Configuration SSO SAML 2.0

Scale Plan

Configurez SAML 2.0 single sign-on pour permettre à votre équipe d'accéder à Zenovay en utilisant le fournisseur d'identité de votre organisation.

Fournisseurs d'identité supportés

Fournisseur	Statut
Okta	Entièrement supporté
Microsoft Entra ID (Azure AD)	Entièrement supporté
OneLogin	Entièrement supporté
Google Workspace	Entièrement supporté
Ping Identity	Entièrement supporté
ADFS	Entièrement supporté
SAML 2.0 personnalisé	Supporté

Prérequis

Avant de commencer :

• Plan Scale ou Enterprise activé
• Accès administrateur à votre fournisseur d'identité
• Accès Propriétaire ou Administrateur à Zenovay
• Domaine de messagerie de votre organisation vérifiée

Informations SAML Zenovay

Détails du fournisseur de services

Vous aurez besoin de ces valeurs lors de la configuration de l'application SAML dans votre fournisseur d'identité. Chaque espace de travail obtient son propre ID d'entité, les valeurs exactes sont affichées dans Zenovay sous Paramètres → Sécurité → SSO dans la section Détails du fournisseur de services. Le format est :

Paramètre	Valeur
ID d'entité du fournisseur de services / URI d'audience	https://auth.zenovay.com/sso/{teamId}
URL ACS (Service de traitement des assertions)	https://auth.zenovay.com/api/sso/saml/callback
URL des métadonnées	https://auth.zenovay.com/api/sso/metadata/{teamId}
Format NameID	urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
Liaison	HTTP-POST

La plupart des fournisseurs d'identité peuvent également importer l'URL des métadonnées ci-dessus pour remplir automatiquement l'ID d'entité et l'URL ACS.

Obtenir vos valeurs

1. Allez à Paramètres → Sécurité → SSO
2. La section Détails du fournisseur de services répertorie votre ID d'entité, l'URL ACS et l'URI de redirection OAuth/OIDC. Utilisez le bouton de copie à côté de chaque valeur.
3. Cliquez sur Ajouter un fournisseur et sélectionnez SAML pour commencer la configuration de votre fournisseur d'identité.

Configuration Okta

Étape 1 : Créer une application Okta

1. Connectez-vous à la console d'administration Okta
2. Allez à Applications → Applications
3. Cliquez sur Create App Integration
4. Sélectionnez SAML 2.0
5. Cliquez sur Next

Étape 2 : Configurer les paramètres SAML

Paramètres généraux :

• Nom de l'application : Zenovay
• Logo de l'application : Charger le logo Zenovay (optionnel)

Paramètres SAML (copiez l'URL d'authentification unique exacte et l'URI d'audience depuis Paramètres → Sécurité → SSO dans Zenovay) :

Champ Okta	Valeur
URL d'authentification unique	https://auth.zenovay.com/api/sso/saml/callback
URI d'audience (ID d'entité du fournisseur de services)	https://auth.zenovay.com/sso/{teamId}
Format NameID	EmailAddress
Nom d'utilisateur de l'application	Email

Étape 3 : Déclarations d'attributs

Ajoutez ces mappages d'attributs :

Nom	Valeur
email	user.email
firstName	user.firstName
lastName	user.lastName

Étape 4 : Obtenir les valeurs du fournisseur d'identité

1. Allez à l'onglet Sign On
2. Cliquez sur View SAML setup instructions ou Identity Provider metadata
3. Notez les informations suivantes :
   • ID d'entité du fournisseur d'identité (Issuer)
   • URL SSO du fournisseur d'identité (URL de connexion)
4. Téléchargez le Certificat X.509

Étape 5 : Terminer dans Zenovay

1. Allez à Paramètres → Sécurité → SSO
2. Cliquez sur Ajouter un fournisseur et sélectionnez SAML
3. Entrez :
   • Nom : par exemple « Okta »
   • ID d'entité : l'ID d'entité du fournisseur d'identité de l'étape 4
   • URL SSO : l'URL SSO du fournisseur d'identité de l'étape 4
   • Certificat : collez le certificat X.509 complet
4. Cliquez sur Créer
5. Ajoutez et vérifiez votre domaine de messagerie
6. Utilisez l'action Tester la connexion du fournisseur pour confirmer que cela fonctionne

Configuration Microsoft Entra ID

Étape 1 : Créer une application d'entreprise

1. Connectez-vous au centre d'administration Microsoft Entra
2. Allez à Identity → Applications → Enterprise applications
3. Cliquez sur New application
4. Cliquez sur Create your own application
5. Nom : Zenovay
6. Sélectionnez Integrate any other application you don't find in the gallery

Étape 2 : Configurer l'authentification unique

1. Cliquez sur Single sign-on dans la barre latérale
2. Sélectionnez SAML
3. Modifiez la Configuration SAML de base (copiez les valeurs exactes depuis Paramètres → Sécurité → SSO dans Zenovay) :

Champ Entra ID	Valeur
Identificateur (ID d'entité)	https://auth.zenovay.com/sso/{teamId}
URL de réponse (URL ACS)	https://auth.zenovay.com/api/sso/saml/callback

Étape 3 : Configurer les attributs

Modifiez Attributes & Claims :

Nom de réclamation	Attribut source
emailaddress	user.mail
givenname	user.givenname
surname	user.surname

Assurez-vous que le format de réclamation NameID est défini sur Email address.

Étape 4 : Télécharger le certificat et obtenir les valeurs du fournisseur d'identité

1. Faites défiler jusqu'à SAML Signing Certificate et téléchargez Certificate (Base64)
2. Dans la section Set up Zenovay, copiez :
   • Identificateur Microsoft Entra — c'est votre ID d'entité du fournisseur d'identité
   • URL de connexion — c'est votre URL SSO

Étape 5 : Assigner des utilisateurs

1. Allez à Users and groups
2. Ajoutez des utilisateurs ou des groupes
3. Enregistrez les attributions

Étape 6 : Terminer dans Zenovay

1. Allez à Paramètres → Sécurité → SSO
2. Cliquez sur Ajouter un fournisseur et sélectionnez SAML
3. Entrez :
   • Nom : par exemple « Microsoft Entra ID »
   • ID d'entité : l'identificateur Microsoft Entra de l'étape 4
   • URL SSO : l'URL de connexion de l'étape 4
   • Certificat : collez le contenu du certificat Base64 téléchargé
4. Cliquez sur Créer
5. Ajoutez et vérifiez votre domaine de messagerie
6. Utilisez l'action Tester la connexion pour confirmer que cela fonctionne

Configuration Google Workspace

Étape 1 : Ajouter une application SAML personnalisée

1. Allez à la Console d'administration Google
2. Allez à Apps → Web and mobile apps
3. Cliquez sur Add App → Add custom SAML app

Étape 2 : Entrer les détails

Détails de l'application :

• Nom de l'application : Zenovay
• Description : Plateforme d'analytique
• Icône de l'application : Charger (optionnel)

Étape 3 : Télécharger les métadonnées du fournisseur d'identité

1. Copiez ou téléchargez l'URL SSO et l'ID d'entité
2. Téléchargez le Certificat
3. Cliquez sur Continue

Étape 4 : Détails du fournisseur de services

Copiez l'URL ACS exacte et l'ID d'entité depuis Paramètres → Sécurité → SSO dans Zenovay :

Champ Google Admin	Valeur
URL ACS	https://auth.zenovay.com/api/sso/saml/callback
ID d'entité	https://auth.zenovay.com/sso/{teamId}
Format NameID	EMAIL
NameID	Basic Information > Primary email

Étape 5 : Mappage d'attributs

Répertoire Google	Attribut d'application
Email principal	email
Prénom	firstName
Nom de famille	lastName

Étape 6 : Activer pour les utilisateurs

1. Cliquez sur l'application
2. Allez à la section User access
3. Activez pour votre organisation ou des unités organisationnelles spécifiques

Étape 7 : Terminer dans Zenovay

1. Allez à Paramètres → Sécurité → SSO
2. Cliquez sur Ajouter un fournisseur et sélectionnez SAML
3. Entrez l'ID d'entité du fournisseur d'identité, l'URL SSO et le certificat de l'étape 3
4. Cliquez sur Créer
5. Ajoutez et vérifiez votre domaine de messagerie
6. Utilisez l'action Tester la connexion pour confirmer que cela fonctionne

Configuration OneLogin

Étape 1 : Ajouter une application

1. Allez à l'administration OneLogin
2. Allez à Applications → Add App
3. Recherchez SAML Custom Connector (Advanced)
4. Ajouter

Étape 2 : Onglet Configuration

Copiez les valeurs Audience et Recipient/ACS exactes depuis Paramètres → Sécurité → SSO dans Zenovay :

Champ OneLogin	Valeur
Audience (EntityID)	https://auth.zenovay.com/sso/{teamId}
Recipient	https://auth.zenovay.com/api/sso/saml/callback
URL ACS (Consumer)	https://auth.zenovay.com/api/sso/saml/callback

Étape 3 : Paramètres

Ajoutez les paramètres :

Champ	Valeur
email	Email
firstName	First Name
lastName	Last Name

Étape 4 : Onglet SSO

Notez les valeurs suivantes :

• Point de terminaison SAML 2.0 (HTTP)
• URL Issuer
• Téléchargez le certificat X.509

Étape 5 : Terminer dans Zenovay

1. Allez à Paramètres → Sécurité → SSO
2. Cliquez sur Ajouter un fournisseur et sélectionnez SAML
3. Entrez les valeurs du fournisseur d'identité de l'étape 4
4. Cliquez sur Créer
5. Ajoutez et vérifiez votre domaine de messagerie

Terminer la configuration dans Zenovay

Ajouter le fournisseur SSO

1. Allez à Paramètres → Sécurité → SSO
2. Cliquez sur Ajouter un fournisseur
3. Sélectionnez SAML
4. Entrez les valeurs suivantes de votre fournisseur d'identité :

Champ	Description
Nom	Un nom convivial pour ce fournisseur (par exemple « Okta d'entreprise »)
ID d'entité	L'ID d'entité du fournisseur d'identité / Issuer de votre fournisseur d'identité
URL SSO	L'URL de connexion du fournisseur d'identité / Point de terminaison SSO
URL SLO	L'URL de déconnexion unique du fournisseur d'identité (optionnel)
Certificat	Le certificat de signature X.509 (collez le PEM complet incluant les lignes BEGIN/END)

5. Cliquez sur Créer

Vérifier le domaine

Après l'enregistrement, ajoutez et vérifiez votre domaine de messagerie :

1. Entrez votre domaine de messagerie (par exemple company.com) dans la section Vérification de domaine
2. Cliquez sur Vérifier le domaine
3. Ajoutez l'enregistrement TXT affiché aux DNS de votre domaine, puis cliquez sur Vérifier DNS
4. Une fois vérifiée, les utilisateurs ayant ce domaine seront dirigés vers SSO lors de la connexion

Tester la connexion

1. Ouvrez le menu Plus du fournisseur et choisissez Tester la connexion, ou testez directement le flux de connexion :
2. Ouvrez une fenêtre de navigation privée/incognito
3. Allez à auth.zenovay.com
4. Entrez une adresse e-mail de votre domaine vérifié
5. Authentifiez-vous auprès de votre fournisseur d'identité
6. Vérifiez le retour réussi au tableau de bord Zenovay

Imposer SSO

Après un test réussi, vous pouvez exiger SSO pour que les utilisateurs ne puissent plus se connecter avec un mot de passe :

1. Assurez-vous que le fournisseur est activé (le commutateur à côté)
2. Ouvrez le menu Plus du fournisseur et sélectionnez Imposer SSO
3. Confirmez dans la boîte de dialogue

Provisionnement des utilisateurs

Provisionnement juste-à-temps (JIT)

Les nouveaux utilisateurs sont créés automatiquement lors de leur première connexion SSO réussie :

• Le compte est créé à partir de l'e-mail et du nom dans l'assertion SAML
• Aucun e-mail d'invitation requis

Dépannage

Problèmes courants

Problème	Solution
« Signature verification failed »	Retéléchargez le certificat du fournisseur d'identité et mettez-le à jour dans Zenovay
« Digest mismatch »	Assurez-vous que le certificat de signature correct est configuré
« SSO is not configured for your domain »	Ajoutez et vérifiez le domaine de messagerie de l'utilisateur dans les paramètres SSO
« ACS URL mismatch »	Assurez-vous que l'URL ACS est exactement https://auth.zenovay.com/api/sso/saml/callback
« Entity ID mismatch »	Assurez-vous que l'ID d'audience/entité correspond à la valeur affichée dans Paramètres → Sécurité → SSO (se termine par votre ID d'équipe)
« NameID not found »	Définissez le format NameID sur EmailAddress dans votre fournisseur d'identité

Expiration du certificat

Les certificats du fournisseur d'identité expirent — planifiez à l'avance :

1. Surveillez les dates d'expiration dans votre fournisseur d'identité
2. Téléchargez le nouveau certificat avant son expiration
3. Modifiez le fournisseur SSO dans Zenovay et remplacez le certificat
4. Testez la connexion avec le nouveau certificat

Meilleures pratiques de sécurité

Gestion des certificats

• Surveiller les dates d'expiration
• Utiliser la signature SHA-256
• Mettre à jour les certificats avant leur expiration

Sécurité des attributs

• Demander uniquement les attributs nécessaires
• Vérifier les mappages d'attributs
• Surveiller les modifications

Contrôle d'accès

• Assigner des utilisateurs/groupes spécifiques dans votre fournisseur d'identité
• Examiner l'accès régulièrement
• Utiliser des stratégies d'accès conditionnel

Étapes suivantes

• Configurer OAuth/OIDC
• Imposer l'authentification multifacteur
• Configurer l'enregistrement d'audit