Comment configurer l'authentification SAML ?
En configurant SAML (Security Assertion Markup Language) pour votre organisation sur Holaspirit, vos collaborateurs et vous-même pourrez vous connecter à Holaspirit à l’aide des identifiants stockés dans Active Directory, LDAP ou tout autre magasin d’identités de votre organisation configuré avec un fournisseur d’identité SAML.
Qui peut configurer l'authentification SAML ?
Seuls les administrateurs de l’organisation peut gérer les paramètres SAML.
Avant de commencer
Voici ce que vous devez faire avant de configurer l'authentification unique SAML.
- Assurez-vous que vous êtes un administrateur d'une organisation Holaspirit.
- La configuration est nécessaire dans les deux systèmes (Holaspirit et votre IdP).
Available identity providers
- Active Directory Federation Services (ADFS)
- Auth0
- Microsoft Azure Active Directory
- Google Cloud Identity
- Google Workspace
- Okta
- OneLogin
- Ping Identity
- Ou tout autre fournisseur qui suit la spécification SAML 2.0
Attributs SAML disponibles
Lorsque vous configurez votre fournisseur d'identité, il s'agit des attributs SAML que vous utilisez :
Instructions | SAML Attribute | Map to your identity provider |
|---|---|---|
Obligatoire | NameID | Email de l'utilisateur |
Autres attributs
Dans la configuration de votre IdP vous aurez une section "Attribute Mappings", qui indiquera quels champs doivent être envoyés à Holaspirit.
Voici la liste des champs que nous pouvons sauvegarder sur Holaspirit :
Instructions | SAML Attribute | Vales |
|---|---|---|
Optionnel | privilege |
Activez le SAML pour votre organisation sur votre Holaspirit
Pour activer l'authentification SAML, veuillez suivre les étapes suivantes :
- Cliquez sur l'icône de votre profil en bas du menu de navigation à gauche
- Cliquez sur Administration
- Dans la rubrique Paramètres, cliquez sur Authentification
- Basculez l'interrupteur sur le côté droit pour activer le SAML
Configurer SAML
Chaque fournisseur d’identité fonctionne obligatoirement avec un ou plusieurs domaines enregistrés.
Dans la première section, ajouter les noms de domaines pour lesquels les paramètres d’authentification s’appliquent. Les domaines ne peuvent être sauvegardés seuls sans avoir configuré la connexion avec votre fournisseur d'identification (IDP).
Pour configurer la connexion avec votre fournisseur d'identification :
- Sélectionner le fournisseur d'identité dans le deuxième menu déroulant.
- URL de l'émetteur (aka - SAML Entity ID), exemple : https://sts.windows.net/636x24xx-xx22-4xx4-91x5-1621515278xx/
- Endpoint SSO (où vous allez pour vous connecter, aka - SAML Single Sign-On Service URL), exemple : https://sts.windows.net/636x24xx-xx22-4xx4-91x5-1621515278xx/saml2
- Endpoint SLO (l'URL lorsque vous vous déconnectez), exemple : https://sts.windows.net/636x24xx-xx22-4xx4-91x5-1621515278xx/saml2
- Certificat (fourni par votre IDP, il doit être au format PEM, comme dans l'image ci-dessous).
- Cliquez sur Sauvegarder
Pour les utilisateurs d'Okta
Dans Single Sign On URL, écrivez l’ACS sous la forme : https://app.holaspirit.com/api/public/organizations/**/social/saml/acs)
Dans Audience URL, vous devez écrire l'URL des métadonnées.
Dans les paramètres de votre application, dans General, SAML settings, assurez-vous d'ajouter les attributs suivants :
Authentification renforcée sur SAML
Chaque fournisseur d’identité possède un mode d’authentification basique, permettant de tester la configuration SAML et un mode renforcé, imposant ce mode d’authentification aux utilisateurs concernés par le(s) domaine(s) email enregistré(s).
Lorsque l'authentification SAML est renforcée, tous les utilisateurs doivent se connecter via l’authentification SAML. Les noms d’utilisateurs et mots de passe existants ou les identifiants Google OAuth ne fonctionnent pas pour se connecter à l'organisation configurée.
📌 Note :
- Les utilisateurs peuvent se connecter à d’autres organisations à condition de se déconnecter de l'organisation configurée en SAML et utiliser la méthode d’authentification qui convient.
- Les autres utilisateurs utilisant un autre domaine pourront continuer à s’identifier sur la plateforme en utilisant un email et mot de passe ou l’authentification Google.
Cette fonctionnalité garantit que tous les utilisateurs ayant accès à Holaspirit utilisent des identifiants valides du fournisseur d’identité ou service d’annuaire de votre entreprise pour se connecter à votre organisation sur Holaspirit.
Conséquences de l’authentification renforcée sur SAML
- Pour une question de sécurité, les utilisateurs concernés par l’authentification ne pourront pas modifier leur adresse email.
- Si l’authentification renforcée est activée pour SAML, l’utilisateur est redirigé vers la page portail du fournisseur d’identité lorsqu’il essaie de se connecter via un identifiant et un mot de passe ou à la validation du formulaire de rappel de mot de passe.
Provisionnement de comptes utilisateurs via la connexion SAML
Grâce au provisionnement, chaque première connexion d’un nouvel utilisateur entraîne la création d’un compte Holaspirit. Ainsi, les administrateurs n’ont plus à créer manuellement de comptes individuels.
Lorsque de nouveaux utilisateurs visitent Holaspirit pour la première fois :
- Ils se connectent avec leurs adresses e-mail contenant le domaine de l’entreprise, par exemple @holaspirit.com.
- La page de connexion du fournisseur d'identité apparaît.
- Ils sont redirigés vers la page d'accueil d’Holaspirit.
Si le nombre de licences est insuffisant dans l’abonnement, alors l'utilisateur sera ajouté en tant que membre inactif dans l’organisation. Un administrateur de la plateforme peut modifier le privilège de l'utilisateur par la suite.
Mis à jour le : 26/08/2025