Une fois votre connexion SSO configurée et testée, vous pouvez imposer le SSO afin que votre équipe se connecte via votre fournisseur d'identité (IdP) plutôt qu'avec un mot de passe Zenovay. Ce guide explique précisément à qui s'applique l'imposition, pourquoi les propriétaires et administrateurs conservent toujours un mot de passe en secours, et comment les membres ayant une adresse e-mail personnelle se connectent.
Info
Imposer le SSO est la dernière étape, pas la première. Configurez et vérifiez d'abord votre fournisseur à l'aide de la configuration SAML ou de la configuration OAuth / OIDC, confirmez qu'une connexion de test fonctionne, et activez seulement ensuite l'imposition.
Comment fonctionne le routage SSO (l'idée clé)
Zenovay décide d'envoyer ou non une personne vers votre IdP en fonction du domaine de l'adresse e-mail qu'elle saisit à la connexion, comparé aux domaines que vous avez vérifiés pour votre fournisseur SSO.
- Si le domaine de l'e-mail correspond à votre domaine vérifié (par exemple
@acme.com), Zenovay dirige cette personne vers votre IdP. - S'il ne correspond pas (par exemple une adresse personnelle
@gmail.com), Zenovay ne peut pas la diriger vers votre IdP, car votre IdP ne gère pas ce domaine.
Cette règle unique explique tous les cas ci-dessous.
Ce que change « Imposer SSO »
| Imposition DÉSACTIVÉE | Imposition ACTIVÉE | |
|---|---|---|
| Membre avec un e-mail de domaine vérifié | Peut choisir mot de passe ou SSO | Doit se connecter via votre IdP |
| Propriétaire ou administrateur avec un e-mail de domaine vérifié | Peut choisir mot de passe ou SSO | Conserve l'accès par mot de passe (bris de glace) et peut toujours utiliser le SSO |
| N'importe qui (tout e-mail) | Le bouton « Continue with SSO » est toujours disponible | Le bouton « Continue with SSO » est toujours disponible |
Avec l'imposition activée, un membre ordinaire qui saisit un e-mail de domaine vérifié est envoyé directement vers votre IdP et ne peut plus se rabattre sur un mot de passe Zenovay.
Les propriétaires et administrateurs conservent un mot de passe (bris de glace)
Les propriétaires et administrateurs de l'espace de travail sont intentionnellement exemptés de l'imposition et peuvent toujours se connecter avec leur mot de passe.
Info
Il s'agit d'un mécanisme de sécurité, pas d'un oubli. Si votre IdP connaît un jour une panne ou une mauvaise configuration (un certificat expiré, un point de terminaison modifié), une imposition stricte verrouillerait sinon tout le monde à l'extérieur, y compris les personnes mêmes qui ont besoin de se connecter pour corriger les paramètres SSO. Conserver un accès par mot de passe pour les propriétaires et administrateurs garantit que vous pourrez toujours revenir à l'intérieur.
Les propriétaires et administrateurs peuvent toujours se connecter via le SSO quand ils le souhaitent, en utilisant l'option Continue with SSO (« Continuer avec le SSO ») sur l'écran de connexion. L'imposition ne fait simplement pas qu'on le force pour eux.
Avertissement
Le compromis mérite d'être compris : parce qu'un propriétaire ou un administrateur peut se connecter avec un mot de passe, ce mot de passe constitue une voie d'accès à l'espace de travail qui ne passe pas par votre IdP. Protégez les comptes propriétaire et administrateur avec des mots de passe forts et uniques et l'authentification multifacteur, et limitez le nombre d'administrateurs.
Membres ayant une adresse e-mail personnelle
Un coéquipier ajouté avec une adresse qui ne figure pas sur votre domaine vérifié, par exemple un prestataire utilisant une adresse personnelle @gmail.com, ne peut pas utiliser le SSO, car cet e-mail n'appartient pas à votre fournisseur d'identité. Il se connecte avec son mot de passe Zenovay comme d'habitude.
C'est un comportement attendu, pas une faille à contourner. Le SSO est lié aux domaines que vous vérifiez, donc toute personne en dehors de ces domaines n'est tout simplement pas un utilisateur SSO. Si vous voulez que tout le monde s'authentifie via votre IdP, assurez-vous que chaque membre est invité avec un e-mail sur un domaine que vous avez vérifié pour le SSO.
N'importe qui peut toujours choisir le SSO manuellement
Le bouton Continue with SSO sur l'écran de connexion d'auth.zenovay.com est toujours disponible. Un utilisateur peut le sélectionner, saisir le domaine de votre entreprise et s'authentifier via votre IdP, quelle que soit l'imposition. L'imposition contrôle uniquement si un membre de domaine vérifié est tenu de passer par le SSO lorsqu'il saisit son e-mail.
Activer l'imposition
Vérifiez d'abord votre domaine
Dans Paramètres → Sécurité → SSO, ajoutez et vérifiez le domaine de messagerie dans la section Vérification de domaine (vous ajoutez un enregistrement TXT à vos DNS et cliquez sur Vérifier DNS). L'imposition n'a aucun effet tant qu'au moins un domaine n'est pas vérifié.
Confirmez qu'une connexion de test fonctionne
Utilisez l'option Tester la connexion du fournisseur, ou connectez-vous depuis une fenêtre de navigation privée avec un e-mail de domaine vérifié, et confirmez que vous revenez bien au tableau de bord. N'imposez jamais une connexion SSO que vous n'avez pas testée avec succès.
Activer l'imposition
Assurez-vous que le fournisseur est activé, puis ouvrez le menu Plus du fournisseur et sélectionnez Imposer SSO, et confirmez dans la boîte de dialogue.
Avant d'activer l'imposition, assurez-vous qu'au moins un propriétaire peut se connecter avec e-mail et mot de passe en secours, afin qu'une panne du fournisseur d'identité ne puisse jamais verrouiller tout votre espace de travail.
Désactiver l'imposition
Si vous avez besoin que les membres utilisent à nouveau un mot de passe (par exemple pendant que vous reconfigurez votre IdP), ouvrez le menu Plus du fournisseur dans Paramètres → Sécurité → SSO et désactivez à nouveau Imposer SSO. Les membres de domaine vérifié peuvent alors se connecter de nouveau avec un mot de passe. La connexion SSO elle-même reste en place, vous pouvez donc réactiver l'imposition à tout moment.
Nouveaux utilisateurs et SSO
Lorsque le SSO est imposé et qu'une nouvelle personne de votre domaine vérifié se connecte pour la première fois, son compte est créé automatiquement (provisionnement juste-à-temps, Just-In-Time). Elle n'est pas ajoutée automatiquement à votre espace de travail avec un rôle, un propriétaire ou un administrateur l'ajoute donc tout de même à l'équipe et lui attribue un rôle depuis Paramètres → Espace de travail → Membres. Consultez la configuration SAML pour les détails.
Dépannage
Un membre se voit demander un mot de passe au lieu d'être envoyé vers le SSO
- Confirmez que son domaine de messagerie est vérifié dans Paramètres → Sécurité → SSO (un domaine non vérifié n'est jamais dirigé vers le SSO).
- Confirmez qu'il utilise son e-mail d'entreprise, et non une adresse personnelle.
- Rappelez-vous que les propriétaires et administrateurs sont intentionnellement exemptés et verront l'écran de mot de passe par conception. Ils peuvent utiliser Continue with SSO pour se connecter via l'IdP.
Un administrateur veut être lui aussi forcé de passer par le SSO
L'imposition exempte délibérément les propriétaires et administrateurs à titre de bris de glace. Si vous avez besoin qu'un compte soit soumis à l'imposition, attribuez-lui le rôle membre plutôt qu'administrateur, ou connectez-vous manuellement via Continue with SSO.
Tout le monde est verrouillé à l'extérieur après une modification de l'IdP
Un propriétaire peut toujours se connecter avec e-mail et mot de passe (la voie de bris de glace). Connectez-vous en tant que propriétaire, allez à Paramètres → Sécurité → SSO, corrigez ou désactivez temporairement l'imposition, et mettez à jour la configuration du fournisseur. Puis retestez et réactivez.