | Non |
Groupes | Permet de provisionner des groupes dynamiquement. Doivent être des identifiants. | Non |
Domaines email dédiés
Si vous utilisez un ou plusieurs domaines email dédiés (ex: @teale.io), veuillez nous fournir la liste. Nous les utiliserons pour inviter automatiquement les utilisateurs à utiliser votre fournisseur d'identité.
Cas des assureurs
Si vous êtes un assureur servant des utilisateurs avec des emails personnels (tous domaines), vous pouvez ignorer cette étape.
Surcharge de la méthode d'authentification
Lorsqu'un utilisateur active une licence, nous désactivons son mot de passe. Il ne pourra plus se connecter qu'en utilisant votre méthode SSO configurée.
Protocoles supportés
Nous supportons plusieurs protocoles SSO, OpenID Connect (OIDC) étant notre méthode préférée.
🔺 Préféré - OpenID Connect (OIDC)
OpenID Connect est le standard utilisé par la plupart des fournisseurs d'identité modernes comme Google ou Microsoft. Vous devrez créer une application OAuth dédiée pour teale.
Prérequis techniques
- Pleinement conforme aux spécifications OAuth 2 et OIDC
- Fournit un point de terminaison JWKS pour la récupération des clés à la volée
- Supporte les challenges PKCE avec la méthode S256
- Supporte les nonces
Informations à fournir :
Nom | Détails |
|---|---|
Client ID | Le Client ID de votre application OAuth |
Client Secret | Le Client Secret de votre application OAuth |
Point de terminaison d'autorisation | URL pour démarrer l'authentification |
Point de terminaison de jeton | URL pour récupérer les jetons |
JWKS URI | URL vers le JSON Web Key Set utilisé pour signer les jetons |
Mapping des jetons OIDC :
Champ | Claim du jeton OIDC | Type |
|---|---|---|
ID Unique du Fournisseur d'Identité | sub | string |
string | ||
Prénom | given_name | string |
Nom | family_name | string |
Groupes | groups | string[] |
🔸 Expérimental - SAML 2.0
Nous pouvons supporter SAML 2.0, mais nous conseillons vivement d'utiliser OIDC quand c'est possible. Veuillez noter que cette intégration est expérimentale et pourrait retarder le déploiement.
Étapes suivantes
1. Autoriser notre URL de redirection
Une fois les infos fournies, nous partagerons l'URL de redirection que vous devrez autoriser de votre côté.
2. Session de test en direct
Nous planifierons une session pour tester le tunnel d'authentification complet et la liaison des licences.
Prêt à démarrer !
Si tous les tests sont concluants, votre intégration SSO est terminée et prête pour vos collaborateurs !