logo
Développement
AperçuEspaceDéveloppementEspaceDeTravailRéférenceAPIMeilleurePratiqueJournalDesModifications
Rechercher
Français
EspaceDéveloppement / CentrePersonnel / SSO / ConfigurationSSO
Authentification unique (SSO)
Dernière mise à jour:6 months ago

Authentification unique (SSO)

L'authentification unique (SSO) est un mécanisme d'authentification qui permet aux utilisateurs d'accéder à plusieurs systèmes et applications de confiance avec un seul ensemble d'identifiants, éliminant ainsi la nécessité de multiples connexions. La SSO est généralement mise en œuvre via des protocoles entre un fournisseur d'identité (IdP) et un fournisseur de services (SP). Les principaux avantages de la SSO incluent :

  • Réduction de la fatigue liée aux mots de passe, amélioration de l'expérience utilisateur et augmentation de la productivité
  • Renforcement de la sécurité et gestion centralisée des identités et des autorisations d'accès des membres pour les entreprises
  • Réduction des coûts informatiques et diminution de la charge liée à la récupération et à la maintenance des mots de passe

Le processus de connexion de base pour la SSO GPTBots : Lors de l'accès au lien de connexion SSO de GPTBots, les utilisateurs sont redirigés vers un système SSO interne ou externe pour l'authentification. Après une authentification réussie, les utilisateurs sont renvoyés sur la plateforme GPTBots et connectés automatiquement.

Termes courants

Terme Description
Fournisseur d'identité (IdP) Service tiers responsable de l'authentification des identités. Après connexion via l'IdP, les utilisateurs peuvent accéder à plusieurs systèmes connectés sans ressaisir leur mot de passe.
Fournisseur de services (SP) Système enregistré en tant qu'application sur l'IdP, qui reçoit les résultats d'authentification de l'IdP et fournit des services métier spécifiques aux utilisateurs.
Security Assertion Markup Language (SAML) Protocole standard ouvert basé sur XML pour transmettre de manière sécurisée les données d'authentification et d'autorisation entre IdP et SP. La plateforme prend en charge SAML 2.0.
Méthodes de connexion Méthodes d'authentification utilisées pour accéder au système, incluant la connexion classique et la connexion SSO.
* Connexion classique : Système d'authentification de compte natif de la plateforme, comme la connexion par nom d'utilisateur et mot de passe ; connexions par autorisation tierce telles que Google OAuth, Facebook, Apple, GitHub, etc.
* Connexion SSO : Connexion via différents fournisseurs d'identité (IdP).
Types d'organisation * Organisation classique : Organisations n'ayant pas activé la connexion SSO et nécessitant une connexion classique pour l'accès.
* Organisation SSO : Organisations ayant activé la connexion SSO et nécessitant le service SSO configuré pour l'accès.

Remarques :

  • Le service SSO utilise l'e-mail comme identifiant unique. Assurez-vous que l'e-mail configuré dans l'IdP d'entreprise correspond à l'e-mail du compte sur la plateforme GPTBots.
  • Les types d'organisation et les méthodes de connexion affectent directement les autorisations d'accès et les capacités opérationnelles. Les administrateurs d'entreprise doivent les configurer selon les besoins réels.
  • Pour configurer la SSO, complétez d'abord la configuration du protocole IdP au niveau du compte, autorisez l'IdP pour l'organisation cible, puis activez la connexion SSO au niveau organisationnel.

Règles d'accès utilisateur

  • Organisations classiques : Prise en charge uniquement des méthodes de connexion classiques, applicables à tous les membres et créateurs d'organisation.
  • Organisations SSO : Tous les membres doivent accéder via la connexion SSO. Les créateurs d'organisation peuvent accéder via la connexion classique et la connexion SSO.
  • Liaison de connexion SSO : Lorsqu'un utilisateur se connecte via un service SSO, le système enregistre la relation de liaison entre le compte et le service SSO. Cette liaison peut être établie via :
    • Connexion via le lien SSO dans l'e-mail « Invitation à rejoindre l'organisation »
    • Connexion via un lien dédié à un service SSO spécifique
    • Connexion via le lien SSO dans l'e-mail « Organisation ayant activé le service SSO avec succès »
  • Correspondance des e-mails : Le service SSO utilise l'e-mail comme identifiant unique de l'utilisateur et le fait correspondre automatiquement avec le compte de la plateforme :
    • Page de connexion SSO générale : Si l'e-mail n'existe pas, le système refuse la connexion.
    • Lien de connexion SSO dédié : Si l'e-mail n'existe pas, le système crée automatiquement un nouveau compte.
  • Création de compte : Les comptes utilisant la connexion classique peuvent créer des organisations et configurer les services SSO pour les organisations créées. Les comptes utilisant la connexion SSO ne peuvent pas créer de nouvelles organisations.

Guide de configuration SSO

GPTBots prend en charge l'intégration SSO avec tout fournisseur d'identité basé sur le protocole SAML 2.0, y compris mais sans s'y limiter Microsoft Azure, Okta, One Login et Google.

Configuration de GPTBots dans l'IdP

Pour configurer l'authentification unique (SSO), ajoutez GPTBots comme application dans le fournisseur d'identité (IdP). Contactez l'administrateur IdP de votre organisation pour configurer les informations SP générées par GPTBots dans l'application IdP.

  1. Connectez-vous à GPTBots, survolez l'avatar utilisateur en bas à gauche de l'interface principale, puis cliquez sur « Compte » dans le menu contextuel. Dans le « Centre personnel », cliquez sur « SSO » pour accéder à la page SSO.
    texte alternatif

  2. Sur la page SSO, cliquez sur le bouton « Configurer SSO ».
    texte alternatif

  3. Copiez les informations de configuration fournies par GPTBots (SP) et partagez-les avec l'administrateur IdP. Demandez à l'administrateur de les configurer dans l'IdP d'entreprise. Après confirmation de la configuration, cochez la case de confirmation sur la page et passez à l'étape suivante.
    texte alternatif

    Utilisez le bouton de copie à droite pour copier rapidement.

  4. Informations de configuration :

    • Configuration générée par le SP :
      • Entity ID : Identifiant unique du fournisseur de services SP dans l'IdP
      • ACS URL : Adresse du service consommateur d'assertions, qui reçoit les informations d'assertion SAML renvoyées par l'IdP
      • URL de connexion : Adresse d'entrée pour la connexion SSO
      • URL de déconnexion : Adresse d'entrée pour la déconnexion SSO
    • Configuration renvoyée par l'IdP :
      • Certificat X.509 (base64) : Certificat du fournisseur d'identité (les certificats ont une date d'expiration ; mettez à jour rapidement si expiré)
      • URL de connexion : Adresse de connexion IdP
      • URL de déconnexion : Adresse de déconnexion IdP

  5. Guides de configuration pour différentes plateformes IdP :

Saisie des informations renvoyées par l'IdP

Saisissez le certificat, l'URL de connexion et l'URL de déconnexion fournis par l'IdP dans le SP, puis cliquez sur Suivant.

  • Personnalisez le nom du service SSO pour l'identification.
    texte alternatif

Autorisation des organisations

  1. Sur la page « Autoriser l'organisation », sélectionnez l'organisation à laquelle affecter le service SSO, puis cliquez sur « Enregistrer » pour appliquer les paramètres.

    • Vous pouvez autoriser un service SSO à plusieurs organisations ou configurer plusieurs services SSO pour une organisation.
    • Si votre organisation affiche « Pas de droits » ou « Limite d'autorisation atteinte », veuillez contacter le service commercial.
      texte alternatif

  2. Une fois la configuration effective, les membres de l'organisation doivent utiliser la connexion SSO pour accéder à l'organisation correspondante.
    texte alternatif

Vérification du service SSO

Après configuration, testez si le service SSO fonctionne correctement en utilisant l'URL de connexion SSO.

  • Assurez-vous que le compte de test a rejoint l'organisation autorisée SSO dans GPTBots et dispose de l'accès à l'application SSO sur la plateforme IdP.
    texte alternatif

Liste SSO

La liste des services SSO affiche tous les services SSO configurés, avec les champs clés suivants :

Champ Description
Nom du service SSO Nom personnalisé du service SSO
Type Type de protocole SSO
Lien de connexion Lien d'entrée de connexion SSO
Organisations autorisées Nombre d'organisations actuellement autorisées par le service SSO
Actions Prend en charge les actions « Modifier », « Autoriser » et « Supprimer »

texte alternatif

Cliquer n'importe où sur une ligne de la liste ouvrira automatiquement la boîte de dialogue « Détails du service SSO ».

texte alternatif

Survoler le champ « Organisations autorisées » affichera la liste détaillée des organisations autorisées.

Modifier

Cliquez sur le bouton « Modifier » ou n'importe où sur une ligne de la liste pour ouvrir la barre latérale des détails du service SSO, où vous pouvez consulter et modifier les paramètres détaillés de configuration SSO.

  • Cliquez sur le bouton à droite pour copier le contenu du champ. La page ne permet de rééditer que les informations de configuration IdP ; les autres champs sont en lecture seule.
    texte alternatif

Informations de configuration générées par le SP

  • Entity ID : Identifiant unique du SP (Service Provider) dans l'IdP.
  • ACS URL : Adresse du service consommateur d'assertions, utilisée pour recevoir les données d'assertion SAML renvoyées par l'IdP.
  • URL de connexion : Point d'entrée pour la connexion SSO.
  • URL de déconnexion : Point d'entrée pour la déconnexion SSO.

Informations de configuration renvoyées par l'IdP

  • Certificat X.509 (base64) : Certificat du fournisseur d'identité. Les certificats ont une date d'expiration ; veillez à les mettre à jour en temps voulu si expirés.
  • URL de connexion : Adresse de connexion fournie par l'IdP.
  • URL de déconnexion : Adresse de déconnexion fournie par l'IdP.

Organisations autorisées

Cliquez sur le bouton « Autoriser » pour ouvrir la barre latérale des organisations autorisées :

  • Le panneau de gauche liste les organisations disponibles, tandis que le panneau de droite liste les organisations autorisées.
  • Seules les organisations disposant des droits SSO peuvent être autorisées. Si l'organisation que vous souhaitez autoriser n'a pas les droits SSO ou a atteint le nombre maximal de services SSO autorisés, veuillez contacter le service commercial.
  • Après autorisation ou révocation, les membres des organisations concernées recevront une notification par e-mail et devront se réauthentifier.

texte alternatif

Suppression d'un service SSO

Cliquez sur le bouton « Supprimer » pour supprimer la configuration du service SSO en cours. Veuillez procéder avec prudence, car le service SSO deviendra indisponible après suppression et les membres des organisations concernées ne pourront plus se connecter via ce service.
texte alternatif

Connexion sur la page SSO du site officiel

  1. Ouvrez la page de connexion GPTBots et cliquez sur le bouton « Connexion SSO ».
    texte alternatif

  2. Saisissez l'adresse e-mail enregistrée sur GPTBots. Le système recherchera la dernière organisation SSO à laquelle vous avez accédé et redirigera le processus de connexion en fonction du service SSO configuré pour cette organisation.

    • Si l'organisation a configuré plusieurs services SSO et que votre compte est lié à plusieurs services SSO, il vous sera demandé de sélectionner le service SSO à utiliser pour la connexion.
      texte alternatif
    • S'il n'y a qu'un seul service SSO, la redirection sera automatique.

  3. Le système redirigera vers la page de connexion IdP, où vous devrez saisir vos identifiants pour l'authentification. Après une authentification réussie, le système redirigera vers GPTBots pour finaliser la connexion SSO.
    Page de connexion IdP

Scénarios courants d'échec de connexion

  1. Le compte n'existe pas
    Vérifiez si l'adresse e-mail saisie est enregistrée sur GPTBots ou si vous vous êtes déjà connecté via un lien SSO. Si vous n'êtes pas enregistré, vous pouvez vous connecter via le lien SSO et le système créera automatiquement un compte pour vous.

    texte alternatif

  2. Adresse e-mail non correspondante
    Si l'adresse e-mail saisie ne correspond pas à l'adresse e-mail configurée pour votre compte IdP, le système affichera une erreur de non-correspondance d'e-mail.
    Erreur de non-correspondance d'e-mail
    Veuillez confirmer l'adresse e-mail configurée dans votre compte IdP. En cas de problème, contactez votre administrateur pour obtenir de l'aide.

  3. L'organisation n'a pas activé la connexion SSO
    L'organisation que vous avez rejointe ou créée n'a pas activé la connexion SSO. Veuillez contacter l'administrateur pour activer le service SSO pour l'organisation.

Connexion via un lien SSO dédié

Partage du lien de connexion SSO

Si vous êtes le créateur de l'organisation, connectez-vous à GPTBots, accédez à « Centre personnel > SSO », cliquez sur le service SSO correspondant à l'organisation cible, copiez le lien de connexion SSO et partagez-le avec les membres de l'organisation.
texte alternatif

Processus de connexion

  1. Les membres cliquent sur le lien de connexion SSO, et le système les redirige vers la page de connexion IdP.
    Page de connexion IdP

  2. Après avoir terminé la connexion sur l'IdP, les membres sont redirigés vers la console GPTBots, où l'adresse e-mail du compte IdP est comparée à celle du compte GPTBots.

  3. En temps normal, si le membre dispose de droits autorisés par le service SSO pour l'organisation, il accède automatiquement à la dernière organisation SSO visitée.

  4. Les scénarios suivants sont considérés comme anormaux :

    • Si l'adresse e-mail configurée pour le compte IdP n'est pas enregistrée sur la plateforme GPTBots, le système créera automatiquement un compte, redirigera vers la page de configuration des informations personnelles et affichera le message :
      « Votre compte n'a pas reçu d'autorisations pour une organisation SSO. Veuillez contacter l'administrateur pour obtenir une autorisation. »
    • Si le compte est enregistré mais n'a créé ou rejoint aucune organisation, le système affichera le message :
      « Votre compte n'a pas reçu d'autorisations pour une organisation SSO. Veuillez contacter l'administrateur pour obtenir une autorisation. »
    • Si le compte est enregistré, a créé ou rejoint une organisation mais ne dispose pas des droits pour l'organisation autorisée par le service SSO, le système redirigera vers la liste des organisations du compte. Vous devrez alors sélectionner l'organisation à laquelle accéder et changer de méthode de connexion.

Remarque :
Pour accéder à une organisation via le lien de connexion SSO, veuillez demander à l'administrateur de l'organisation d'ajouter votre adresse e-mail aux membres de l'organisation SSO.

Scénarios courants d'échec de connexion

  1. Impossible de se connecter avec succès sur l'IdP
    Si votre compte IdP n'a pas reçu les droits d'accès à l'application SSO de l'IdP, une erreur se produira côté IdP lors de la connexion via le lien SSO. Veuillez contacter l'administrateur IdP pour obtenir les droits d'accès.

Déconnexion d'un compte

Lors de la déconnexion d'un compte en mode connexion SSO, le processus diffère de la connexion classique :

  1. Après avoir cliqué sur déconnexion, le système appelle automatiquement l'URL de déconnexion de l'IdP pour effectuer une déconnexion globale sur l'IdP.
    texte alternatif
    texte alternatif

  2. Après la déconnexion, une nouvelle authentification sera requise sur la plateforme IdP pour se reconnecter.