Articles sur : Administration
Cet article est aussi disponible en :

Comment configurer l'authentification SAML ?

👉 L'authentification SAML est incluse dans les plan Scale et Enterprise.


En savoir plus !


En configurant SAML (Security Assertion Markup Language) pour votre organisation sur Holaspirit, vos collaborateurs et vous-même pourrez vous connecter à Holaspirit à l’aide des identifiants stockés dans Active Directory, LDAP ou tout autre magasin d’identités de votre organisation configuré avec un fournisseur d’identité SAML.


Seul un administrateur ou propriétaire de l’organisation peut gérer ces paramètres.



Avant de commencer


Voici ce que vous devez faire avant de configurer l'authentification unique SAML.


  • Assurez-vous que vous ĂŞtes un administrateur d'une organisation Holaspirit.
  • La configuration est nĂ©cessaire dans les deux systèmes (Holaspirit et votre IdP).


Available identity providers


  • Active Directory Federation Services (ADFS)
  • Auth0
  • Microsoft Azure Active Directory
  • Google Cloud Identity
  • Google Workspace
  • Okta
  • OneLogin
  • Ping Identity
  • Ou tout autre fournisseur qui suit la spĂ©cification SAML 2.0

​


Attributs SAML disponibles


Lorsque vous configurez votre fournisseur d'identité, il s'agit des attributs SAML que vous utilisez :


Instructions

SAML Attribute

Map to your identity provider

Obligatoire

NameID

Email de l'utilisateur


Autres attributs


Dans la configuration de votre IdP vous aurez une section "Attribute Mappings", qui indiquera quels champs doivent être envoyés à Holaspirit.


Voici la liste des champs que nous pouvons sauvegarder sur Holaspirit :


Instructions

SAML Attribute

Vales

Optionnel

privilege

" member " or " inactive "



Activez le SAML pour votre organisation sur votre Holaspirit


Pour activer l'authentification SAML, veuillez suivre les étapes suivantes :


  • Cliquez sur l'icĂ´ne de votre profil en bas du menu de navigation Ă  gauche
  • Cliquez sur Administration
  • Dans la rubrique Paramètres, cliquez sur Authentification
  • Basculez l'interrupteur sur le cĂ´tĂ© droit pour activer le SAML




Configurer SAML


Chaque fournisseur d’identité fonctionne obligatoirement avec un ou plusieurs domaines enregistrés.


Dans la première section, ajouter les noms de domaines pour lesquels les paramètres d’authentification s’appliquent. Les domaines ne peuvent être sauvegardés seuls sans avoir configuré la connexion avec votre fournisseur d'identification (IDP).



Pour configurer la connexion avec votre fournisseur d'identification :



  • SĂ©lectionner le fournisseur d'identitĂ© dans le deuxième menu dĂ©roulant.
  • Remplissez l'





Pour les utilisateurs d'Okta


Dans Single Sign On URL, écrivez l’ACS sous la forme : https://app.holaspirit.com/api/public/organizations/**/social/saml/acs)


Dans Audience URL, vous devez écrire l'URL des métadonnées.


Dans les paramètres de votre application, dans General, SAML settings, assurez-vous d'ajouter les attributs suivants :




Pour MS Azure


Dans le lien "Charger le fichier de métadonnées", collez le contenu du fichier "metadata" téléchargé depuis Holaspirit.


L'URL de réponse (URL Assertion Consumer Service) est : https://app.holaspirit.com/api/public/organizations/**/social/saml/acs

L'URL de connexion (The Sign on URL) est : https://app.holaspirit.com/

L'État de relais (Relay State) est : https://app.holaspirit.com/api/public/organizations/**/social/saml/rs

L'URL de déconnexion (Logout Url) est : https://app.holaspirit.com/api/public/organizations/**/social/saml/sls


N'hésitez pas à lire leur documentation.



Authentification renforcée sur SAML


Chaque fournisseur d’identité possède un mode d’authentification basique, permettant de tester la configuration SAML et un mode renforcé, imposant ce mode d’authentification aux utilisateurs concernés par le(s) domaine(s) email enregistré(s).


Lorsque l'authentification SAML est renforcée, tous les utilisateurs doivent se connecter via l’authentification SAML. Les noms d’utilisateurs et mots de passe existants ou les identifiants Google OAuth ne fonctionnent pas pour se connecter à l'organisation configurée.


📌 Note :


  • Les utilisateurs peuvent se connecter Ă  d’autres organisations Ă  condition de se dĂ©connecter de l'organisation configurĂ©e en SAML et utiliser la mĂ©thode d’authentification qui convient.
  • Les autres utilisateurs utilisant un autre domaine pourront continuer Ă  s’identifier sur la plateforme en utilisant un email et mot de passe ou l’authentification Google.


Cette fonctionnalité garantit que tous les utilisateurs ayant accès à Holaspirit utilisent des identifiants valides du fournisseur d’identité ou service d’annuaire de votre entreprise pour se connecter à votre organisation sur Holaspirit.


Conséquences de l’authentification renforcée sur SAML


  • Pour une question de sĂ©curitĂ©, les utilisateurs concernĂ©s par l’authentification ne pourront pas modifier leur adresse email.
  • Si l’authentification renforcĂ©e est activĂ©e pour SAML, l’utilisateur est redirigĂ© vers la page portail du fournisseur d’identitĂ© lorsqu’il essaie de se connecter via un identifiant et un mot de passe ou Ă  la validation du formulaire de rappel de mot de passe.



Provisionnement de comptes utilisateurs via la connexion SAML


Grâce au provisionnement, chaque première connexion d’un nouvel utilisateur entraîne la création d’un compte Holaspirit. Ainsi, les administrateurs n’ont plus à créer manuellement de comptes individuels.


Lorsque de nouveaux utilisateurs visitent Holaspirit pour la première fois :


  • Ils se connectent avec leurs adresses e-mail contenant le domaine de l’entreprise, par exemple @holaspirit.com.
  • La page de connexion du fournisseur d'identitĂ© apparaĂ®t.
  • Ils sont redirigĂ©s vers la page d'accueil d’Holaspirit.


Si le nombre de licences est insuffisant dans l’abonnement, alors l'utilisateur sera ajouté en tant que membre inactif dans l’organisation. Un administrateur de la plateforme peut modifier le privilège de l'utilisateur par la suite.

Mis Ă  jour le : 21/03/2025