👉 L'authentification SAML est incluse dans les plan Scale et Enterprise.
En configurant SAML (Security Assertion Markup Language) pour votre organisation sur Holaspirit, vos collaborateurs et vous-même pourrez vous connecter à Holaspirit à l’aide des identifiants stockés dans Active Directory, LDAP ou tout autre magasin d’identités de votre organisation configuré avec un fournisseur d’identité SAML.
Seul un administrateur ou propriétaire de l’organisation peut gérer ces paramètres.
Avant de commencer
Voici ce que vous devez faire avant de configurer l'authentification unique SAML.
Assurez-vous que vous êtes un administrateur d'une organisation Holaspirit.
La configuration est nécessaire dans les deux systèmes (Holaspirit et votre IdP).
Available identity providers
Active Directory Federation Services (ADFS)
Auth0
Microsoft Azure Active Directory
Google Cloud Identity
Google Workspace
Okta
OneLogin
Ping Identity
Ou tout autre fournisseur qui suit la spécification SAML 2.0
Attributs SAML disponibles
Lorsque vous configurez votre fournisseur d'identité, il s'agit des attributs SAML que vous utilisez :
Instructions | SAML Attribute | Map to your identity provider |
Obligatoire | NameID | Email de l'utilisateur |
Autres attributs
Dans la configuration de votre IdP vous aurez une section "Attribute Mappings", qui indiquera quels champs doivent être envoyés à Holaspirit.
Voici la liste des champs que nous pouvons sauvegarder sur Holaspirit :
Activez le SAML pour votre organisation sur votre Holaspirit
Pour activer l'authentification SAML, veuillez suivre les étapes suivantes :
Cliquez sur l'icône de votre profil en bas du menu de navigation à gauche
Cliquez sur Administration
Dans la rubrique Paramètres, cliquez sur Authentification
Basculez l'interrupteur sur le côté droit pour activer le SAML
Configurer SAML
Chaque fournisseur d’identité fonctionne obligatoirement avec un ou plusieurs domaines enregistrés.
Dans la première section, ajouter les noms de domaines pour lesquels les paramètres d’authentification s’appliquent. Les domaines ne peuvent être sauvegardés seuls sans avoir configuré la connexion avec votre fournisseur d'identification (IDP).
Pour configurer la connexion avec votre fournisseur d'identification :
Sélectionner le fournisseur d'identité dans le deuxième menu déroulant.
Remplissez l'
URL de l'émetteur (aka - SAML Entity ID), exemple : https://sts.windows.net/636x24xx-xx22-4xx4-91x5-1621515278xx/
Endpoint SSO (où vous allez pour vous connecter, aka - SAML Single Sign-On Service URL), exemple : https://sts.windows.net/636x24xx-xx22-4xx4-91x5-1621515278xx/saml2
Endpoint SLO (l'URL lorsque vous vous déconnectez), exemple : https://sts.windows.net/636x24xx-xx22-4xx4-91x5-1621515278xx/saml2
Certificat (fourni par votre IDP, il doit être au format PEM, comme dans l'image ci-dessous).
Cliquez sur Sauvegarder
Pour les utilisateurs d'Okta
Dans Single Sign On URL, écrivez l’ACS sous la forme : https://app.holaspirit.com/api/public/organizations/********/social/saml/acs)
Dans Audience URL, vous devez écrire l'URL des métadonnées.
Dans les paramètres de votre application, dans General, SAML settings, assurez-vous d'ajouter les attributs suivants :
Pour MS Azure
Dans le lien "Charger le fichier de métadonnées", collez le contenu du fichier "metadata" téléchargé depuis Holaspirit.
L'URL de réponse (URL Assertion Consumer Service) est : https://app.holaspirit.com/api/public/organizations/********/social/saml/acs
L'URL de connexion (The Sign on URL) est : https://app.holaspirit.com/
L'État de relais (Relay State) est : https://app.holaspirit.com/api/public/organizations/********/social/saml/rs
L'URL de déconnexion (Logout Url) est : https://app.holaspirit.com/api/public/organizations/********/social/saml/sls
N'hésitez pas à lire leur documentation.
Authentification renforcée sur SAML
Chaque fournisseur d’identité possède un mode d’authentification basique, permettant de tester la configuration SAML et un mode renforcé, imposant ce mode d’authentification aux utilisateurs concernés par le(s) domaine(s) email enregistré(s).
Lorsque l'authentification SAML est renforcée, tous les utilisateurs doivent se connecter via l’authentification SAML. Les noms d’utilisateurs et mots de passe existants ou les identifiants Google OAuth ne fonctionnent pas pour se connecter à l'organisation configurée.
📌 Note :
Les utilisateurs peuvent se connecter à d’autres organisations à condition de se déconnecter de l'organisation configurée en SAML et utiliser la méthode d’authentification qui convient.
Les autres utilisateurs utilisant un autre domaine pourront continuer à s’identifier sur la plateforme en utilisant un email et mot de passe ou l’authentification Google.
Cette fonctionnalité garantit que tous les utilisateurs ayant accès à Holaspirit utilisent des identifiants valides du fournisseur d’identité ou service d’annuaire de votre entreprise pour se connecter à votre organisation sur Holaspirit.
Conséquences de l’authentification renforcée sur SAML
Pour une question de sécurité, les utilisateurs concernés par l’authentification ne pourront pas modifier leur adresse email.
Si l’authentification renforcée est activée pour SAML, l’utilisateur est redirigé vers la page portail du fournisseur d’identité lorsqu’il essaie de se connecter via un identifiant et un mot de passe ou à la validation du formulaire de rappel de mot de passe.
Provisionnement de comptes utilisateurs via la connexion SAML
Grâce au provisionnement, chaque première connexion d’un nouvel utilisateur entraîne la création d’un compte Holaspirit. Ainsi, les administrateurs n’ont plus à créer manuellement de comptes individuels.
Lorsque de nouveaux utilisateurs visitent Holaspirit pour la première fois :
Ils se connectent avec leurs adresses e-mail contenant le domaine de l’entreprise, par exemple @holaspirit.com.
La page de connexion du fournisseur d'identité apparaît.
Ils sont redirigés vers la page d'accueil d’Holaspirit.
Si le nombre de licences est insuffisant dans l’abonnement, alors l'utilisateur sera ajouté en tant que membre inactif dans l’organisation. Un administrateur de la plateforme peut modifier le privilège de l'utilisateur par la suite.