1. Support Lucca
  2. Connexion, sécurité et RGPD
  3. Administrer les connexions

FAQ SSO

  • ~min.

    • Avant de commencer

    Nous reprenons ici les réponses aux questions communément rencontrées. Si toutefois vous n'y retrouviez pas la réponse à votre question, nous restons à votre disposition depuis notre support client en précisant les points suivants dans votre demande :

    • Desccription du problème rencontré
    • Le(s) collaborateur(s) concerné(s)
    • Contexte et capture d'écran du message d'erreur (après avoir cliqué sur "En savoir plus sur l'erreur" si le contexte s'y prête)
    • Descriptions de la configuration côté dans votre base Lucca
    • Descriptions de la configuration au niveau de votre DSI

    Mon collaborateur n'arrive pas à se connecter à son environnement Lucca, que faire ?

    Le premier réflexe est de regarder avec votre collaborateur comment il se connecte. Il est possible qu'il tente de se connecter en dehors de la mire du SSO de votre environnement et qu'il ne soit pas reconnu. 

    Dans la majorité des cas, votre collaborateur aura ce genre de page :

    firefox_2020-02-12_13-53-12.png

    De votre côté, un espace de suivi des connexions est disponible dans le module d'administration de votre SSO (sauf pour le SSO Google).

    7kQeRYZr16.png

    Vous pouvez à tout instant voir sur une période définie ou en recherchant par collaborateur les erreurs rencontrées ou les échecs de connexion.

    En fonction de ce que l'interface des logs vous affichera, vérifiez avant de solliciter votre équipe IT les points suivants : 

    • L’utilisateur n’est pas dans Lucca (sa fiche n'est pas créée) ou l'identifiant de connexion utilisé par votre collaborateur n'est pas le bon. 
    • L'URL pour se connecter à votre environnement utilisé par votre collaborateur n'est pas le bon
    • Il est dans Lucca mais avec le mauvais identifiant (erreur sur son login)
    • La date de début de contrat du collaborateur : l'accès à la base se fait seulement à partir du jour du début de contrat du collaborateur. Si celle-ci est dans le futur, alors il est normal que le collaborateur n'ait pas accès à votre base Lucca. 

    Les erreurs orienteront votre équipe IT notamment si : 

    • Problème de synchro entre la base du client et la base WS Auth.
    • Le type d'erreur rencontrée nécessite une action du côté de votre fournisseur d'identité. 

    Notez aussi qu'il est possible que votre collaborateur utilise un favori qui peut être refusé ou considéré comme bloquant par votre fournisseur d'identité.

    Plusieurs collaborateurs n'arrivent pas à se connecter ?

    Si le problème de connexion n'est pas généralisé, dans ce cas, ci-dessous quelques pistes pour vous aiguiller.

    Plusieurs utilisateurs trouvés avec cet identifiant 

    Vous recevez la capture suivante :

    mceclip1.png

    Cela signifie que l'attribut envoyé par le fournisseur d'identité (le client) est renseigné plusieurs fois dans notre base Lucca. Plusieurs pistes sont à explorer : 

    • Plusieurs fiches comportent cet identifiant sur la base du client
    • L'utilisateur est présent sur plusieurs instances
    • [plus rare] Il y a eu plusieurs fiches avec cet identifiant mais l'une d'entre elles a été supprimée de la base de l'instance, mais pas de la base qui sert pour l'authentification

    Aucun identifiant n'est envoyé

    Dans ce cas le message d'erreur est le suivant :

    mceclip0.png 

    Cette erreur signifie que le jeton SAML envoyé est vide. C’est-à-dire qu'on reçoit un identifiant vide (adresse email ou login en fonction du paramétrage). Vérifiez avec votre équipe à re-synchroniser le protocole. 

    Identifiants incorrects

    Problème moins fréquent, l'utilisateur n'arrive pas à se connecter à son fournisseur d'identité. La capture ne vous parlera probablement pas puisqu'il s'agit de la page de login de votre fournisseur (Google, Microsoft, Okta ...). Dans ce cas, nous ne pouvons rien faire, il faut que votre équipe IT veille à corriger le problème du côté du fournisseur. 

    Aucun de mes collaborateurs n'a accès aux solutions, que faire ?

    Si le problème d'accès n'est pas local mais au contraire touchait l'ensemble de votre établissement, il faut nous le préciser dans votre future demande de support. Nous vous invitons à nous partager l'extrait de la réponse SAML issu des entêtes http pour faciliter notre recherche.

    Lorsque vous vous connectez et qu'un de ces 2 écrans apparaît : 

    mceclip0.png

    mceclip0.png

    Vous pouvez être quasiment sûr que votre certificat est expiré. Voyez avec votre équipe IT ou votre prestataire à récupérer le fichier des metadatas ou idéalement l'URL public d'accès à leurs metadatas.

    L'URL permet un renouvellement automatique de votre certificat. Si vous avez téléchargé un fichier alors il faudra recharger manuellement le nouveau.

    Quand et comment mettre à jour mon certificat d'authentification ?

    Souvent associé à votre fournisseur d'identité, un certificat d’authentification est un certificat numérique inséré dans un serveur d’authentification offrant un échange de données facile et sécurisé. Le certificat d’authentification procède à l’authentification et à l’identification de l’utilisateur. Il vérifie les données chiffrées et met en place une barrière de sécurité à l’entrée et à la sortie de l’utilisateur.

    Lorsqu'il est nécessaire de le mettre à jour, partagez l'accès au module à votre équipe IT pour qu'ils puissent télécharger le nouveau certificat et ne pas bloquer l'accès à votre environnement. 

    Notre petit conseil : 

    Si vous avez notre solution Poplee Socle RH, créez-vous une alerte avec une date sur échéance pour anticiper la date de mise à jour de votre certificat. 

    Puis-je mettre en place différents SSO pour accéder à mon environnement Lucca ?

    Tout à fait !

    Vous pouvez mettre en place plusieurs SSO pour accéder à votre instance. En configurant vos protocoles, la mire de connexion affichera à vos collaborateurs autant de boutons que de protocoles configurés.  

    Les utilisateurs devront choisir celui qu'ils souhaitent utiliser sur la page de connexion.

    Puis-je mettre en place le SSO pour les applications mobiles ?

    Le SSO est disponible sur l'application mobile Timmi Absences et Cleemy Notes de frais. Pour les autres applications, c'est en cours de développement.

    Je souhaite changer de protocole et / ou de fournisseur d'identité, est-ce compliqué ? 

    Absolument pas ! Vous êtes totalement libre et autonome sur l'administration et la méthode d'authentification.

    Depuis le module, vous avez la possibilité d'activer et / ou de désactiver le protocole de votre choix et de mettre en place votre nouveau protocole. 

    Quelques conseils au préalable cependant : 

    • Avant de désactiver votre configuration, créez la nouvelle puis testez-la. 
    • Communiquez en interne
    • Le temps de conduire le changement, n'hésitez pas à faire pointer l'ancienne mire vers la nouvelle avec les URL mis à votre disposition dans les options avancées.

    Une fois que le changement est bien mené, vous pourrez enfin désactiver l'ancien protocole.

    Faut-il prévoir une indisponibilité de service pour mettre à jour le Service Provider ?

    Non. L'activation, la désactivation des protocoles sont en temps réel.

    Nous vous invitons à vous coordonner en revanche avec votre service RH si toutefois vous aviez des URL de redirection à partager avec vos collaborateurs.

    Puis-je mettre en place une authentification multifacteurs (MFA) ?

    Le MFA (Multi facteur) est possible si vous avez un SSO en place et vous désactivez simplement la connexion à Lucca via Login/Mot de passe. Ce paramètre est disponible depuis la roue crantée > SSO.

    La seule solution pour un utilisateur de se connecter est alors de passer par son SSO, qui lui supporte probablement déjà le MFA.

    Contenu de la page

    Cet article vous a-t-il été utile ?
    Utilisateurs qui ont trouvé cela utile : 0 sur 0