Lors de la mise en place d'un connecteur SAML pour votre organisation, un certificat de sécurité est automatiquement attribué à votre connecteur par votre fournisseur d'identité (Okta, OneLogin, Azure...).
Ces certificats ont une durée de vie d'un certain nombre d'années, après quoi vous devrez en générer un nouveau.
Conditions préalables
Une fois que vous avez activé un nouveau certificat, vos collègues ne pourront pas se connecter à Spendesk en utilisant SAML tant que le certificat n'aura pas été téléchargé chez nous. Cela vaut la peine de contacter votre gestionnaire de compte pour convenir d'un moment pour faire cela ensemble, afin de minimiser les temps d'arrêt pour vos utilisateurs.
Si SAML n'est pas renforcé (=enforced) dans votre organisation, vos utilisateurs ont la possibilité d'utiliser un autre moyen de connexion (mot de passe, SSO simple) pendant ce temps d'arrêt, s'ils l'ont configuré à l'avance.
L'ensemble du processus, depuis la génération d'un nouveau certificat jusqu'à son téléchargement dans Spendesk, ne prendra que quelques minutes si vous l'organisez correctement avec votre gestionnaire de compte.
Création d'un nouveau certificat
Okta
Connectez-vous à votre compte administrateur Okta et sélectionnez votre intégration Spendesk dans le menu latéral Applications.
Cliquez sur l'onglet Sign On, puis faites défiler vers le bas jusqu'à SAML Signing Certificates.
Cliquez sur Générer un nouveau certificat, puis dans le menu déroulant Actions à droite, cliquez sur Activer.
Une fois que le nouveau certificat est actif, vos utilisateurs ne pourront pas se connecter à Spendesk jusqu'à ce qu'il soit téléchargé chez nous.
Si vous le souhaitez, vous pouvez supprimer l'ancien certificat en utilisant le même menu et en cliquant sur Supprimer en bas de page.
OneLogin
Connectez-vous à votre compte administrateur OneLogin et sélectionnez Certificats dans l'onglet Sécurité.
Sélectionnez Nouveau dans le coin supérieur droit de la page.
Saisissez les détails de votre nouveau certificat, puis cliquez sur Enregistrer en haut à droite.
Nous recommandons au moins SHA256 comme type de signature.
Si vous le souhaitez - et à condition qu'il ne soit pas utilisé par une autre intégration - vous pouvez supprimer l'ancien certificat en cliquant dessus, puis en utilisant le bouton Supprimer à droite.
Vous pouvez définir ce nouveau certificat comme votre certificat par défaut, qui s'appliquera à toutes vos intégrations OneLogin, mais si vous ne voulez l'appliquer qu'à l'intégration Spendesk, allez-y à partir de l'onglet Applications.
Cliquez sur SSO à gauche, puis sur Change sur la section X.509 Certificate.
Sélectionnez votre nouveau certificat dans le menu déroulant de la boîte de dialogue qui s'affiche, puis cliquez sur Continuer.
Une fois que le nouveau certificat est actif, vos utilisateurs ne pourront pas se connecter à Spendesk jusqu'à ce qu'il soit téléchargé avec nous.
Azure et autres
Connectez-vous à votre fournisseur d'identité, sélectionnez votre intégration Spendesk, puis cliquez sur Single Sign-on. Dans Azure, votre intégration se trouve sous Accueil > Applications d'entreprise.
Cliquez sur le bouton Modifier pour modifier les certificats SAML.
Click to generate a New Certificate.
Cliquez sur les trois points à côté de votre certificat inactif et sélectionnez Rendre le certificat actif.
Une fois que le nouveau certificat est actif, vos utilisateurs ne pourront pas se connecter à Spendesk jusqu'à ce qu'il soit téléchargé avec nous.
Si vous le souhaitez, vous pouvez supprimer l'ancien certificat en utilisant le même menu et en cliquant sur Supprimer le certificat en bas de page.
Télécharger votre nouveau certificat avec Spendesk
Avant que vos utilisateurs puissent se connecter à nouveau en utilisant SAML, votre nouveau certificat doit être téléchargé vers Spendesk. Votre gestionnaire de compte peut vous aider à coordonner cette opération afin de minimiser les temps d'arrêt.
Okta
Toujours dans la section Sign On, trouvez votre URL de métadonnées et copiez-la.
Envoyez-le à votre gestionnaire de compte pour qu'il le télécharge dans Spendesk.
Une fois que c'est fait, vos utilisateurs peuvent réutiliser SAML pour se connecter à Spendesk.
OneLogin
Toujours dans votre application Spendesk, utilisez le menu Plus d'actions en haut à droite pour télécharger votre fichier XML de métadonnées SAML.
Une fois téléchargé, envoyez-le à votre gestionnaire de compte pour qu'il le télécharge dans Spendesk.
Une fois que c'est fait, vos utilisateurs peuvent réutiliser SAML pour se connecter à Spendesk.
Azure et autres
Toujours dans la section Single Sign-on, trouvez votre Federation Metadata XML et téléchargez-le.
Une fois téléchargé, envoyez-le à votre gestionnaire de compte pour qu'il le télécharge sur Spendesk.
👍 Une fois que c'est fait, vos utilisateurs peuvent réutiliser SAML pour se connecter à Spendesk.