Avant de commencer
Le SSO (Single Sign-On ou Authentification unique) permet de se connecter à un ou plusieurs environnements web tel que Lucca avec un seul identifiant, connu de vos collaborateurs.
L'accès aux solutions Lucca est ainsi simplifié et sécurisé. Le SSO repose en effet sur un contrat de confiance entre Lucca et des serveurs (Identity Providers ou Fournisseurs d’Identité).
Concrètement, le site ou service auquel l’utilisateur tente de se connecter effectue une requête auprès du serveur ou de votre site du fournisseur d’identité. Celui-ci demande si l’utilisateur est connecté. Si c’est le cas, il transmet l’information. En fonction du protocole utilisé, les deux sites échangent des clés, des signatures, etc ... ce qui permet en un clic, de vérifier et de confirmer l’identité de vos collaborateurs.
Aide sur le vocabulaire :
- SSO = Single Sign-On / Authentification unique
- Fournisseur d'identité : serveur fournissant les identités des utilisateurs, c'est le point central de l'authentification, c'est un outil qui appartient au client.
- Fournisseur de service Lucca = Dans notre cas c'est notre application Lucca qui fournit un service de SIRH.
- SAML2 = c'est le protocole utilisé pour échanger le jeton de sécurité entre le fournisseur d'identité et le Fournisseur de service Lucca.
- Metadata = métadonnées, ce sont des informations utiliser pour configurer le fournisseur de service Lucca et le fournisseur d'identité (certificat public, clé, adresse...), ils doivent s'échanger ces métadonnées pour se connaître et se faire confiance, elles contiennent des certificats. Il peut s'agir d'un fichier xml à déposer sur le serveur ou d'une url.
Les protocoles supportés par Lucca
Voici la liste des protocoles supportés par Lucca : SAML 2.0, OAuth 2.0, CAS.
Vous pouvez consulter si besoin notre section Paramètres avancés si vous souhaitez plus d'information sur chacun des protocoles proposés.
Quel protocole choisir entre OAuth ou SAML 2.0 ?
Nous n'avons pas de préconisation entre les deux sur le plan sécurité.
Étape 1 : Mettre en place votre SSO
Prérequis
Une compétence technique est indispensable pour mettre en place cette fonctionnalité. Nous vous invitons à vous rapprocher de votre responsable technique ou prestataire pour poursuivre les prochaines étapes.
Renseignez votre fournisseur d'identité
En tant qu'administrateur de votre environnement Lucca, vous avez accès depuis la roue crantée à un module d'administration de vos méthodes de connexions : Paramètres d'authentification
Par défaut, votre méthode d'authentification est une connexion login / mot de passe.
Avec le bouton "+" de Méthodes d'authentification, vous pouvez sélectionner le protocole et le fournisseur d'identité de votre choix.
Une interface de configuration se présentera alors à vous, pour que vous puissiez, pas à pas, renseigner et administrer les informations nécessaires pour que Lucca et votre fournisseur puissent interagir.
Pour la suite du paramétrage, cela dépend de ce que vous choisissez dans cette liste :
- SSO Google (OAuth 2.0)
- SSO Google (SAML 2)
- SSO Microsoft ADFS - Active Directory Federation Services (SAML 2)
- SSO Azure Active Directory (OAuth 2.0)
- SSO Azure Active Directory (SAML 2.0)
- SSO Okta (SAML 2)
- SSO protocole SAML 2.0
- SSO Protocole CAS
Étape 2 : Personnalisez vos options de connexion
Des options avancées sont possibles pour personnaliser l'expérience de connexion de vos collaborateurs :
- Le lien magique
Vos collaborateurs pourront se connecter aux applications mobiles et à leur environnement Lucca en utilisant uniquement leur adresse mail, sans avoir à renseigner leur mot de passe, identifiant ou login.
Ce type de connexion peut-être utile si vos collaborateurs utilisent des équipements informatiques personnels ou à distance de vos bureaux.
- Les codes de connexion pour applications mobiles
Vos collaborateurs peuvent selon les applications auxquelles vous avez souscrit, profiter d'une application mobile. Ils pourront s'y connecter via une logique de lien magique ou d'un code.
Chaque utilisateur d'un environnement Lucca a accès à une interface Mon compte, qui lui permettra de générer un code de connexion pour les applications mobiles.
Nous vous recommandons ainsi d'activer cette option, pour faciliter la connexion à vos collaborateurs.
- URL de redirection
Si vous souhaitez personnaliser la page d'accueil ou de déconnexion pour vos collaborateurs lorsqu'ils accèdent à leur environnement Lucca, c'est ici, que vous pourrez indiquer vos redirections.
- Connexion via SSO
Le SSO ne s'applique pas à l'ensemble des applications mobiles (pour l'instant!) : Les applications mobiles Timmi Absences et Cleemy Notes de frais permettent la connexion via SSO.
Suivi des connexions
Une fois votre SSO en place, vous pouvez suivre les connexions ayant échoué sur la période de votre choix. Vous pourrez identifier les collaborateurs non reconnus par Lucca et réagir efficacement.