Comment activer une connexion SSO avec Lucca ?

Avant de commencer

Le SSO (Single Sign-On ou Authentification unique) permet de se connecter à un ou plusieurs environnements web tel que Lucca avec un seul identifiant, connu de vos collaborateurs.

L'accès aux solutions Lucca est ainsi simplifié et sécurisé. Le SSO repose en effet sur un contrat de confiance entre Lucca et vos serveurs (Identity Providers ou Fournisseurs d’Identité).

Concrètement, le site ou service auquel l’utilisateur tente de se connecter effectue une requête auprès du serveur ou de votre site du fournisseur d’identité. Celui-ci demande si l’utilisateur est connecté. Si c’est le cas, il transmet l’information. En fonction du protocole utilisé, les deux sites échangent des clés, des signatures, etc ... ce qui permet en un clic, de vérifier et de confirmer l’identité de vos collaborateurs. 

Aide sur le vocabulaire : 

  • SSO = Single Sign-On / Authentification unique
  • IDP = Identity provider, serveur fournissant les identités des utilisateurs, c'est le point central de l'authentification, c'est un outil qui appartient au client.
  • SP = Service Provider, dans notre cas c'est notre application Eurecia qui fourni un service de SIRH
  • SAML2 = c'est le protocole utilisé pour échanger le jeton de sécurité entre l'IDP et le SP
  • Metadata = métadonnées qui sont le support pour configurer l'IDP et le SP (certificat publique, clé, adresse...), ils doivent s'échanger ces métadonnées pour se connaître et se faire confiance, elles contiennent des certificats. Le plus souvent, il s'agit d'un fichier XML.

Les protocoles supportés par Lucca

Protocoles supportés = Active Directory + ADFS, Azure AD, CAS, Google, Okta.

Vous pouvez consulter si besoin notre section Paramètres avancés si vous souhaitez plus d'information sur chacun des protocoles proposés. 

Le protocole LDAP n'est pas supporté pour éviter toute faille de sécurité au sein de notre infrastructure et de la votre. 

Etape 1 : Mettre en place votre SSO

Pré-requis

Une compétence technique est indispensable pour mettre en place cette fonctionnalité. Nous vous invitons à vous rapprocher de votre responsable technique ou prestataire pour poursuivre les prochaines étapes.

Renseignez votre fournisseur d'identité

En tant qu'administrateur de votre environnement Lucca, vous avez accès depuis la roue crantée à un module d'administration de vos méthodes de connexions : Paramètres d'authentification

42OMAakjSV.png

Par défaut, votre méthode d'authentification est une connexion login / mot de passe

Avec le bouton "+" de Méthodes d'authentification, vous pouvez sélectionner le protocole et le fournisseur d'identité de votre choix.  

wy6xLLnlOl.png

Une interface de configuration se présentera alors à vous, pour que vous puissiez, pas à pas, renseigner et administrer les informations nécessaires pour que Lucca et votre fournisseur puisse se parler. 

Si vous êtes en train de configurer un SAML2, il y a deux parties : Fournisseur de Service (aka LUCCA) et Fournisseur d'Identité (Le Client). Dans la plupart des scénarios de paramétrage que nous rencontrons, vous aurez juste besoin de la première donnée : URL metadata.
Si vous souhaitez personnaliser manuellement l'URL, alors, les informations Identifiant Lucca, URL de réponse ainsi que certificat Lucca vous seront automatiquement affichées. Ces infos sont en fait les mêmes que celles exposées par l'URL metadata, mais de façon décomposées.

Etape 2 : Personnalisez vos options de connexion

Des options avancés sont possibles pour personnaliser l'expérience de connexion de vos collaborateurs : 

  • Le lien magique

Vos collaborateurs pourront se connecter aux applications mobiles et à leur environnement Lucca en utilisant uniquement leur adresse email, sans avoir à renseigner leur mot de passe, identifiant ou login.  

Ce type de connexion peut-être utile si vos collaborateurs utilisent des équipements informatiques personnels ou à distance de vos bureaux.

  • Les codes de connexion pour applications mobiles

Vos collaborateurs peuvent selon les applications auxquelles vous avez souscrites, profiter d'une application mobile. Ils pourront s'y connecter via une logique de lien magique ou d'un code. 

Chaque utilisateur d'un environnement Lucca a accès à une interface Mon compte, qui lui permettra de générer un code de connexion pour les applications mobiles. 

Le SSO ne s'applique pas aux applications mobiles.  Nous vous recommandons ainsi d'activer cette option, pour faciliter la connexion à vos collaborateurs. 

  • URL de redirection 

Si vous souhaitez personnaliser la page d'accueil ou de déconnexion pour vos collaborateurs lorsqu'ils accèdent à leur environnement Lucca, c'est ici, que vous pourrez indiquer vos redirections. 

Suivi des connexions

Une fois votre SSO en place, vous pouvez suivre les connexions ayant échouées sur la période de votre choix. Vous pourrez identifier les collaborateurs non reconnus par Lucca et réagir efficacement. 

 

Contenu de la page

Cet article vous a-t-il été utile ?
Utilisateurs qui ont trouvé cela utile : 0 sur 0