FAQ pour nos administrateurs qui ont un SSO.

Avant de commencer

Nous reprenons ici les réponses aux questions communément rencontrées avec nos clients après la mise en place d'un SSO pour se connecter à nos environnements. Si toutefois vous n'y retrouviez pas la réponse à votre question, nous restons à votre disposition depuis notre support client

Mon collaborateur n'arrive pas à se connecter à son environnement Lucca. Que faire ? 

Le premier réflexe est de regarder avec votre collaborateur comment il se connecte. Il est possible qu'il tente de se connecter en dehors de la mire du SSO de votre environnement et qu'il ne soit pas reconnu. 

Dans la majorité des cas, votre collaborateur aura ce genre de page :

firefox_2020-02-12_13-53-12.png

De votre côté, un espace de suivi des connexions est disponible dans le module d'administration de votre SSO.

7kQeRYZr16.png

Vous pouvez à tout instant voir sur une période définie ou en recherchant par collaborateur les erreurs rencontrées ou les échecs de connexion. 

En fonction de ce que l'interface des logs vous affichera, vérifiez avant de solliciter votre équipe IT les points suivants : 

  • L’utilisateur n’est pas dans Lucca (sa fiche n'est pas créée) ou l'identifiant de connexion utilisé par votre collaborateur n'est pas le bon. 
  • L'URL pour se connecter à votre environnement utilisé par votre collaborateur n'est pas le bon
  • Il est dans Lucca mais avec le mauvais identifiant (erreur sur son login)
  • La date de début de contrat du collaborateur est dans le futur 

Les erreurs orienteront votre équipe IT notamment si : 

  • Problème de synchro entre la base du client et la base WS Auth
  • Si le type d'erreur rencontrée nécessite une action du côté de votre fournisseur d'identité. 

Notez aussi qu'il est possible que votre collaborateur utilise un favori qui peut être refusé ou considéré bloquant par votre fournisseur d'identité.

Plusieurs collaborateurs n'arrivent pas à se connecter

Si le problème de connexion n'est pas généralisé, dans ce cas, voici quelques pistes

Plusieurs utilisateurs trouvés avec cet identifiant 

Vous recevez la capture suivante :

mceclip1.png

Cela signifie que l'attribut envoyé par le fournisseur d'identité (le client) est renseigné plusieurs fois dans notre base Lucca. Plusieurs pistes à explorer : 

  • Plusieurs fiches comportent cet identifiant sur la base du client
  • L'utilisateur est présent sur plusieurs instances
  • [plus rare] Il y a eu plusieurs fiches avec cet identifiant mais l'une d'entre elles a été supprimée de la base de l'instance, mais pas de la base qui sert pour l'authentification

Aucun identifiant n'est envoyé

Dans ce cas le message d'erreur est le suivant :

mceclip0.png 

Cette erreur signifie que le jeton SAML envoyé est vide. C’est-à-dire qu'on reçoit un identifiant vide (adresse email ou login en fonction du paramétrage). Vérifiez avec votre équipe à re-synchroniser le protocole. 

Identifiants incorrects

Problème moins fréquent, l'utilisateur n'arrive pas à se connecter à son fournisseur d'identité. La capture ne vous parlera probablement pas puisqu'il s'agit de la page de login de votre fournisseur (Google, Microsoft, Okta ...). Dans ce cas, nous ne pouvons rien faire, il faut que votre équipe IT veille à corriger le problème du coté du fournisseur. 

Aucun de mes collaborateurs n'ont accès aux solutions. Que faire ?

Si le problème d'accès n'est pas local mais au contraire touchait l'ensemble de votre établissement, il faut nous le préciser dans votre futur demande de support. Nous vous invitons à nous partager l'extrait de la réponse SAML issu des entêtes http pour faciliter notre recherche.

Lorsque vous vous connectez et qu'un de ces 2 écrans apparait : 

mceclip0.png

mceclip0.png

Vous pouvez être quasiment sûr que votre certificat est expiré. Voyez avec votre équipe IT ou votre prestataire à récupérer le fichier des metadatas ou idéalement l'URL public d'accès à leurs metadatas.

L'URL permet un renouvellement automatique de votre certificat. Si vous avez téléchargé un fichier alors il faudra recharger manuellement le nouveau.

Quand et comment mettre à jour mon certificat d'authentification ?

Souvent associé à votre fournisseur d'identité, un certificat d’authentification est un certificat numérique inséré dans un serveur d’authentification offrant un échange de données facile et sécurisé. Le certificat d’authentification procède à l’authentification et à l’identification de l’utilisateur. Il vérifie les données chiffrées et met en place une barrière de sécurité à l’entrée et à la sortie de l’utilisateur.

Lorsqu'il est nécessaire de le mettre à jour, partagez l'accès au module à votre équipe IT pour qu'ils puissent télécharger le nouveau certificat et ne pas bloquer l'accès à votre environnement. 

Notre petit conseil : 

Si vous avez notre solution Poplee Core RH, créez-vous une alerte avec une date sur échéance pour anticiper la date de mise à jour de votre certificat. 

Puis-je mettre en place différents SSO pour accéder à mon environnement Lucca ?

Tout à fait !

Vous pouvez mettre en place plusieurs SSO pour accéder à votre instance. En configurant vos protocoles, la mire de connexion affichera à vos collaborateurs autant de boutons que de protocoles configurés.  

Les utilisateurs devront choisir celui qu'ils souhaitent utiliser sur la page de connexion.

Puis-je mettre en place le SSO pour les applications mobiles ?

Non, à notre grand regret ! 

Le SSO permet uniquement de se connecter à votre instance Lucca depuis un navigateur web.

Pour les applications mobiles, l'option que nous vous recommandons est d'utiliser une connexion par code de connexion. Ce code est généré depuis le module "Mon compte", accessible uniquement sur desktop. 

Je souhaite changer de protocole et / ou de mon fournisseur d'identité, est-ce compliqué ? 

Absolument pas ! Vous êtes totalement libre et autonome sur l'administration et la méthode d'authentification.

Depuis le module, vous avez la possibilité d'activer et / ou de désactiver le protocole de votre choix et de mettre en place votre nouveau protocole. 

Quelques conseils au préalable cependant : 

  • Avant de désactiver votre configuration, créez la nouvelle puis testez la. 
  • Communiquez en interne
  • Le temps de conduire le changement, n'hésitez pas à faire pointer l'ancienne mire vers la nouvelle avec les URL mis à votre disposition dans les options avancées.

Une fois que le changement est bien mené, vous pourrez enfin désactiver l'ancien protocole.

Faut-il prévoir une indisponibilité de service pour mettre à jour le Service Provider ?

Non. L'activation, la désactivation des protocoles sont en temps réel.

Nous vous invitons à vous coordonner en revanche avec votre service RH si toutefois vous aviez des URL de redirection à partager avec vos collaborateurs. 

Contenu de la page

Cet article vous a-t-il été utile ?
Utilisateurs qui ont trouvé cela utile : 0 sur 0