Authentification unique (SSO) avec Microsoft : configuration

Cette nouveauté concerne les administrateurs des accès entreprise avec au moins deux utilisateurs.

Pour permettre à vos utilisateurs de se connecter à portatour® avec le compte Microsoft de votre entreprise, deux étapes sont nécessaires : la configuration de Microsoft en tant que fournisseur d’authentification unique dans portatour® et l’attribution des utilisateurs Microsoft aux utilisateurs portatour®.

Configurer Microsoft comme fournisseur d’authentification unique

  1. Allez dans « Espace de travail Organisation » et ouvrez les « Options ».
  2. Dans la section « Sécurité », cliquez sur « Fournisseur d’authentification unique > Ajouter > Microsoft ». La fenêtre suivante apparaît :
  3. Êtes-vous l’administrateur Entra ID de votre locataire Microsoft Entra ?
    • Si oui :
      1. Cliquez sur « Connectez-vous à Microsoft ».
      2. Connectez-vous avec votre compte Microsoft.
      3. Confirmez les autorisations demandées en cliquant sur « Accepter ».
    • Si non :
      1. Cliquez sur « Saisir manuellement l’ID du locataire».
      2. Cliquez sur « Copier le lien » et communiquez ce lien à votre administrateur Entra ID pour qu’il installe l’application d’entreprise ‘portatour® single sign-on’ et accepte les autorisations demandées. Votre administrateur recevra alors l’ID du locataire.
      3. Saisissez l’ID du locataire communiqué.
  4. Dans le champ « Nom », saisissez le nom de votre locataire Microsoft. Il s’agit typiquement du nom de votre entreprise. Aucune vérification n’est effectuée. Le nom vous sert, à vous et à vos utilisateurs, à identifier le bon compte Microsoft si vous avez plusieurs locataires Microsoft.
  5. Cliquez sur « Enregistrer ».

Attribution d’utilisateurs Microsoft à des utilisateurs portatour®

Vous avez quatre possibilités pour attribuer des utilisateurs Microsoft à des utilisateurs portatour® : par le biais d’e-mails d’invitation individuels, par le biais d’e-mails d’invitation groupés, par la saisie manuelle des ID d’objets Microsoft ou par l’importation des ID d’objets Microsoft.

Attribution avec un e-mail d’invitation

  1. Dans « Espace de travail Organisation », ouvrez le menu « Utilisateur ».
  2. Cliquez sur l’utilisateur souhaité pour ouvrir la vue détaillée de l’utilisateur.
  3. Dans la section « Connexion SSO avec Microsoft », cliquez sur « Envoyer une invitation ».
  4. L’utilisateur reçoit un e-mail avec un lien d’invitation. Ce lien d’invitation est valable pendant 30 jours.
  5. Une fois qu’il a cliqué sur le lien d’invitation, l’utilisateur se connecte à son compte Microsoft.
  6. Une fois connecté, l’attribution a bien été établie. Vous pouvez le voir au nom d’utilisateur (UPN) de Microsoft qui s’affiche également sur la page détaillée de l’utilisateur.

Remarques :

  • Pour des raisons de sécurité, l’adresse e-mail du compte utilisateur Microsoft doit correspondre à celle de l’utilisateur portatour® pour que l’attribution par invitation fonctionne. Une fois l’association réussie, les adresses e-mail peuvent être modifiées des deux côtés sans que l’attribution ne soit affectée.
  • Pour annuler prématurément une invitation, cliquez sur l’icône de la corbeille.
  • Pour envoyer une nouvelle invitation, cliquez sur « Envoyer une nouvelle invitation ». L’invitation initiale ne sera alors plus valide.

Attribution par le biais d’e-mails d’invitation groupés

  1. Dans « Espace de travail Organisation », ouvrez le menu « Utilisateur ».
  2. À la fin de la liste des utilisateurs, cliquez sur « Modifier tous les X ».
  3. Dans la colonne « Connexion avec SSO avec Microsoft », dans la section « X utilisateurs n’ont ni attribution à un utilisateur Microsoft ni invitation », cliquez sur « Envoyer les invitations » ».

Remarques :

  • Dans la liste des utilisateurs, utilisez le mode de sélection ou la recherche avancée pour cibler les utilisateur concernés par cette opération.
  • Les instructions pour l’invitation par e-mail individuelle s’appliquent ici de manière analogue.

Attribution par la saisie de l’ID d’objet Microsoft

Pour cette opération, vous devez connaître l’ID d’objet Microsoft de l’utilisateur. En tant qu’administrateur de votre compte Microsoft, vous le trouverez dans la gestion des utilisateurs du Microsoft Entra Admin Center.

  1. Dans « Espace de travail Organisation », ouvrez le menu « Utilisateurs ».
  2. Cliquez sur l’utilisateur souhaité pour ouvrir la vue détaillée de l’utilisateur.
  3. Dans la section « Connexion SSO avec Microsoft », cliquez sur « Saisir l’ID d’objet Microsoft »
  4. Saisissez l’ID d’objet Microsoft de l’utilisateur, de préférence en faisant un copier-coller depuis le Microsoft Entra Admin Center.
  5. Cliquez sur « Enregistrer ».
  6. L’utilisateur peut ensuite se connecter immédiatement à portatour® à l’aide du SSO.
  7. En option, cliquez sur « Envoyer lien d’accès » pour que l’utilisateur reçoive par e-mail le lien vers la page de connexion SSO de portatour®.
  8. Vous pouvez reconnaître une connexion réussie par l’utilisateur si le nom d’utilisateur Microsoft (UPN) est également affiché sur la page de détail de l’utilisateur.

Remarques :

  • Procédez avec soin. Lorsque vous saisissez l’ID d’objet Microsoft, aucune vérification n’est effectuée pour savoir si l’utilisateur existe dans votre compte Microsoft ou s’il s’agit de l’utilisateur souhaité.
  • Dans ce cas, il n’est pas nécessaire que les adresses e-mail de l’utilisateur dans portatour® et Microsoft correspondent.

Attribution via l’importation des ID d’objets Microsoft

Si vous disposez des ID d’objets Microsoft de vos utilisateurs sous forme de fichier, utilisez l’importation d’utilisateurs pour les attribuer à des utilisateurs existants ou nouveaux.

Dans l’assistant d’importation, associez le champ « ID d’objet Microsoft SSO » à la colonne correspondante de votre fichier, puis procédez à l’importation de la manière habituelle.

Remarques :

  • Les instructions pour la saisie de l’ID d’objet Microsoft s’appliquent ici de manière analogue.
  • Si vous ne voyez pas le champ « ID d’objet Microsoft SSO », cela signifie que vous n’avez pas encore configuré Microsoft comme fournisseur de SSO dans portatour®.
  • Le nom du champ contient également le nom du fournisseur de SSO que vous avez défini.
  • Si vous souhaitez attribuer plusieurs utilisateurs Microsoft à un utilisateur portatour®, séparez les ID d’objets par un point-virgule ‘;’.

Désactiver l’authentification unique

Blocage automatique d’un utilisateur

Si un compte utilisateur est bloqué ou supprimé auprès du fournisseur d’authentification unique, l’utilisateur attribué dans portatour® ne pourra plus se connecter à l’aide du SSO après une heure au maximum. Vous n’avez rien à faire dans portatour® pour cela. Si l’utilisateur est déjà connecté via SSO, il sera automatiquement déconnecté.

Supprimer la connexion SSO pour un utilisateur

Si vous ne souhaitez plus autoriser la connexion SSO pour un utilisateur donné, supprimez l’attribution SSO dans la vue détaillée de l’utilisateur en cliquant sur le symbole corbeille correspondant. Vous pouvez également supprimer l’ID d’objet Microsoft de la ligne correspondante lors de l’importation de l’utilisateur.

Désactiver ou supprimer le fournisseur de SSO

Si vous souhaitez désactiver la connexion SSO pour tous les utilisateurs, désactivez le fournisseur d’authentification unique correspondant dans les options de l’organisation.

Vous pouvez ensuite également supprimer le fournisseur d’authentification unique. Toutes les attributions SSO des utilisateurs seront alors supprimées.

Autres remarques sur l’authentification unique

Connexion SSO et connexion avec nom d’utilisateur et mot de passe

portatour® permet aux utilisateurs de se connecter à la fois avec un nom d’utilisateur et un mot de passe ainsi qu’avec le SSO. Lorsque vous implémentez le SSO, cela se fait sans interruption pour les utilisateurs existants et sans nécessiter une coordination temporelle stricte.

Vous pouvez voir les deux possibilités de connexion d’un utilisateur dans la liste des utilisateurs et les gérer dans la vue détaillée des utilisateurs ou à l’aide de la modification en masse des utilisateurs.

Désactiver la connexion avec le nom d’utilisateur et le mot de passe

Si vous avez introduit avec succès la connexion SSO, vous pouvez, si vous le souhaitez, désactiver la connexion à l’aide du nom d’utilisateur et du mot de passe.

Dans la section « Connexion avec nom d’utilisateur et mot de passe » de la vue détaillée de l’utilisateur, cliquez sur « Désactiver la connexion ».

Vous pouvez également utiliser la modification en masse dans la liste des utilisateurs. Assurez-vous au préalable que les utilisateurs concernés se sont déjà bien connectés via SSO, par exemple avec « Recherche > Avancé > Connexion avec SSO > Possible (attribution utilisée) ».

Fournisseurs de SSO multiples

portatour® vous permet de créer plusieurs fournisseurs SSO. Les cas de figure suivants sont pris en charge :

  • Les utilisateurs présents dans portatour® proviennent de différentes organisations (pays, sous-traitants, interne/externe), chaque organisation étant gérée dans un locataire Microsoft distinct.
  • Vous souhaitez changer de fournisseur de SSO. La transition se fait sans interruption pour les utilisateurs, car les deux fournisseurs fonctionnent en parallèle.

Attribuez un nom unique à chaque fournisseur de SSO. Dans la vue détaillée de l’utilisateur et dans la modification en masse des utilisateurs, les fournisseurs de SSO respectifs se trouvent dans des sections séparées, dans l’exportation / importation d’utilisateurs dans des colonnes séparées.

Attributions de SSO multiples par utilisateur

Il est possible d’enregistrer plusieurs attributions SSO pour un utilisateur dans portatour®. Ceci est utile pour le cas de figure mentionné ci-dessus d’un changement de fournisseur de SSO.

De même, différents utilisateurs portatour® peuvent être attribués au même utilisateur d’un fournisseur de SSO. Les utilisateurs portatour® peuvent également se trouver dans différents accès d’entreprise portatour®. Dans ce cas, l’utilisateur est invité, après la connexion SSO, à sélectionner l’utilisateur portatour® souhaité avec lequel il souhaite continuer à travailler.

Cette possibilité est par exemple utile lorsqu’un administrateur gère plusieurs accès entreprise portatour® et a donc un compte séparé dans chaque accès entreprise portatour®.

SSO en combinaison avec Microsoft Dynamics CRM

Si vous utilisez Microsoft Dynamics CRM comme système de source de données, la connexion SSO n’est pas encore possible. Nous travaillons actuellement sur une mise à jour pour une prise en charge de la connexion SSO.