Quâest-ce que la connexion via SAML SSO ?
Le service dâauthentification unique (Single Sign On) basĂ© sur le protocole SAML, permet aux entreprises dâunifier la gestion des accĂšs des employĂ©s aux diffĂ©rentes applications tierces comme Spendesk.
Pour fluidifier cette gestion, nos clients peuvent dĂ©sormais connecter leurs services dâauthentification tiers pour un meilleur contrĂŽle des connections sur Spendesk (Okta, Onelogin ou encore Microsoft Azure AD).
La fonctionnalitĂ© SAML-SSO n'est pas activĂ©e par dĂ©faut sur votre compte et dans votre abonnement. Vous voulez mettre en place cette option, ou avez mis en place ce moyen de connexion et changez dâavis ? PrĂ©venez simplement votre ChargĂ©âąe de compte Spendesk pour l'activer/dĂ©sactiver !
Activer la connexion via SAML SSO
Les conditions commerciales
En tant que Propriétaire de compte Spendesk, vous pouvez à tout moment contacter votre gestionnaire de compte pour bénéficier de cette option de connexion (add-on).
Vous pourrez ensuite décider de :
laisser le choix Ă vos Ă©quipes de se connecter via leur adresse email et identifiant OU
Imposer la connexion via SAML SSO à tous vos employés.
Les conditions techniques
AprĂšs avoir contactĂ© votre gestionnaire de compte sur Spendesk, un Ă©change de donnĂ©es initial sera nĂ©cessaire afin de configurer la connexion avec votre service dâauthentification SSO.
Quel procédé?
Celui-ci suivra les Ă©tapes suivantes:
La crĂ©ation dâune nouvelle application pour Spendesk dans lâinterface dâadministration de votre service dâauthentification.
La communication par Spendesk des informations techniques de connexion sous forme de fichier de configuration XML, quâil faudra ensuite remplir dans cette mĂȘme interface.
La rĂ©cupĂ©ration des informations de connexion de cette nouvelle application dans lâinterface dâadministration de votre service dâauthentification â souvent au format XML Ă©galement â puis lâenvoi Ă votre gestionnaire de compte.
La finalisation et lâactivation de la fonctionnalitĂ© par votre gestionnaire de compte.
Vos collaborateurs pourront alors se connecter Ă Spendesk via votre service dâauthentification (voir ici).
CrĂ©er une application Spendesk sur votre service dâauthentification:
Lors de la crĂ©ation de lâapplication Spendesk sur votre service dâauthentification, veuillez Ă bien remplir les attributs utilisateurs, requis par Spendesk :
NameID : choisir lâadresse e-mail pour le format de NameID
email : choisir lâadresse e-mail Ă©galement
first_name : choisir le prénom
last_name : choisir le nom de famille
A noter que si vous ne pouvez pas choisir le nom exact de chacun de ces attributs, Spendesk essaiera de les dĂ©terminer automatiquement en identifiant les attributs suivants dans la rĂ©ponse SAML serveur renvoyĂ©e par votre service dâauthentification :
Email: email, Email, user.email, user.Email, User.email, User.Email, mail, emailaddress, emailAddress, EmailAddress, http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress, http://schemas.xmlsoap.org/ws/2005/05/identity/claims/email, http://schemas.xmlsoap.org/claims/EmailAddress
Prénom : firstName, first_name, FirstName, user.firstName, user.first_name, user.FirstName, User.firstName, User.first_name, User.FirstName, givenname, given_name, GivenName, user.givenname, user.given_name, user.GivenName, User.givenname, User.given_name, User.GivenName, http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname
Nom : lastName, last_name, LastName, user.lastName, user.last_name, user.LastName, User.lastName, User.last_name, User.LastName, surname, sur_name, SurName, user.surname, user.sur_name, user.SurName, User.surname, User.sur_name, User.SurName, http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
Informations complémentaires :
Chaque utilisateur devra avoir Ă©tĂ© prĂ©alablement invitĂ© sur Spendesk pour pouvoir sâinscrire ou se connecter. Il est toujours possible de gĂ©nĂ©rer un lien dâinscription unique Ă votre organisation, que vous pourrez envoyer aux nouveaux collaborateurs qui vous rejoignent. Ils pourront alors sâinscrire via votre service dâauthentification.
Chacun de vos collaborateurs devra partager une adresse e-mail commune entre Spendesk et votre service dâauthentification. Autrement, Spendesk ne sera pas en mesure de les identifier.
Chacun de vos comptes utilisateurs doivent avoir les champs 'adresse email', 'nom de famille' et 'prénom' correctement remplis dans votre fournisseur SSO afin de leur permettre de se connecter dans Spendesk.
Se connecter sur Spendesk avec lâauthentification SAML SSO
Une fois lâoption activĂ©e par votre gestionnaire de compte et la configuration effectuĂ©e par le PropriĂ©taire de compte Spendesk, la connexion par SAML SSO sera proposĂ©e parmi les autres moyens de connexion (Google, Microsoft...).
Spendesk prend en charge lâauthentification via des services tels que Okta, OneLogin, Microsoft Azure AD, ou tout autre qui respecte la norme SAML 2.0.
Cliquez sur âSSO SAMLâ sur la page de connexion
Renseignez lâadresse de votre fournisseur SSO
Connectez-vous via votre fournisseur SSO aprÚs avoir été redirigé
Vous ĂȘtes connectĂ©(e) ! đ
Plus d'informations sur la fonctionnalité
Que puis-je faire / ne pas faire avec la fonctionnalité SAML SSO activée sur Spendesk?
Je peux:
Me connecter en utilisant un fournisseur SSO (Ă partir de la page de connexion, choisir l'option de connexion SAML SSO).
M'inscrire en utilisant un fournisseur d'identité tiers (à partir du lien d'invitation, choisir l'option d'inscription SAML SSO).
Activer ou renforcer l'authentification via SAML SSO (dans ce dernier cas, il est uniquement possible pour mes utilisateurs de s'authentifier Ă Spendesk en utilisant le systĂšme SSO)
Je ne peux pas :
Ajouter automatiquement des utilisateurs à Spendesk dÚs qu'ils sont ajoutés au fournisseur SSO. Je peux cependant inviter mes utilisateurs par lien sur Spendesk - il suffit de communiquer le lien aux personnes à inviter!
Supprimer des utilisateurs de Spendesk s'ils sont supprimés de mon fournisseur SSO.
Avoir plus d'un systĂšme SSO actif sur Spendesk.