Renforcez la sécurité et augmentez la productivité des utilisateurs grâce à notre application SSO.
La nouvelle application SSO unifiée offre plusieurs méthodes d'authentification, telles que SAML et One-time token. Cela rend le processus de connexion sécurisé, plus rationnel et plus efficace.
Bien à savoir:
Cette fonctionnalité est privée et peut être activée en tant que module complémentaire pour les clients disposant d'un plan d'entreprise. Contactez votre interlocuteur pour en savoir plus sur cette solution et ses frais.
L'application ne fonctionne pas avec les comptes individuels. Elle ne fonctionne qu'avec les BranchManager et leurs sociétés de succursales.
Vous ne pouvez avoir qu'une seule méthode d'authentification active à la fois.
L'application ne limite pas le nombre de succursales qu'un utilisateur peut voir dans le sélecteur d'emplacement après une connexion réussie.
Pour l'instant, TIMIFY ne supporte que SAML et One-Time Token comme méthode d'authentification.
Il est possible de se connecter via l’application web, l’application mobile et l’application tablette, mais pas via l’application de bureau.
Structure de l´article
1. Installer l´application SSO
Le propriétaire du BranchManager, le(s) administrateur(s), ainsi que les gestionnaires ayant des droits d'accès à la section Apps, peuvent installer l'application après avoir fourni à TIMIFY une clé d'accès privée à partir de l'onglet "Apps privées".
Après l'installation de l'application, il est nécessaire de définir si l'application doit être configurée globalement ou dans les comptes de la branche. La première option vous donne la possibilité de configurer l'application pour toutes les succursales à partir du BranchManager. La seconde option vous permettra de sauvegarder des paramètres différents pour chaque succursale, ce qui signifie que chaque propriétaire de succursale et/ou chaque administrateur pourra configurer l'application séparément.
2. La configuration
La configuration de cette application dépend de la méthode d'authentification sélectionnée lors de la première étape.
Veuillez noter que vous ne disposez actuellement que des possibilités suivantes :
One-time Token
Si vous choisissez la méthode SSO par One-time Token, l'utilisation est très simple. Vous utiliserez un lien généré par TIMIFY comme secret pour vous connecter à une application. Ce lien est intégré dans votre système et peut être sélectionné pour se connecter à TIMIFY. Des paramètres supplémentaires peuvent être ajoutés au lien comme le nom, l'email, l'identifiant de la branche, etc.
Configuration SAML
Si l'option SAML a été sélectionnée, vous devez configurer la méthode d'authentification pour communiquer avec le fournisseur d'identité (IdP). Pour cela, vous devrez copier à partir de l'application SSO une URL de service de consommateur d'assertion, générée par nos soins. Il s'agit de l'URL où nous nous attendons à recevoir le One-time Token d'authentification. Vous devrez également coller l'URL de votre IdP que nous devons rediriger lors de la tentative de connexion. Pour ce faire, vous devrez fournir un certificat x.509, appelé certificat public.
En option, vous pouvez ajouter un identifiant (Entity ID). Il s'agit de l'identifiant unique qui identifie votre application auprès de l'IdP (il doit être le même que celui que vous utilisez dans votre IdP). Le générateur de secret est automatiquement généré par TIMIFY et cette URL est unique.
💡 Lors de la sélection d'une méthode d'authentification, l'application génère automatiquement un secret en arrière-plan de la base de données. Il sera également possible d'en générer un nouveau à partir de la configuration de la méthode.
3. Ajustage
À cette étape, vous pouvez définir le comportement de l'application SSO. Ces paramètres apparaîtront dans chaque méthode d'authentification que vous sélectionnez.
Limiter l'authentification SSO par nom(s) de domaine: pour plus de sécurité, l'accès est limité uniquement aux domaines de messagerie autorisés depuis notre application. Si les utilisateurs tentent de se connecter avec un domaine de messagerie différent de celui spécifié, l'utilisateur sera redirigé vers une page d'accès bloqué.
Identifiant unique: sélectionnez votre identifiant utilisateur unique : e-mail ou ID externe.
💡Si vous sélectionnez ExternalID comme identifiant unique, vous devez ajouter un domaine dans la section Domaine de messagerie restreint mentionné ci-dessus, il ne peut pas être laissé vide.
Règles de non-concordance des e-mails: en cas de non-concordance entre le fournisseur d'identité de votre utilisateur et celui défini sur l'application, choisissez celui que nous devons utiliser lors du processus d'inscription de l'utilisateur. Il existe une troisième option qui vous permet de n'utiliser ni l'un ni l'autre (au cas où vous auriez utilisé un ID externe, par exemple). Cela signifie que les ressources et les utilisateurs SSO peuvent avoir des e-mails différents et qu'ils ne seront pas écrasés
Autorisations utilisateur: disposez d'un type d'autorisation par défaut ou faites correspondre tous les types d'autorisation avec des groupes dans le fournisseur d'identité en fonction de ce que vous avez défini pour vos utilisateurs.
Accès utilisateur du BranchManager: cette option n'apparaît que si l'application SSO est installée au niveau global (Gestionnaire de succursale). Au niveau local, cette étape n'est pas nécessaire. Si vous sélectionnez l'option Fournisseur d'identité (IdP), vous devez créer un paramètre de votre côté ou sélectionnez simplement l'option SSO App. Cela signifie que vous pourrez par la suite définir quel utilisateur peut accéder à quelle(s) succursale(s).
Règles de ressources: ici, vous pouvez choisir si vous souhaitez créer une nouvelle ressource (au cas où vous n'en avez pas créé) ou ne pas créer de nouvelle ressource.
Écrasement des détails de l'utilisateur: C'est au cas où vous avez des informations qui diffèrent de vos utilisateurs dans votre IdP et TIMIFY. Ici, vous pouvez choisir d'écraser ces informations dans TIMIFY ou dans l'application SSO.
Types d'autorisation par défaut: vous pouvez définir le type d'autorisation pour tous vos utilisateurs importés ou ajoutés manuellement sans autorisations définies. Vous devez mapper tous les types d'autorisations existants (types d'autorisations globales ou locales selon la configuration de l'application) avec les groupes d'autorisations au sein du fournisseur d'identité. Puisqu'il n'est pas possible de s'assurer que les permissions dans le fournisseur d'identité seront les mêmes que dans TIMIFY, la meilleure solution est de définir par exemple, la permission "Type A" correspond à la permission du fournisseur d'identité "Groupe A". Cela se fait en fournissant un ID externe ou un identifiant unique de ce groupe d'autorisations. Lorsqu'aucun type d'autorisation n'est créé dans TIMIFY, seule l'autorisation d'administrateur sera affichée dans la liste.
4. Import d´utilisateurs
Dans cette section, vous avez la possibilité d'importer un fichier CSV avec tous vos utilisateurs. Au cas où vous auriez besoin de sauter cette étape, il est important de savoir que vous pouvez le faire plus tard car vous avez la possibilité d'ajouter des utilisateurs manuellement. Le téléchargement se fait via un fichier CSV auquel vous pouvez accéder en téléchargeant notre modèle. Sur le modèle, vous devrez peut-être remplir ID externe, noms, e-mail et ID de succursale. Si le fichier est téléchargé à partir d'un seul compte, l'onglet Branch ID´s ne sera pas affiché. Dans le cas où un utilisateur a besoin d'accéder à plusieurs comptes (branches), vous pouvez tous les ajouter séparés par une virgule "," (n'ajoutez pas de branches séparées uniquement par un espace).
En cas d'erreur lors du téléchargement du fichier, un message d'avertissement s'affichera et un lien sera fourni pour télécharger un fichier CSV avec un rapport de toutes les erreurs.
Veuillez considérer que même si vous utilisez l'option ID externe pour vous connecter, il est nécessaire d'ajouter une adresse e-mail (il peut s'agir d'une adresse e-mail factice), sinon vous ne pourrez pas enregistrer et continuer.
5. Paramètres
Une fois que le SAML a été défini, vous pouvez cliquer sur les trois points dans SAML - Méthode d'authentification actuelle - pour faire correspondre tous vos paramètres.
Noms: tous les clients n'auront pas 1 champ pour les noms comme nous le faisons. Pour cela, vous pouvez utiliser plusieurs paramètres combinés avec +, par exemple : user.FName + user.LName.
E-mail
ID externe de l'utilisateur
ID de succursale: lorsque l'application est utilisée et configurée à partir du gestionnaire de succursale, il n'est pas nécessaire d'ajouter un ID de succursale car les utilisateurs n'auront accès qu'à la succursale qui leur a été attribuée.
Type d'autorisation: ce paramètre s'affiche en fonction de la sélection effectuée à l'étape précédente dans le paramètre Autorisations utilisateur
6. Succès de l´intégration
Le système vous montre le dernier pas si la configuration de l´application de SSO était avec succès.