Configuration SSO OAuth/OIDC

Scale Plan

Configurez OAuth 2.0 ou OpenID Connect (OIDC) pour l'authentification unique. Une alternative moderne à SAML pour les fournisseurs d'identité cloud-native.

SAML vs OAuth/OIDC

Fonctionnalité	SAML	OAuth/OIDC
Protocole	Basé sur XML	JSON/REST
Format du token	Assertion XML	JWT
Idéal pour	IdPs entreprise	Applications cloud
Complexité de configuration	Plus élevée	Plus faible

Fournisseurs pris en charge

Fournisseur	Protocole
Microsoft Entra ID (Azure AD)	OIDC
Okta	OIDC
Auth0	OIDC
Keycloak	OIDC
Personnalisé	OAuth 2.0 / OIDC

Configuration OAuth/OIDC Zenovay

Redirect URI

Votre fournisseur d'identité aura besoin de cette URI de redirection:

Paramètre	Valeur
Redirect URI / Callback URL	https://auth.zenovay.com/api/sso/oauth/callback

Vous pouvez copier cette valeur (et les équivalents SAML) directement depuis Paramètres → Sécurité → SSO, sous Détails du fournisseur de services.

Scopes requis

Zenovay nécessite ces scopes:

openid
email
profile

Choix entre OAuth 2.0 et OpenID Connect

Fonctionnalité	OAuth 2.0	OpenID Connect
Vérification du jeton d'identité	Non applicable	Automatique via JWKS
Champs requis	Client ID, Client Secret, Issuer, Authorization URL, Token URL, Userinfo URL	Client ID, Client Secret, Issuer, Metadata URL
Idéal pour	IdPs sans support OIDC	IdPs modernes (Okta, Entra ID, Auth0, Keycloak)

Avec OIDC, vous fournissez l'URL de métadonnées (le document .well-known/openid-configuration de votre IdP) et Zenovay lit les points de terminaison d'autorisation, de jeton, d'userinfo et JWKS à partir de celui-ci. Avec OAuth 2.0 pur, vous entrez chaque URL de point de terminaison vous-même.

Configuration Microsoft Entra ID OIDC

Étape 1: Enregistrer l'application

1. Connectez-vous au centre d'administration Microsoft Entra
2. Allez à Identité → Applications → Enregistrements d'application
3. Cliquez sur Nouvel enregistrement
4. Configurez:

Champ Entra ID	Valeur
Nom	Zenovay
Types de compte pris en charge	Comptes dans ce répertoire d'organisation uniquement
Redirect URI	Web — https://auth.zenovay.com/api/sso/oauth/callback

5. Cliquez sur Enregistrer

Étape 2: Créer le secret client

1. Allez à Certificats & secrets
2. Cliquez sur Nouveau secret client
3. Définissez la description et l'expiration
4. Copiez la valeur du secret immédiatement (elle ne sera pas réaffichée)

Étape 3: Noter les détails de l'application

Enregistrez ces valeurs:

• ID d'application (ID client) — à partir de la page Aperçu
• Client Secret — à partir de l'étape 2
• ID du tenant — à partir de la page Aperçu

Étape 4: Permissions API

1. Allez à Permissions API
2. Vérifiez que Microsoft Graph → User.Read (déléguée) est répertoriée
3. Si non, cliquez sur Ajouter une permission → Microsoft Graph → Permissions déléguées → User.Read

Étape 5: Configurer dans Zenovay

1. Dans Zenovay, allez à Paramètres → Sécurité → SSO
2. Cliquez sur Ajouter un fournisseur et choisissez OpenID Connect
3. Entrez:
   • Nom du fournisseur: par exemple, "Microsoft Entra ID"
   • Client ID: l'ID d'application (ID client) de l'étape 3
   • Client Secret: la valeur du secret de l'étape 2
   • Issuer: https://login.microsoftonline.com/{votre-id-tenant}/v2.0
   • Metadata URL: https://login.microsoftonline.com/{votre-id-tenant}/v2.0/.well-known/openid-configuration
4. Cliquez sur Créer
5. Ajoutez et vérifiez votre domaine de courrier électronique
6. Testez la connexion

Configuration Okta OIDC

Étape 1: Créer l'application

1. Allez à la console d'administration Okta → Applications
2. Cliquez sur Créer une intégration d'application
3. Sélectionnez OIDC - OpenID Connect
4. Sélectionnez Application Web
5. Cliquez sur Suivant

Étape 2: Configurer l'application

Champ Okta	Valeur
Nom de l'intégration d'application	Zenovay
Type d'autorisation	Authorization Code
URIs de redirection de connexion	https://auth.zenovay.com/api/sso/oauth/callback

Étape 3: Assigner les utilisateurs

1. Allez à l'onglet Assignments
2. Assignez les utilisateurs ou groupes
3. Enregistrer

Étape 4: Obtenir les identifiants

À partir de l'onglet Général, notez:

• Client ID
• Client Secret

Étape 5: Obtenir l'Issuer et les URLs de métadonnées

1. Allez à Sécurité → API dans la console d'administration Okta
2. Trouvez votre serveur d'autorisation (généralement "default")
3. L'Issuer URI ressemblera à: https://votre-org.okta.com/oauth2/default
4. L'URL de métadonnées correspondante est l'URI d'émetteur plus /.well-known/openid-configuration, par exemple: https://votre-org.okta.com/oauth2/default/.well-known/openid-configuration

Étape 6: Configurer dans Zenovay

1. Allez à Paramètres → Sécurité → SSO
2. Cliquez sur Ajouter un fournisseur et choisissez OpenID Connect
3. Entrez:
   • Nom du fournisseur: par exemple, "Okta"
   • Client ID: de l'étape 4
   • Client Secret: de l'étape 4
   • Issuer: l'Issuer URI de l'étape 5
   • Metadata URL: l'URL de découverte de l'étape 5
4. Cliquez sur Créer
5. Ajoutez et vérifiez votre domaine de courrier électronique
6. Testez la connexion

Configuration Auth0

Étape 1: Créer l'application

1. Allez au tableau de bord Auth0
2. Allez à Applications → Créer une application
3. Choisissez Applications Web ordinaires
4. Cliquez sur Créer

Étape 2: Configurer les paramètres

Dans l'onglet Paramètres:

Champ Auth0	Valeur
URLs de rappel autorisées	https://auth.zenovay.com/api/sso/oauth/callback

Cliquez sur Enregistrer les modifications.

Étape 3: Obtenir les identifiants

À partir de l'onglet Paramètres, notez:

• Domaine (par exemple, votre-tenant.us.auth0.com)
• Client ID
• Client Secret

Étape 4: Configurer dans Zenovay

1. Allez à Paramètres → Sécurité → SSO
2. Cliquez sur Ajouter un fournisseur et choisissez OpenID Connect
3. Entrez:
   • Nom du fournisseur: par exemple, "Auth0"
   • Client ID: de l'étape 3
   • Client Secret: de l'étape 3
   • Issuer: https://votre-tenant.us.auth0.com/ (inclure la barre oblique finale)
   • Metadata URL: https://votre-tenant.us.auth0.com/.well-known/openid-configuration
4. Cliquez sur Créer
5. Ajoutez et vérifiez votre domaine de courrier électronique
6. Testez la connexion

Google Workspace

Si vous avez besoin spécifiquement d'OIDC avec Google, vous pouvez créer des identifiants OAuth dans la Google Cloud Console:

1. Allez à Google Cloud Console → APIs & Services → Credentials
2. Cliquez sur Créer des identifiants → ID client OAuth
3. Sélectionnez Application Web et entrez https://auth.zenovay.com/api/sso/oauth/callback comme URI de redirection
4. Notez l'ID Client et le Secret Client
5. Dans Zenovay, ajoutez un fournisseur OpenID Connect avec Issuer https://accounts.google.com et Metadata URL https://accounts.google.com/.well-known/openid-configuration

Fournisseur OIDC personnalisé

Si votre fournisseur d'identité prend en charge la découverte OpenID Connect:

1. Allez à Paramètres → Sécurité → SSO
2. Cliquez sur Ajouter un fournisseur et choisissez OpenID Connect
3. Entrez:
   • Nom du fournisseur: le nom de votre fournisseur
   • Client ID: de votre IdP
   • Client Secret: de votre IdP
   • Issuer: l'URL de l'émetteur de votre IdP (par exemple, https://votre-idp.com)
   • Metadata URL: le document de découverte de votre IdP, généralement l'URL de l'émetteur plus /.well-known/openid-configuration
4. Cliquez sur Créer

Zenovay lira automatiquement les points de terminaison d'autorisation, de jeton, d'userinfo et JWKS de votre IdP à partir du document de métadonnées, vous n'avez donc pas à les saisir individuellement.

Fournisseur OAuth 2.0 personnalisé

Si votre fournisseur d'identité ne prend pas en charge la découverte automatique OIDC, utilisez OAuth 2.0 avec configuration manuelle des points de terminaison:

1. Allez à Paramètres → Sécurité → SSO
2. Cliquez sur Ajouter un fournisseur et choisissez OAuth 2.0
3. Entrez:
   • Nom du fournisseur: le nom de votre fournisseur
   • Client ID: de votre IdP
   • Client Secret: de votre IdP
   • Authorization URL: le point de terminaison d'autorisation de votre IdP
   • Token URL: le point de terminaison de jeton de votre IdP
   • Userinfo URL: le point de terminaison userinfo de votre IdP
4. Cliquez sur Créer

Finalisation de la configuration

Vérifier le domaine

Après avoir enregistré votre fournisseur SSO, reliez les domaines de courrier électronique avec lesquels votre équipe se connecte afin que Zenovay sache de les acheminer via SSO:

1. Dans la section Vérification du domaine, entrez votre domaine de courrier électronique (par exemple, societe.com) et cliquez sur Vérifier le domaine
2. Zenovay retourne un enregistrement TXT DNS (hôte et valeur) — ajoutez-le auprès de votre fournisseur DNS
3. Cliquez sur Vérifier DNS une fois l'enregistrement propagé
4. Une fois vérifié, les utilisateurs avec ce domaine de courrier électronique seront dirigés vers SSO

Tester la connexion

Vous pouvez effectuer une vérification rapide avant d'activer le fournisseur:

1. Ouvrez le menu d'actions du fournisseur (le bouton ⋯ dans la ligne du fournisseur)
2. Cliquez sur Tester la connexion
3. Un toast de succès confirme que Zenovay peut atteindre votre IdP avec les identifiants configurés

Vous pouvez également confirmer le flux de bout en bout manuellement:

1. Ouvrez une fenêtre de navigateur incognito/privé
2. Allez à auth.zenovay.com
3. Choisissez Se connecter avec SSO et entrez une adresse e-mail de votre domaine vérifié
4. Authentifiez-vous auprès de votre IdP
5. Vérifiez que vous revenez au tableau de bord Zenovay

Activer et appliquer SSO

1. Sur la ligne du fournisseur, basculez l'interrupteur activé pour activer le fournisseur
2. Pour exiger SSO pour tous les utilisateurs dans l'espace de travail, ouvrez le menu d'actions du fournisseur (⋯) et choisissez Appliquer SSO, puis confirmez

Mappage des attributs utilisateur

Claims standard

Claim OIDC	Champ Zenovay
email	Adresse e-mail
given_name	Prénom
family_name	Nom de famille
sub	Identifiant unique

Provisionnement juste-à-temps

Les nouveaux utilisateurs sont créés automatiquement lors de leur première connexion SSO réussie:

• Création automatique de compte à partir du domaine de courrier électronique vérifié
• Aucune invitation requise

Fonctionnalités de sécurité

Zenovay applique automatiquement ces mesures de sécurité pour OAuth/OIDC:

• PKCE (Proof Key for Code Exchange) — protège l'échange du code d'autorisation
• Paramètre d'état — prévient les attaques CSRF
• Validation du Nonce (OIDC) — prévient les attaques par rejeu de jeton
• Vérification du jeton d'identité (OIDC) — valide les jetons à l'aide du point de terminaison JWKS de l'IdP

Dépannage

Erreurs courantes

Erreur	Cause	Solution
Invalid redirect_uri	Discordance d'URL	Assurez-vous que l'URI de redirection est exactement https://auth.zenovay.com/api/sso/oauth/callback
Invalid client_id	Identifiants incorrects	Vérifiez l'ID client dans votre tableau de bord IdP
Invalid grant	Code expiré	Réessayez — les codes d'autorisation sont éphémères
Token verification failed	Échec de signature	Vérifiez que le point de terminaison JWKS est accessible
State parameter mismatch	Problème de session	Effacez les cookies et réessayez dans une fenêtre incognito
OIDC discovery failed	Problème d'URL de métadonnées	Ouvrez {metadata-url} dans votre navigateur et confirmez qu'elle retourne le document .well-known/openid-configuration

Problèmes de certificat

Si JWKS échoue:

• Vérifiez que l'URL JWKS est accessible
• Vérifiez que le certificat SSL est valide
• Vérifiez les blocages de pare-feu

Considérations de sécurité

Gestion des secrets

• Stockez le secret client de manière sécurisée
• Effectuez une rotation des secrets avant leur expiration
• N'exposez jamais les secrets dans le code côté client

Limitations des scopes

Demandez les scopes minimaux:

• Seulement openid, email, profile
• Ne demandez pas d'accès inutile

Validation de l'URI de redirection

• Utilisez la validation d'une correspondance exacte dans votre IdP
• N'utilisez pas de caractères génériques
• HTTPS requis

Étapes suivantes

• Appliquer MFA pour tous les utilisateurs
• Configurer la journalisation d'audit
• Politiques de mot de passe personnalisées