🔑Authentification unique (SSO)

Le service SSO (Single Sign-On) de Ksaar permet aux utilisateurs finaux de se connecter à l'application en utilisant un système d'authentification unique externe.

La mise en place du SSO dans votre application Ksaar doit être configurée spécifiquement pour chaque persona, car il est possible que différents groupes d’utilisateurs nécessitent des méthodes d’authentification distinctes.

Cette fonctionnalité est disponible à partir du plan Enterprise.

✅ Activation du SSO

Pour mettre en place la connexion SSO pour un persona spécifique, voici les étapes à suivre :

1️⃣ Accédez aux paramètres du Persona depuis l'espace personnel, cliquez sur les 3 points à côté du nom du persona puis sur Éditer

2️⃣ Dans les paramètres, ouvrez l’onglet ‘Authentification’

3️⃣ Sélectionnez le type de SSO parmi les options disponibles :

• OIDC - Azure AD

• OIDC - Google

• OIDC - Client personnalisé

• SAML

4️⃣ Pour activer le SSO, cliquez sur le toggle "Activer le SSO"

🛂 Contrôle d'accès avec le SSO

Mode par défaut (toggle désactivé)

Lorsque le SSO est activé, le paramètre Inscrire et inviter les utilisateurs sur Ksaar est désactivé par défaut.

Dans ce mode, toute personne disposant d’un compte valide sur le fournisseur d’identité pourra se connecter automatiquement à l’application, même si son compte est désactivé ou supprimé dans Ksaar. Lors de la première connexion via SSO, un compte utilisateur est créé automatiquement dans Ksaar.

Ce mode facilite l’accès rapide, mais ne limite pas les connexions aux utilisateurs déjà connus de Ksaar. Vous avez tout de même la possibilité, si vous le souhaitez, de rajouter des restrictions dans l'Active Directory en n'autorisant que certains groupes à accéder à l'application. En résumé, avec ce mode, la gestion des utilisateurs est entièrement déléguée à l'Active Directory.

Exemple d’usage : ce mode est particulièrement adapté à une application RH de gestion des congés, où tous les employés doivent avoir accès à l’application sans nécessiter de gestion fine des droits.

Mode restreint (toggle activé)

Lorsque le paramètre Inscrire et inviter les utilisateurs est activé, seuls les utilisateurs préalablement invités dans Ksaar peuvent se connecter via SSO.

Seules les personnes ayant un compte associé sur Ksaar pourront se connecter, même si elles disposent d’un compte actif sur le fournisseur d’identité.

Ce mode permet de restreindre l’accès uniquement aux comptes actifs et autorisés dans Ksaar. Il est utile si vous souhaitez déléguer la gestion des utilisateurs aux administrateurs de l’application, plutôt que de gérer ces droits dans l’Active Directory.

SSO OIDC

1️⃣ URL de redirection : URL fournie par Ksaar à copier dans la configuration de votre application SSO sur votre fournisseur d’identité.

2️⃣ Issuer URL : URL de l’émetteur fournie par votre fournisseur OIDC. (Format fréquent : https://votre-serveur.com/.well-known/openid-configuration )

3️⃣ Client ID : identifiant attribué lors de la création de votre application sur le fournisseur d’identité.

4️⃣ Client Secret : client secret attribué lors de la création de votre application sur le fournisseur d’identité, utilisé pour sécuriser la communication entre votre application et le serveur d’identité.

5️⃣ End Session URL (optionnel) : URL pour terminer la session utilisateur sur le fournisseur d’identité

6️⃣ Clé associée à l’email : nom du champ dans le jeton OIDC contenant l’adresse email de l’utilisateur.

7️⃣ Clé associée au prénom : nom du champ dans le jeton OIDC contenant le prénom de l’utilisateur.

8️⃣ Clé associée au nom : nom du champ dans le jeton OIDC contenant le nom de l’utilisateur.

Les paramètres “Clé associée à …” doivent correspondre exactement au nom du champ présent dans le jeton d’identité OIDC pour que Ksaar puisse les reconnaître et attribuer les informations appropriées aux comptes d’utilisateurs lors de l’authentification SSO. Pour les fournisseurs Google et Azure AD, il n’est pas nécessaire de renseigner ces clés : Ksaar reconnaît automatiquement leur schéma.

Par défaut, Ksaar récupère uniquement les informations de base de l’utilisateur (nom, prénom, email). Pour savoir comment récupérer et intégrer des données supplémentaires depuis le token SSO, consultez la documentation sur la personnalisation du mapping des champs.

SSO SAML

1️⃣ ID d’entité (côté Ksaar) : identifiant unique de votre application fourni par Ksaar, à saisir dans la configuration de votre fournisseur SSO pour établir la connexion SAML.

2️⃣ URL de LACS : URL de consommation des assertions de service (Assertion Consumer Service), c’est l’adresse vers laquelle le fournisseur d’identité envoie les réponses SAML. Elle doit être configurée dans votre fournisseur SSO.

3️⃣ URL d’authentification : adresse à laquelle les demandes d’authentification initiales sont envoyées pour initier la connexion SSO.

4️⃣ ID d’entité (côté SSO) : identifiant unique de votre fournisseur SSO, à saisir dans Ksaar pour que la plateforme puisse reconnaître et accepter ses réponses.

5️⃣ Certificat : certificat public fourni par votre fournisseur SSO, utilisé pour signer les assertions SAML et garantir la sécurité et l’authenticité des échanges avec Ksaar.