L'authentification unique (SSO) est un service d'authentification des sessions et des utilisateurs qui permet à l'utilisateur d'utiliser un ensemble d'informations d'identification (p. ex. nom et mot de passe) pour accéder à plusieurs demandes. Dans le contexte de SurveyMonkey Apply, la mise en œuvre d'une authentification unique permet aux clients de tirer parti de leur cadre d'authentification d'utilisateur existant pour autoriser et prévoir l'accès à un site SM Apply. À la fin de ce document, vous saurez comment configurer une telle intégration à l'aide du protocole SAML.
L’intégration d’une authentification unique comporte 4 éléments clés :
L'utilisateur est un demandeur qui tente de se connecter et d'accéder à SM Apply.
Afin d'améliorer l'expérience utilisateur des utilisateurs externes qui peuvent être invités sur votre site (co-demandeurs, recommandeurs), votre intégration SAML ne sera pas utilisée. Vous éviterez ainsi des problèmes inattendus tels que le fait que vos utilisateurs ne soient pas invités avec une adresse email correspondant aux enregistrements de votre IdP.
Le fournisseur d’identité est une instance de serveur d’authentification unique responsable de l’hébergement et de la validation des informations d’identification du compte de l’utilisateur, ainsi que de la mise en place de l’accès. Elle a plusieurs objectifs principaux :
Le fournisseur de services est le logiciel ou le système, dans ce cas SM Apply, qui établit une relation de confiance avec un IdP et demande la création d’un compte utilisateur à cet IdP. Il est également responsable de la consommation des informations (attributs/métadonnées) qui peuvent être transmises par l’IdP.
Il s'agit du protocole qui facilite l’intégration entre l’IdP et le SP. Il définit la prise de contact (séquence d'événements/de transfert de données) pour l'intégration.
Quel fournisseur d'authentification unique utiliserez-vous ? [SAML, CAS ou OAuth]
Quels groupes d'utilisateurs doivent se connecter via l'authentification unique ? [Demandeurs]
Comment les utilisateurs sont-ils identifiés de façon unique ? (par ex., email, numéro étudiant, identifiant des employés, etc.]
Comment les utilisateurs pourront-ils accéder à Apply ? [Authentification unique initialisée par le SP ou l'IdP]
Quels attributs doivent être passés à Apply ? [Prénom, nom, adresse email, etc.]
SAML : Votre fournisseur d'identité peut-il automatiquement utiliser des métadonnées XML d'Apply ?
L'authentification unique fonctionne en créant une intégration entre un fournisseur d'identité et Apply via le protocole d'authentification unique. La prise de contact transmet les informations clés de l’utilisateur, notamment l’identifiant unique universel. Le rôle principal de l’IdP est de s’assurer que les informations de l’utilisateur sont connues et que les informations de compte fournies sont correctes. Une fois la vérification effectuée, l’utilisateur peut accéder à Apply. Un nouveau compte Apply sera créé pour un utilisateur s'il n'existe pas encore. Si un compte existe déjà pour cet utilisateur, Apply associera le nouvel utilisateur au compte préexistant en utilisant l'adresse email reçue de l'IdP.
L’authentification unique peut être initialisée de deux manières : par le SP et/ou l’IdP.
SAML : Mes affirmations et réponses doivent-elles être signées ?
Pour que les utilisateurs se connectent via SAML, toutes les instances doivent envoyer à Apply des affirmations et des réponses signées depuis le portail d'authentification unique de votre organisation. Cette configuration doit être effectuée dans vos propres paramètres. Nos équipes d'assistance ou d'ingénierie ne sont pas en mesure de modifier ces paramètres en votre nom.
L’authentification unique est « initiée par le fournisseur de services » lorsqu’un utilisateur se rend pour la première fois sur le site SM Apply, clique sur le bouton d’authentification unique et saisit son nom d’utilisateur et son mot de passe. Le processus d’authentification démarre alors, et SM Apply envoie un appel d’authentification à l’IdP.
L'authentification unique « initiée par le fournisseur d'identité » débute lorsqu'un utilisateur se connecte à votre hub principal, et non à SM Apply. L’utilisateur clique sur une option de la page de l’entreprise qui le amène à Apply. Dans ce cas, l’IdP initialise la connexion à SM Apply.
En raison de la nature technique de la mise en œuvre d'une intégration SSO et du nombre de services d'authentification, SM Apply recommande la présence d'un expert technique ayant de l'expérience avec SAML pour faciliter les aspects de configuration du côté client.