Avant de commencer
Cette fiche traite des questions les plus fréquentes en lien avec les SSO.
Pour pouvoir y répondre, il vous faudra, dans la plupart des cas, les droits d'administrateurs sur Lucca ainsi que les droits d'administration des SSO (permission : Gérer l'authentification et les SSO).
Si vous n'avez pas encore de SSO pour vous connecter à Lucca et que vous souhaitez en ajouter un, voici la fiche d'aide qui y est dédiée : Comment activer une connexion SSO avec Lucca ?
Foire Aux Questions
Parmi les réponses fournies, nous parlons de l'identifiant ou de l'identifiant de connexion, qui peut être soit l'adresse mail professionnelle, soit le login de l'utilisateur, en fonction de la configuration de votre SSO.
Un collaborateur ou un groupe de collaborateur (pas tous) n'arrive pas à se connecter à Lucca par SSO, que faire ?
Le premier réflexe est de vérifier avec vos collaborateurs le mode de connexion qu'ils utilisent. Il se peut qu'ils essaient de se connecter par un autre moyen que le SSO, auquel cas cette fiche ne résoudra pas le problème de blocage.
La plupart du temps, vos collaborateurs seront confrontés à ce type de page :
De votre côté, un espace de suivi des connexions est disponible dans le module d'administration de votre SSO, à l'exception du SSO Google OAuth 2.0.
Vous pouvez, à tout instant, voir sur une période définie, ou en recherchant par collaborateur, les erreurs rencontrées ou les échecs de connexion. Ici, on a un exemple d'erreur "Vérification de la signature du jeton en échec" sur le champ "1".
Prenez note du message d'erreur pour le ou les collaborateurs(s) en question, en suivant ce message, voici quelques solutions potentielles :
- Aucun utilisateur trouvé avec l'identifiant l’utilisateur n’est pas encore dans Lucca, ou son contrat n'est pas commencé ou est terminé ;
- Aucun utilisateur trouvé avec l'identifiant : l'identifiant de connexion utilisé par votre collaborateur n'est pas celui présent sur Lucca, par exemple l'adresse mail du collaborateur sur votre fournisseur d'identité est différente de l'adresse mail professionnelle de la fiche RH de ce même collaborateur sur Lucca (ou le login suivant votre type d'identifiant de connexion) ;
- Plusieurs utilisateurs ont été trouvés avec l'identifiant ... : l'identifiant de connexion utilisé pour se connecter est mentionné sur plusieurs collaborateurs sur Lucca, typiquement le mail professionnel utiliser par votre SSO est utilisé comme mail professionnel pour au moins deux collaborateurs sur Lucca.
Aucun de mes collaborateurs ne peut accéder aux solutions. Que devrais-je faire ?
Si le problème d'accès n'est pas local, mais au contraire, touche l'ensemble de votre établissement, il faut nous le préciser dans votre future demande de support.
Lorsque vous vous connectez cet écran apparaît :
Solution potentielle si votre SSO est un SAML 2.0 :
Il est probable que votre certificat ait expiré. Voyez avec l'équipe en charge de votre SSO côté fournisseur d'identité pour récupérer le fichier des metadatas ou idéalement l'URL public d'accès aux metadatas.
Pour le mettre à jour, une section y est dédiée : Quand et comment mettre à jour mon certificat d'authentification (seulement pour les SSO avec SAML 2.0) ?
Solution potentielle si votre SSO est un OAuth 2.0 :
Il est probable que, si c'est un nouveau paramétrage, vous ayez renseigné le Secret ID et non la Value lors de la configuration.
De façon générale, la valeur n'est pas de la forme 00000000-0000-0000-0000-000000000000, mais plus de la forme d'un mot de passe long.
Si après avoir essayé ces solutions, vous n'avez pas résolu le problème, il est probable que cela vienne de votre fournisseur d'identité (Identity Provider).
Quand et comment mettre à jour mon certificat d'authentification (seulement pour les SSO avec SAML 2.0) ?
Commencez par vous munir de votre fichier de métadata ou de l'URL public d'accès aux métadatas.
L'URL permet un renouvellement quotidien automatique (le soir) de votre certificat. Si vous avez téléchargé un fichier alors il faudra recharger manuellement le nouveau.
Toute cette manipulation se passe dans l'onglet dédié :
Nous recommandons d'utiliser l'URL et de faire les changements progressivement, avec une phase durant laquelle vous partager, par cet URL, à la fois les anciennes et les nouvelles informations.
De plus, si vous avez notre solution Poplee Socle RH, créez-vous une alerte avec une date sur échéance pour anticiper la date de mise à jour de votre certificat.
Je souhaite modifier mon nom de domaine mail, que dois-je faire ?
Cette intervention demande de modifier les adresses mails professionnelles des utilisateurs sur Lucca. Dans le cas où votre SSO aurait comme identifiant de connexion l'adresse mail professionnelle, cela va aussi rendre votre SSO obsolète.
Pour modifier ces adresses mail en masse, nous vous recommandons d'utiliser le module d'import de Socle RH, en suivant cette fiche d'aide : Importer des données salariés.
Puis-je mettre en place différents SSO pour accéder à mon environnement Lucca ?
Tout à fait !
Vous pouvez mettre en place plusieurs SSO pour accéder à votre instance. En configurant vos protocoles, la page de connexion affichera à vos collaborateurs autant de boutons que de protocoles configurés.
Les utilisateurs devront choisir celui qu'ils souhaitent utiliser sur la page de connexion.
Pour rappel, voici la fiche d'aide pour mettre en place un SSO, c'est la même manipulation pour le premier que les suivants : Comment activer une connexion SSO avec Lucca ?
Puis-je mettre en place le SSO pour les applications mobiles ?
Le SSO est disponible sur toutes les applications mobiles Lucca.
Je souhaite changer de protocole et / ou de fournisseur d'identité, est-ce compliqué ?
Absolument pas ! Vous êtes totalement libre et autonome sur l'administration et la méthode d'authentification.
Depuis le module, vous avez la possibilité d'activer et / ou de désactiver le protocole de votre choix et de mettre en place votre nouveau protocole.
Quelques conseils au préalable cependant :
- Avant de désactiver votre configuration, créez la nouvelle puis testez-la.
- Communiquez en interne
- Le temps de conduire le changement, n'hésitez pas à faire pointer l'ancienne mire vers la nouvelle avec les URL mis à votre disposition dans les options avancées.
Une fois que le changement est bien mené, vous pourrez enfin désactiver l'ancien protocole.
Faut-il prévoir une indisponibilité de service pour mettre à jour le Service Provider ?
Non. L'activation, la désactivation des protocoles sont en temps réel.
Nous vous invitons à vous coordonner en revanche avec votre service RH si toutefois, vous aviez des URL de redirection à partager avec vos collaborateurs.
Puis-je mettre en place une authentification multifacteurs (MFA) ?
Le MFA (Multi facteur) peut être possible lors d'une connexion par SSO, mais cela ce paramètre du côté de votre fournisseur d'identité.
Pour tout autre demande
Nous reprenons ici les réponses aux questions communément rencontrées. Si toutefois vous n'y retrouviez pas la réponse à votre question, nous restons à votre disposition depuis notre support client en précisant les points suivants dans votre demande :
- Le(s) collaborateur(s) concerné(s)
- La description du problème rencontré
- La description de la configuration de votre SSO côté fournisseur d'identité
- La description de la configuration côté Lucca