1. Help Center Semji
  2. Général
  3. Connexions et intégrations Semji

Comment utiliser la connexion SSO via SAML ?

Pour vous connecter à Semji en toute sécurité

 

Free trial

Custom Legacy

Basic

Business

Unlimited 

Qu’est-ce que le SSO via SAML ?

SSO (Single Sign-On) permet à un utilisateur qui possède un identifiant et mot de passe sur une plateforme dédiée de s’authentifier sur plusieurs autres applications ou sites Internet en utilisant ces mêmes identifiant et mot de passe. Ces applications ou ces sites tiers n’ont accès qu’à une petite partie des informations et des données personnelles de l’utilisateur.

Exemple : je me connecte à une application ou un site e-commerce au moyen de mes accès à mon compte Google ou Facebook.

SAML (Security Assertion Markup Language) est un standard créé pour décrire et échanger des informations sécurisées.

Dans cet échange d’informations via SAML, on distingue trois parties :

  • les utilisateurs
  • les fournisseurs d'entité
  • les fournisseurs de service

Le fournisseur d'identité (ou Identity Provider) gère au sein de votre entreprise ou de votre organisation l'identification de vos utilisateurs. C’est lui qui choisit les informations qui sont transmises ou non au fournisseur de service.

Le fournisseur de service (ou Service Provider) est l’éditeur du service fourni à l’utilisateur, par exemple l’application ou le site web. Dans votre cas, il s'agit de Semji.

Pourquoi utiliser le SSO via SAML ?

Certaines entreprises requièrent pour leurs collaborateurs une authentification unique et sécurisée via un mécanisme de SSO SAML sur les différents outils et plateforme web qu’ils utilisent. Ce mécanisme permet de mieux sécuriser les accès des collaborateurs à leurs outils en ligne, et de centraliser la gestion des utilisateurs.

Qui peut configurer le SSO d'une organisation ?


Dans Semji, l'utilisateur ayant le rôle d'Admin d’une Organisation peut activer et configurer le SSO. En savoir plus sur les rôles des utilisateurs

Comment configurer dans Semji une connexion SSO via SAML ? 

En tant qu’utilisateur Admin connectez-vous sur l’application Semji :

  • Cliquez sur votre profil, puis cliquez sur les Paramètres

paramètres app

  • Sélectionnez Sécurité dans les paramètres de l'Organisation pour accéder à l’écran de configuration du SSO SAML.

sécurité orga

Semji se positionne donc en tant que fournisseur de service SAML.

Semji est configuré pour que seuls les utilisateurs ayant une adresse email appartenant aux domaines liés à votre organisation puissent utiliser l’authentification SSO SAML.

Par exemple, si votre organisation est associée au domaine monsite.com :

  • l’adresse utilisateur@monsite.com pourra se connecter
  • l’adresse utilisateur@sous-domaine.monsite.com ne pourra pas se connecter en SSO
  • l’adresse utilisateur@mon-autre-site.com ne pourra pas se connecter en SSO

Si vous souhaitez ajouter un nouveau domaine au sein de votre organisation, merci de contacter le support.

1. Configurer votre fournisseur d’identité

Vous devez configurer votre fournisseur d'identité SAML pour qu'il permette l'authentification de vos utilisateurs sur l'application Semji.

Vous devez d’abord configurer la manière dont vous allez autoriser la connexion SSO via SAML à Semji :

  • Off : seule l'authentification classique est autorisée
  • Optional : vos utilisateurs pourront choisir soit une authentification classique soit une authentification via votre fournisseur d'identité SAML
  • Required for all members with an organization email address / Mandatory (obligatoire) : vos utilisateurs ne pourront s'authentifier sur Semji que via votre fournisseur d'identité

option saml

Même avec une connexion SSO obligatoire, les utilisateurs avec le rôle Admin sur l'organisation pourront continuer à s'authentifier sur Semji avec leurs identifiants classiques dédiés. Ils seront notamment en capacité d'administrer la configuration SAML.

Ensuite, Semji vous fournit deux informations, requises lors de la configuration de votre fournisseur d'identité :

  • l'URL d'ACS du fournisseur de service (URL d'ACS du fournisseur de service Semji),
  • l'identifiant d'entité du fournisseur de service (Identifiant de l'entité Semji).

fournisseurs de service

IMPORTANT : Lors de la configuration de votre fournisseur, vous devez régler celui-ci pour qu'il utilise l'adresse email de vos utilisateurs en tant qu'identifiant principal (Name Identifier).

Certains fournisseurs d’identité nécessitent que le fournisseur de service signé ses requêtes lors des demandes d’authentification. Si votre fournisseur d’identité requiert cette signature, vous pouvez activer la signature des requêtes (Autoriser la signature des requêtes par le fournisseur d'identité) et copier la clé publique du fournisseur de service (Certificat X.509) dans la configuration de votre fournisseur d’identité.

2. Configurer Semji

Après configuration de votre fournisseur d'identité, vous devez saisir dans Semji les trois informations suivantes :

  • l’URL de la page d’authentification du fournisseur d’identité (URL de la page de connexion),
  • l'identifiant d'entité du fournisseur d’identité (Identifiant de l'entité),
  • la clé publique du certificat du fournisseur d’identité (Certificat X.509).

fournisseur didentité
Une fois les éléments complétés, cliquez sur "Enregistrer". La connexion SSO via SAML est désormais disponible. 

Comment se connecter à Semji via mon SSO SAML ?

  1. Allez sur la page d’identification de Semji (https://app.semji.com/login)
  2. Cliquez sur Se connecter avec SSO SAML, sous le bouton “Mot de passe oublié”

connexion SSO SAML

3. Saisissez votre adresse email, puis cliquez sur Identifiez-vous.
Semji vérifie que le domaine lié à votre email est bien configuré pour utiliser une authentification SAML.

connexion SSO

4. Si le domaine de votre entreprise ou organisation est bien configuré, vous pouvez vous authentifier grâce à votre fournisseur d’identité. Si vous n’êtes pas encore connecté à ce fournisseur d’identité, un écran apparaît et vous demande de saisir vos identifiants et mots de passe. Vous devez ici saisir ceux de votre fournisseur d’identité, et non vos identifiants Semji classiques. Une fois saisis, votre authentification est effectuée sur Semji et vous accédez à votre tableau de bord.