Pour vous connecter à Semji en toute sécurité
Pourquoi utiliser le SSO via SAML ?
Certaines entreprises requièrent pour leurs collaborateurs une authentification unique et sécurisée via un mécanisme de SSO SAML sur les différents outils et plateforme web qu’ils utilisent. Ce mécanisme permet de mieux sécuriser les accès des collaborateurs à leurs outils en ligne, et de centraliser la gestion des utilisateurs.
Qu’est-ce que le SSO via SAML ?
SSO (Single Sign-On) permet à un utilisateur qui possède un identifiant et mot de passe sur une plateforme dédiée de s’authentifier sur plusieurs autres applications ou sites Internet en utilisant ces mêmes identifiant et mot de passe. Ces applications ou sites tiers n’ont accès qu’à une petite partie des informations et données personnelles de l’utilisateur.
Exemple : je me connecte à une application ou un site e-commerce au moyen de mes accès à mon compte Google ou Facebook.
SAML (Security Assertion Markup Language) est un standard créé pour décrire et échanger des informations sécurisées.
Dans cet échange d’informations via SAML, on distingue trois parties :
- les utilisateurs
- les fournisseurs d'entité
- les fournisseurs de service
Le fournisseur d'identité (ou Identity Provider) gère au sein de votre entreprise ou de votre organisation l'identification de vos utilisateurs. C’est lui qui choisit les informations qui sont transmises ou non au fournisseur de service.
Le fournisseur de service (ou Service Provider) est l’éditeur du service fourni à l’utilisateur, par exemple l’application ou le site web. Dans votre cas, il s'agit de Semji.
Qui peut configurer le SSO d'une organisation ?
Dans Semji, l'utilisateur ayant le rôle OWNER d’une organisation peut activer et configurer le SSO. En savoir plus sur les rôles des utilisateurs
N'hésitez pas à contacter votre Customer Success Manager pour modifier votre plan et pouvoir en bénéficier.
Où configurer le SSO d’une organisation ?
En tant qu’utilisateur OWNER connecté sur l’application Semji :
- Cliquez sur votre profil, puis cliquez sur les Settings
- Sélectionnez Security pour accéder à l’écran de configuration du SSO SAML.
Comment configurer le SSO SAML ?
Semji se positionne donc en tant que fournisseur de service SAML.
Semji est configuré pour que seuls les utilisateurs ayant une adresse email appartenant aux domaines liés à votre organisation puissent utiliser l’authentification SSO SAML.
Par exemple, si votre organisation est associée au domaine monsite.com :
- l’adresse utilisateur@monsite.com pourra se connecter
- l’adresse utilisateur@sous-domaine.monsite.com ne pourra pas se connecter en SSO
- l’adresse utilisateur@mon-autre-site.com ne pourra pas se connecter en SSO
Si vous souhaitez ajouter un nouveau domaine au sein de votre organisation, merci de contacter le support.
1. Configurer votre fournisseur d’identité
Vous devez configurer votre fournisseur d'identité SAML pour qu'il permette l'authentification de vos utilisateurs sur l'application Semji.
Vous devez d’abord configurer la manière dont vous allez autoriser la connexion SSO via SAML à Semji :
- Off : seule l'authentification classique est autorisée
- Optional : vos utilisateurs pourront choisir soit une authentification classique soit une authentification via votre fournisseur d'identité SAML
- Required for all members with an organization email address / Mandatory (obligatoire) : vos utilisateurs ne pourront s'authentifier sur Semji que via votre fournisseur d'identité
Même avec une connexion SSO obligatoire, les utilisateurs avec le rôle OWNER sur l'organisation pourront continuer à s'authentifier sur Semji avec leurs identifiants classiques dédiés. Ils seront notamment en capacité d'administrer la configuration SAML.
Ensuite, Semji vous fournit deux informations, requises lors de la configuration de votre fournisseur d'identité :
- l'URL d'ACS du fournisseur de service (Semji ACS URL),
- l'identifiant d'entité du fournisseur de service (Semji Entity Identifier).
IMPORTANT : Lors de la configuration de votre fournisseur, vous devez régler celui-ci pour qu'il utilise l'adresse email de vos utilisateurs en tant qu'identifiant principal (Name Identifier).
Certains fournisseurs d’identité nécessitent que le fournisseur de service signe ses requêtes lors des demandes d’authentification. Si votre fournisseur d’identité requiert cette signature, vous pouvez activer la signature des requêtes (Enable Service Provider requests signature) et copier la clé publique du fournisseur de service (Semji Entity Provider X.509 certificate) dans la configuration de votre fournisseur d’identité.
2. Configurer Semji
Après configuration de votre fournisseur d'identité, vous devez saisir dans Semji les trois informations suivantes :
- l’URL de la page d’authentification du fournisseur d’identité (Sign-in page URL),
- l'identifiant d'entité du fournisseur d’identité (Entity Identifier),
- la clé publique du certificat du fournisseur d’identité (X.509 certificate).
Comment se connecter à Semji via mon SSO SAML ?
- Allez sur la page d’identification de Semji (https://app.semji.com/login)
- Cliquez sur Sign In with SAML SSO, sous le bouton “Sign in”
3. Saisissez votre adresse email, puis cliquez sur Sign in. Semji vérifie que le domaine lié à votre email est bien configuré pour utiliser une authentification SAML.
4. Si le domaine de votre entreprise ou organisation est bien configuré, vous pouvez vous authentifier grâce à votre fournisseur d’identité. Si vous n’êtes pas encore connecté à ce fournisseur d’identité, un écran apparaît et vous demande de saisir vos identifiants et mots de passe. Vous devez ici saisir ceux de votre fournisseur d’identité, et non vos identifiants Semji classiques. Une fois saisis, votre authentification est effectuée sur Semji et vous accédez à votre tableau de bord.
Même authentifiés avec votre fournisseur d'identité, il faut que les utilisateurs aient un compte actif créé sur Semji pour pouvoir accéder à l'application.