Comment activer une connexion SSO avec Lucca ?

Avant de commencer

Le SSO (Single Sign-On ou Authentification unique) permet de se connecter à un ou plusieurs environnements web tel que Lucca avec un seul identifiant, connu de vos collaborateurs.

L'accès aux solutions Lucca est ainsi simplifié et sécurisé. Le SSO repose en effet sur un contrat de confiance entre Lucca et vos serveurs (Identity Providers ou Fournisseurs d’Identité).

Concrètement, le site ou service auquel l’utilisateur tente de se connecter effectue une requête auprès du serveur ou de votre site du fournisseur d’identité. Celui-ci demande si l’utilisateur est connecté. Si c’est le cas, il transmet l’information. En fonction du protocole utilisé, les deux sites échangent des clés, des signatures, etc ... ce qui permet en un clic, de vérifier et de confirmer l’identité de vos collaborateurs. 

Aide sur le vocabulaire : 

  • SSO = Single Sign-On / Authentification unique
  • Fournisseur d'identité :  serveur fournissant les identités des utilisateurs, c'est le point central de l'authentification, c'est un outil qui appartient au client.
  • Fournisseur de service Lucca  = Dans notre cas c'est notre application Lucca qui fournit un service de SIRH.
  • SAML2 = c'est le protocole utilisé pour échanger le jeton de sécurité entre le fournisseur d'identité et le Fournisseur de service Lucca.
  • Metadata = métadonnées qui sont le support pour configurer le fournisseur de service Lucca et le fournisseur d'identité (certificat public, clé, adresse...), ils doivent s'échanger ces métadonnées pour se connaître et se faire confiance, elles contiennent des certificats. Il peut s'agir d'un fichier xml à déposer sur le serveur ou d'une url.

Les protocoles supportés par Lucca

Protocoles supportés = Active Directory + ADFS, Azure AD, CAS, Google, Okta.

Vous pouvez consulter si besoin notre section Paramètres avancés si vous souhaitez plus d'information sur chacun des protocoles proposés. 

Le protocole LDAP n'est pas supporté pour éviter toute faille de sécurité au sein de notre infrastructure et de la vôtre. 

Étape 1 : Mettre en place votre SSO

Prérequis

Une compétence technique est indispensable pour mettre en place cette fonctionnalité. Nous vous invitons à vous rapprocher de votre responsable technique ou prestataire pour poursuivre les prochaines étapes.

Renseignez votre fournisseur d'identité

En tant qu'administrateur de votre environnement Lucca, vous avez accès depuis la roue crantée à un module d'administration de vos méthodes de connexions : Paramètres d'authentification

42OMAakjSV.png

Par défaut, votre méthode d'authentification est une connexion login / mot de passe

Avec le bouton "+" de Méthodes d'authentification, vous pouvez sélectionner le protocole et le fournisseur d'identité de votre choix.  

wy6xLLnlOl.png

Une interface de configuration se présentera alors à vous, pour que vous puissiez, pas à pas, renseigner et administrer les informations nécessaires pour que Lucca et votre fournisseur puissent se parler. 

Si vous êtes en train de configurer un SAML2, il y a deux parties : Fournisseur de Service (aka LUCCA) et Fournisseur d'Identité (Le Client). Dans la plupart des scénarios de paramétrage que nous rencontrons, vous aurez juste besoin de la première donnée : URL metadata.
Si vous souhaitez personnaliser manuellement l'URL, alors, les informations Identifiant Lucca, URL de réponse ainsi que certificat Lucca vous seront automatiquement affichées. Ces infos sont en fait les mêmes que celles exposées par l'URL metadata, mais de façons décomposées.

Étape 2 : Personnalisez vos options de connexion

Des options avancées sont possibles pour personnaliser l'expérience de connexion de vos collaborateurs : 

  • Le lien magique

Vos collaborateurs pourront se connecter aux applications mobiles et à leur environnement Lucca en utilisant uniquement leur adresse mail, sans avoir à renseigner leur mot de passe, identifiant ou login.  

Ce type de connexion peut-être utile si vos collaborateurs utilisent des équipements informatiques personnels ou à distance de vos bureaux.

  • Les codes de connexion pour applications mobiles

Vos collaborateurs peuvent selon les applications auxquelles vous avez souscrit, profiter d'une application mobile. Ils pourront s'y connecter via une logique de lien magique ou d'un code. 

Chaque utilisateur d'un environnement Lucca a accès à une interface Mon compte, qui lui permettra de générer un code de connexion pour les applications mobiles. 

Nous vous recommandons ainsi d'activer cette option, pour faciliter la connexion à vos collaborateurs. 

  • URL de redirection 

Si vous souhaitez personnaliser la page d'accueil ou de déconnexion pour vos collaborateurs lorsqu'ils accèdent à leur environnement Lucca, c'est ici, que vous pourrez indiquer vos redirections. 

  • Connexion via SSO

Le SSO ne s'applique pas à l'ensemble des applications mobiles (pour l'instant!) : Les applications mobiles Timmi Absences et Cleemy Notes de frais permettent la connexion via SSO.

Suivi des connexions

Une fois votre SSO en place, vous pouvez suivre les connexions ayant échoué sur la période de votre choix. Vous pourrez identifier les collaborateurs non reconnus par Lucca et réagir efficacement. 

 

Contenu de la page

Cet article vous a-t-il été utile ?
Utilisateurs qui ont trouvé cela utile : 0 sur 1