Introduction
L'application SAML de votre plateforme vous permet de configurer l’authentification unique (SSO) en vous appuyant sur une variété de fournisseurs d’identité. De cette manière, les utilisateurs peuvent se connecter à leur plateforme de formation en utilisant les informations d’identification des sessions actives d’autres plateformes web.
Veuillez noter que la plateforme propose deux options pour la configuration du protocole SAML : Smart et Standard. Pour un aperçu des différences, consultez l’article Introduction à Docebo pour SAML.
Cet article fournit des instructions générales au sujet des configurations Smart et Standard.
Configuration du SAML avec des fournisseurs d’identité spécifiques
Si vous configurez le protocole SAML pour qu’il fonctionne avec Okta, Microsoft Entra ID (Azure AD), OneLogin ou Google, consultez également les instructions spécifiques des articles suivants :
- Configuration d’Okta
- Configuration de Microsoft Entra ID (Azure AD)
- Exemple de configuration de OneLogin
- Configuration de Google (s’ouvre dans un nouvel onglet)
De même, lors de la configuration du SAML, n’oubliez pas de régler le paramètre Assertion encryption (chiffrement des assertions) sur Déchiffré, car ce paramètre est entièrement pris en charge.
Prérequis
L’application SAML doit être activée sur votre plateforme comme décrit dans l’article Gestion des applications et fonctionnalités.
Si vous envisagez de configurer l’authentification unique via SAML pour un domaine personnalisé ou secondaire, vous devez d’abord configurer le domaine sur la page de Gestion des domaines.
Accéder à la page des paramètres SAML de la plateforme
Pour commencer, ouvrez la page des paramètres SAML et sélectionnez le type de configuration souhaité.
→ Vous devez effectuer cette opération sur la même plateforme (plateforme principale ou client d’entreprise étendue) que celle pour laquelle vous configurez l’authentification unique.
Dans le cas d’une plateforme principale :
- Sélectionnez Menu admin > SAML > Gérer.
Dans le cas d’un client d’une entreprise étendue :
- Sélectionnez Menu admin > Extended Enterprise > Gérer.
- Cliquez sur l'icône en forme d’engrenage sur la ligne du client pour lequel vous configurez l’authentification unique.
- Dans le volet de navigation verticale, sélectionnez SAML 2.0 - Paramètres. Ensuite, sélectionnez Activer les paramètres personnalisés pour ce client.
Astuce : notez que la page des paramètres SAML 2.0 sera la même dans les deux cas (plateforme principale ou client d’entreprise étendue).
Une fois la page des paramètres SAML 2.0 ouverte, choisissez si vous souhaitez utiliser le type de configuration Smart ou Standard. La configuration Smart est légèrement plus simple, mais si nécessaire, vous pouvez également passer à l’approche Standard.
Attention : s’il existe une configuration SAML sur la page, le passage de Smart à Standard ou vice versa entraînera la perte des paramètres précédents, même si vous ne cliquez pas sur Enregistrer les modifications.
Cochez ensuite la case Active pour activer les champs de configuration. Certains des champs affichés sont spécifiques au type de configuration sélectionné (Smart ou Standard), tandis que d’autres paramètres sont communs aux deux.
Passez à la configuration des paramètres SAML pour le type de configuration choisi, comme décrit dans les chapitres Paramètres SAML pour la configuration Smart ou Paramètres SAML pour la configuration Standard.
Une fois que vous avez terminé, cliquez sur Enregistrer les modifications.
Paramètres SAML pour la configuration Smart
Ce chapitre traite des paramètres à configurer si vous sélectionnez le type de configuration Smart.
| Champ des paramètres SAML(Configuration Smart) | Remarques |
| URL SSO | Le point de terminaison SAML HTTP de votre fournisseur d’identité. Il s’agit de l’adresse web réelle où les demandes SAML sont envoyées pour initier l’authentification |
| Émetteur | Obtenu auprès du fournisseur d’identité. Il s’agit d’un identifiant unique pour le service d’authentification SAML de votre compte auprès du fournisseur d’identité. Par exemple, pour OneLogin, il s’agit de Issuer URL (URL émetteur), tandis que pour Microsoft Entra, il s’agit de Microsoft Entra Identifier (identifiant Microsoft Entra). |
| Certificat X509 | Ici, vous devez télécharger le certificat X.509 obtenu auprès du fournisseur d’identité. → Votre certificat X.509 sera validé lors du téléchargement. Voir le chapitre Validation et expiration des certificats. |
| Autoriser le certificat du fournisseur de services (facultatif) |
Ce certificat permet à la plateforme de signer les demandes d’authentification SAML et les assertions envoyées au fournisseur d’identité. Certains fournisseurs d’identités / fédérations peuvent exiger que les fournisseurs de services détiennent un certificat. Ici, vous pouvez télécharger un fichier de certificat CRT et un fichier de clé privée PEM. Pour en savoir plus, consultez le chapitre Certificat du fournisseur de services. → Vos certificats PEM et CRT seront validés lors du téléchargement. Cette procédure permettra notamment de vérifier la concordance de la paire de clés. Voir le chapitre Validation et expiration des certificats. |
| Attribut du nom d’utilisateur | Définir le champ (attribut) du fournisseur d’identité qui sera utilisé pour identifier de manière unique l’utilisateur au sein de la plateforme de formation. - Le champ sélectionné doit être renseigné pour tous les utilisateurs du côté du fournisseur d’identité, et être distinct pour chaque utilisateur. - Le champ que vous indiquerez dans Attribut du nom d’utilisateur sera associé au champ Nom d’utilisateur sur la plateforme. |
| Comportement du SSO (facultatif) |
Dans cette section, vous pouvez configurer comment les utilisateurs se connecteront à la plateforme à l’aide du SSO. Pour en savoir plus, consultez le chapitre Comportement du SSO. |
|
Comportement de déconnexion (facultatif) |
Sélectionnez cette option si vous souhaitez que les utilisateurs soient automatiquement déconnectés du fournisseur d’identité en se déconnectant de la plateforme. → Pour pouvoir la configurer, vous devez d’abord avoir téléchargé le certificat du fournisseur de services (fichiers CRT et PEM) Lorsque cette option est sélectionnée, le champ de texte Endpoint déconnexion apparaît. Vous devez y définir l’URL sur laquelle les utilisateurs atterriront en se déconnectant de la plateforme et du fournisseur d’identité. Grâce à cette configuration, les utilisateurs peuvent atterrir sur une URL différente de celle utilisée pour l’authentification unique. |
| Métadonnées SAML 2.0 SP |
Vous pouvez copier les valeurs des champs ID entité, URL de connexion et URL de déconnexion affichés ici pour les ajouter à la configuration de votre fournisseur d’identité. Vous pouvez également y télécharger le fichier de métadonnées, si votre fournisseur l’exige. |
|
Provisionnement des utilisateurs (facultatif) |
La section provisionnement des utilisateurs vous permet de créer automatiquement un nouvel utilisateur sur la plateforme si l’authentification unique est valide mais que cet utilisateur n’existe pas encore sur la plateforme. Pour en savoir plus, consultez le chapitre sur le Provisionnement des utilisateurs. |
Validation et expiration des certificats
Dans le cas de la configuration Smart, la plateforme valide automatiquement les certificats téléchargés, en assure le suivi et vous informe de leur expiration. Cela s’applique à la fois aux fichiers du certificat X.509 et du certificat du fournisseur de services.
Validation : une fois le téléversement du fichier de certificat terminé, un message apparaîtra pour vous indiquer si le ou les fichiers téléchargés sont valides ou non.
Vous pouvez cliquer sur le bouton Visualiser détails pour vérifier comment la plateforme a lu et validé vos fichiers de certificats, y compris leur statut de validité et leurs dates d’expiration.
Expiration :
Votre plateforme utilisera automatiquement les dates d’expiration de vos certificats téléversés, afin d’envoyer à tous les Superadmins des notifications obligatoires concernant les mises à jour nécessaires de votre configuration SAML à l’approche de votre date d’expiration (30, 15, 5 et un jours avant l’expiration du certificat). Ces notifications ne peuvent pas être modifiées ou désactivées. De cette manière, vous pouvez mettre à jour votre configuration SAML avant qu’elle n’expire, de sorte que vos utilisateurs parviennent encore à se connecter à la plateforme. Dans le cas d’une entreprise étendue, des notifications seront envoyées pour les configurations SAML à la fois sur la plateforme principale et sur tous les clients de l’entreprise étendue.
Paramètres SAML pour la configuration Standard
Ce chapitre traite des paramètres à configurer si vous sélectionnez le type de configuration Standard.
| Champ des paramètres SAML(Configuration Standard) | Remarques |
| ID du fournisseur d’identité | Obtenu auprès du fournisseur d’identité. Il s’agit d’un identifiant unique pour le service d’authentification SAML de votre compte auprès du fournisseur d’identité. Par exemple, pour OneLogin, il s’agit de Issuer URL (URL émetteur), tandis que pour Microsoft Entra, il s’agit de Microsoft Entra Identifier (identifiant Microsoft Entra). |
| Autoriser le certificat du fournisseur de services (facultatif) |
Ce certificat permet à la plateforme de signer les demandes d’authentification SAML et les assertions envoyées au fournisseur d’identité. Cochez cette case pour téléverser un fichier de certificat CRT et un fichier de clé privée PEM. Pour en plus, consultez le chapitre Certificat du fournisseur de services. Notez que pour la configuration standard, les fichiers téléversés ne sont pas automatiquement validés. C’est à vous de vérifier la correspondance entre la paire de clés. Attention ! Si vous modifiez une configuration préexistante et désactivez la case Autoriser le certificat du fournisseur de services, assurez-vous que les certificats sont stockés ailleurs, car ils seront automatiquement supprimés lorsque vous sauvegarderez la configuration SAML. |
| Algorithme de signature | Sélectionnez l’algorithme de chiffrement (SHA-1 ou SHA-256) requis pour valider votre fournisseur d’identité. |
| Métadonnées XML | Dans ce champ, vous pouvez coller le contenu du fichier de métadonnées XML obtenu auprès de votre fournisseur d’identité. |
| Attribut du nom d’utilisateur |
Définir le champ (attribut) du fournisseur d’identité qui sera utilisé pour identifier de manière unique l’utilisateur au sein de la plateforme de formation. - Le champ sélectionné doit être renseigné pour tous les utilisateurs du côté du fournisseur d’identité, et être distinct pour chaque utilisateur. - Le champ que vous indiquerez dans Attribut du nom d’utilisateur sera associé à la valeur sélectionnée pour le Champ unique de la plateforme. |
| Champ unique (la valeur par défaut est le nom d’utilisateur) |
Définissez le champ utilisateur de la plateforme (Nom d’utilisateur, UUID, E-mail) qui sera mappé avec le champ du fournisseur d’identité défini via l’attribut du nom d’utilisateur. → Il est recommandé de définir le champ Nom d’utilisateur. Remarque : l’UUID est un identifiant d’utilisateur unique en lecture seule au sein de la plateforme
|
| Comportement du SSO (facultatif) |
Dans cette section, vous pouvez configurer comment les utilisateurs se connecteront à la plateforme à l’aide du SSO. Pour en savoir plus, consultez le chapitre Comportement du SSO |
| Comportement de déconnexion (facultatif) |
Vous pouvez indiquer ici si l’utilisateur doit également être automatiquement déconnecté du fournisseur d’identité lorsqu’il se déconnecte de la plateforme. Pour que la demande de déconnexion soit acceptée par un fournisseur d’identité, elle doit généralement être signée. |
| Métadonnées SAML 2.0 SP |
Une fois que vous avez effectué toutes les autres configurations, vous pouvez cliquer sur Enregistrer les modifications en bas de la page. Cliquez ensuite sur Télécharger pour télécharger le fichier de métadonnées XML.
|
|
Provisionnement des utilisateurs (facultatif) |
La section provisionnement des utilisateurs vous permet de créer automatiquement un nouvel utilisateur sur la plateforme si l’authentification unique est valide mais que cet utilisateur n’existe pas encore sur la plateforme. Pour en savoir plus, consultez le chapitre sur le Provisionnement des utilisateurs. |
Certificat du fournisseur de services
Le certificat du fournisseur de services est principalement utilisé à des fins de signature et de chiffrement dans le cadre de l’authentification basée sur le protocole SAML. Il comprend les éléments suivants :
- Certificat (fichier CRT) : contient la clé publique et les informations d’identification du service, signées par une Autorité de certification (CA) de confiance.
- Clé privée (fichier PEM) : il s’agit de la clé privée correspondante, qui peut être utilisée pour créer des signatures numériques.
Par exemple, lors de l’envoi d’une demande d’authentification SAML au fournisseur d’identité (IdP), la plateforme signe la demande à l’aide de sa clé privée (dans le fichier PEM). Le fournisseur d’identité vérifie ensuite la signature à l’aide de la clé publique du certificat (fichier CRT).
Vous devez télécharger à la fois le fichier de clé privée et le fichier de certificat. Aucun des deux ne doit contenir d’informations supplémentaires (le fichier PEM doit contenir uniquement la clé privée et le fichier CRT uniquement le certificat).
En outre, les hachages des fichiers CRT et PEM doivent correspondre, ce qui signifie que la clé publique du certificat doit correspondre à la clé privée. De cette façon, il est possible de garantir qu’elles ont été générées ensemble en tant que paire de clés. Avec la configuration Smart, cette correspondance est automatiquement validée. En revanche, avec la configuration Standard, il vous incombe de vous assurer de l’exactitude des fichiers téléchargés.
Exemple de certificat au format PEM :
-----BEGIN CERTIFICATE----- MIIEJDCCAwygAwIBAgIJAKZrejX6JSfmMA0GCSqGSIb3DQEBBQUAMGkxCzAJBgNV BAYTAklUMQ4wDAYDVQQIEwVJdGFseTEOMAwGA1UEBxMFTWlsYW4xDzANBgNVBAoT BkRvY2VibzELMAkGA1UECxMCSVQxHDAaBgNVBAMTE3Rlc3QuZG9jZWJvc2Fhcy5j b20wHhcNMTcwMTE5MTQzNzI3WhcNMTgwMTE5MTQzNzI3WjBpMQswCQYDVQQGEwJJ VDEOMAwGA1UECBMFSXRhbHkxDjAMBgNVBAcTBU1pbGFuMQ8wDQYDVQQKEwZEb2Nl Ym8xCzAJBgNVBAsTAklUMRwwGgYDVQQDExN0ZXN0LmRvY2Vib3NhYXMuY29tMIIB IjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAwS2ucXntCD59zCC27PCMr3+o HGaqIv1m9GkNf/I0CiX/hvlYUwzWy7UP91ccLSTvJYF4917WWxhN8HBqBNYCwiOo PkdFUXC0VF6Fxc6ti33thKqi7u8uR+ZwFTjdaeW9mJQt9qC1bdlvvbo0fmTbrcUC 5/975USpejfxtMLX4znX3DkcxD5gdBE3kgwwZmlchkSYSWngxBIbs6HtCvsVx1hE QjiPPClWO6U3+Ho5Lb981JNVvaRVWzbcE8osE7Ogt0j7R5PNkvgFtJttPAEjZZBa 4CDM2IXRJahrF5Kyk4BWukehSn2Kw7C/lf5SD2n0tFiiqHdK8mLvQEC0h+gJ2wID AQABo4HOMIHLMB0GA1UdDgQWBBTcGhjhW6mD31Cox6ftIxjERuYj6TCBmwYDVR0j BIGTMIGQgBTcGhjhW6mD31Cox6ftIxjERuYj6aFtpGswaTELMAkGA1UEBhMCSVQx DjAMBgNVBAgTBUl0YWx5MQ4wDAYDVQQHEwVNaWxhbjEPMA0GA1UEChMGRG9jZWJv MQswCQYDVQQLEwJJVDEcMBoGA1UEAxMTdGVzdC5kb2NlYm9zYWFzLmNvbYIJAKZr ejX6JSfmMAwGA1UdEwQFMAMBAf8wDQYJKoZIhvcNAQEFBQADggEBAEU2JOtj60v3 1wIX7iIUwMM2UsbE52ZOAM+xRSUIJoDJvuvcNNT45fNCAz5V5HTjyhZvd81bJ/8r 8AT47YYHO2ngWxKWklbRdvWuDhwvEFulUnVt5DcVVGy3JgH98hIBNTf+BMDGkm1z HviID1Zuaa5KByCKTbr2ib2nVLDqdJMvPyT8yaWd5VQxb4F5WqUz8EjS12KtLnHc 4Uh51/fJA8StUyADaeb74Uj/e/0/XIvsOIGUuBzhF3dfPBGWXCwTAbQmSaqk/B3n wAUznTV6BahfIeZJz5PmI7VEkw+3AdGwwhxrGPxcKHXf/5yDyPdjOOuYsDXAV54n PnHnWAxctA0= -----END CERTIFICATE-----Exemple de clé privée au format PEM :
-----BEGIN RSA PRIVATE KEY----- MIIEowIBAAKCAQEAwS2ucXntCD59zCC27PCMr3+oHGaqIv1m9GkNf/I0CiX/hvlY UwzWy7UP91ccLSTvJYF4917WWxhN8HBqBNYCwiOoPkdFUXC0VF6Fxc6ti33thKqi 7u8uR+ZwFTjdaeW9mJQt9qC1bdlvvbo0fmTbrcUC5/975USpejfxtMLX4znX3Dkc xD5gdBE3kgwwZmlchkSYSWngxBIbs6HtCvsVx1hEQjiPPClWO6U3+Ho5Lb981JNV vaRVWzbcE8osE7Ogt0j7R5PNkvgFtJttPAEjZZBa4CDM2IXRJahrF5Kyk4BWukeh Sn2Kw7C/lf5SD2n0tFiiqHdK8mLvQEC0h+gJ2wIDAQABAoIBAQCqpZT0zxURdEqi GMAe3Hwax/UUaaif0iOxgl+Xh7hqwphQflGEw9G3D5I0F3JfesH66r2WH+PRgs3O uS8eaIL1RpRnt4PHZn0WDo2zaFir4akAyc+2q/jBMRIP3TTSSE1MzJExzVOX3z0z Z5rZkHTysxdXI7wpkpb3zRWqbXhSUwyvLxHFWOamRNJb/LjiLko30pblyGZG744Q XmoHrDcpN46OpZTITMqF8SJbnJXKKPzIWRvTVxVRUzVwth4OgXFNPkfyJgsZ1DD+ wFvH+kI72l9yhF9UcI0IoEbk6I5Ao3O6O3+X6FV2YJhFPb4vfhKJI1irMS+rpCzB h9prqE4BAoGBAOC4rnPb7bltW7+7Dvi3e5CO1SfKBShFhmPM6mYSC6A2uSjcjfG5 Phgjc7pDbH2Ec0wdYezJUAsXFCrNAbVECSrSfoDqncar9cJUA61xT2q2CcUbvHYJ w7rroQk4WYXhxov9K4PiSljateyDelAxrstfRcokyHu8fT8C02k6hmcBAoGBANwR DfckqbFfcSsWvpTGT7gVv6aDuKGgfmvrUElDgY6K6Nt49pdiExXKI3jdx7JIkqZg t8LnXC4tFgLpFXkxHnikIW4twt0qrhe19z9phq6AW8d6rcePM7TuAVpXLzhWHPK6 UY4PESl4SBzoB4yyWKCDBcsDBJrOh8cYCWFg+ezbAoGADa9ReF7BSFR/jNqAW+cY kEISevzTeZNaTsOQ1qxsptIOTo232yuTu3aVOpeWiMJDHzR+3SOZS0OZh826N+av xDrTV1hySUH5kl75ZluLIY16ZNV+kZWgpMZqpRwYX43TQH0nZD2ol2aiQ4fyL+YG pf3kSx4YU2i0G905MKROwQECgYAMMUmzyq04LZCIkZ8HgSFDkrjmkd+13L2EXyo4 lOvlqN6T4lTPOFjUWTmz5Z29y/WMEEm+G7FowYi5qo5NA6KrjnRntVNZi21egO9s 7PzQSD5NhAeCyfVUbedXSQNNvL+n1xjTpRQPVyGvsE9SxULRydCVWdp0dULijftf EM9oBwKBgBzpA1Qj9fgj7hOVCDdrqcuX3/qWmuwiqV+bjGK2FPrW/7G5BSNsj8Gc /KuXgcZCPMRlobEue5ha0kFnPbUGhYngqJQEmsodkbK3Kz21zHOP4nTc3FublfLo Hzsrl5PEUsehiA+lf6TZtW/Jlo5vnrGEchSgTau09I4meN803DdX -----END RSA PRIVATE KEY-----
Comportement du SSO
Dans cette section, vous pouvez configurer comment les utilisateurs se connecteront à la plateforme par le biais de l’authentification unique SAML. Deux options sont disponibles : Afficher la page de connexion standard et Redirection automatique vers le fournisseur d’identité.
Afficher la page de connexion standard :
Avec cette option, en cliquant sur Se connecter dans l’en-tête de la plateforme, les utilisateurs verront la fenêtre de connexion normale avec des champs permettant de saisir leurs identifiants.
- Si vous sélectionnez également Afficher le bouton SSO sur la page de connexion, sous les champs nom d’utilisateur et mot de passe, les utilisateurs verront un bouton Connexion avec SAML SSO.
- En cliquant sur ce bouton SSO, ils seront redirigés vers une page d’authentification avec le fournisseur d’identité SAML. Si l’authentification est réussie, ils seront connectés à la plateforme.
À noter : si vous ne choisissez pas d’afficher le bouton SSO, les utilisateurs seront incapables d’initier une connexion grâce à l’authentification unique à partir de la page d’accueil de la plateforme.
Redirection automatique vers le fournisseur d’identité :
Avec cette deuxième option, les utilisateurs ne voient pas la fenêtre de connexion à la plateforme et n’ont pas besoin de cliquer sur un bouton de connexion SSO. Au lieu de cela, en tentant d’accéder à l’URL de la plateforme, ils seront automatiquement redirigés vers la page d’authentification avec le fournisseur SAML. Ensuite, si l’authentification est effectuée avec succès, ils seront connectés à la plateforme.
Veuillez noter qu’avec l’option de redirection automatique, les utilisateurs ne peuvent pas voir la page publique et ne peuvent pas choisir parmi d’autres options de connexion. Ils doivent s’authentifier auprès du fournisseur d’identité configuré.
Avec la redirection automatique, lorsqu’un utilisateur se déconnecte de la plateforme, il est envoyé vers une page de renvoi "déconnexion réussie" par défaut. Il peut alors la fermer ou utiliser le bouton de reconnexion pour s’authentifier à nouveau.
Si vous le souhaitez, vous pouvez rediriger les utilisateurs qui se déconnectent vers une autre page, en saisissant l’URL en question dans le champ Page de destination de déconnexion.
Remarques importantes sur le comportement du SSO : le comportement du SSO est testé avec des fournisseurs d’identité standard. Généralement, étant donné que Docebo démarre le processus SSO initié par le fournisseur d’identité, le premier appel n’est pas sécurisé. En effet, les utilisateurs doivent encore saisir leurs propres informations d’identification au niveau du fournisseur d’identité. La configuration du côté du fournisseur d’identité créera ensuite un canal sécurisé.
Provisionnement des utilisateurs
Le provisionnement des utilisateurs vous permet d’en créer automatiquement de nouveaux sur la plateforme si l’authentification unique est valide, mais que l’utilisateur n’y existe pas encore. Cette fonction vous permet également de mettre à jour automatiquement les détails d’un utilisateur sur la plateforme en se basant sur les informations correspondantes chez le fournisseur d’identité.
Astuce : par défaut, un utilisateur est considéré comme existant sur la plateforme si son nom d’utilisateur correspond au champ du fournisseur d’identité que vous avez défini comme Attribut du nom d’utilisateur.
Pour la configuration SAML Standard uniquement, vous pouvez si nécessaire définir un champ de correspondance différent (UUID ou E-mail au lieu de Nom d’utilisateur) dans le Champ unique.
Activer la création d’utilisateurs provisionnés :
Pour commencer, cochez la case Activer. Tout utilisateur se connectant via SSO et n’existant pas encore sur la plateforme sera créé à la volée, par défaut. Son Nom d’utilisateur sur la plateforme correspondra au champ du fournisseur d’identité défini dans la case Attribut du nom d’utilisateur.
→ Remarque au sujet de la configuration standard : si un champ unique différent du Nom d’utilisateur est utilisé à des fins de correspondance, veuillez noter que l’option UUID ne permettra pas de créer les utilisateurs provisionnés. En outre, l’option E-mail ne fonctionnera correctement que si tous les utilisateurs ont des courriels distincts.
Remarque sur le placement par défaut dans une branche : pour l’authentification unique sur la plateforme racine, les utilisateurs nouvellement créés seront placés dans la branche racine. Dans le cas d’un client d’entreprise étendue, les utilisateurs nouvellement créés seront placés dans la branche associée au client.
Ajouter davantage de champs provisionnés :
En plus du Nom d’utilisateur, vous pourriez vouloir renseigner d’autres détails d’un utilisateur provisionné à l’aide des informations récupérées auprès du fournisseur d’identité.
Ces paramètres peuvent être configurés dans la case Ajouter des champs.
- Saisissez le nom d’un champ utilisateur de la plateforme ou d’un champ supplémentaire utilisateur dans la zone de texte située en haut, puis cliquez sur Ajouter. Le champ saisi apparaîtra sous l’intitulé Nom du champ .
- Ensuite, dans la case Attribute statement (Déclaration d'attribut) à côté du champ nouvellement ajouté, saisissez l’attribut correspondant du fournisseur d’identité que vous souhaitez utiliser pour ce champ.
Répétez les deux étapes précédentes pour tous les champs que vous souhaitez provisionner. Notez que chaque champ de la plateforme et du fournisseur d’identité ne peut être utilisé qu’une seule fois. Vous ne pouvez pas faire correspondre plusieurs champs de la plateforme au même attribut, ou vice versa.
Champs utilisateur pris en charge pour le provisionnement SAML :
Nom d’utilisateur, Prénom, Nom de famille, E-mail, Nom de la branche, Code de la branche, Langue et Champs supplémentaires.
| Champ sur la plateforme | Remarques |
| Nom d’utilisateur | |
| Prénom Nom |
Si dans le menu Paramètres avancés > Auto-inscription vous avez coché l'option Nom et prénom sont requis pour s’enregistrer, assurez-vous d’inclure ces champs dans la section Ajouter des champs, afin que les utilisateurs provisionnés puissent être créés. |
| Nom de la branche | |
| Code de la branche | |
| Langue | Dans le champ "langue" de votre fournisseur d’identité, l'entrée doit utiliser l’un des codes de langue que la plateforme utilise pour les identifier (en = anglais, de = allemand, etc.). Si le code indiqué dans ce champ pour un utilisateur spécifique ne correspond à aucun des codes de langue de la plateforme, l’utilisateur se verra attribuer la langue par défaut de la plateforme lors de l’activation. |
| Champs supplémentaires |
Si vous souhaitez remplir le champ supplémentaire utilisateur country (pays) via SSO, une valeur acceptable serait soit Country ID (ID de pays), soit Country Name (nom de pays) comme indiqué dans l’article intitulé Liste des codes pays ISO 3166-1. Si vous avez défini des champs supplémentaires utilisateur obligatoires sur la plateforme, assurez-vous qu’ils sont bien mappés ici afin qu’ils puissent être remplis. Dans le cas contraire, l’utilisateur ne pourra pas être créé correctement. |
Verrouiller les champs d’utilisateur provisionnés :
Cochez la case Verrouiller les champs d’utilisateur provisionnés pour empêcher les utilisateurs de modifier le moindre champ utilisateur provisionné depuis l’espace Mon profil. Ces champs apparaîtront grisés et seront désactivés, de sorte que l’utilisateur ne puisse pas modifier la valeur obtenue auprès du fournisseur d’identité.
→ Notez cependant qu’un Superadmin ou un Power User peut toujours modifier les valeurs de ces champs provisionnés verrouillés sur la page de Gestion des utilisateurs avec la limitation suivante : seuls les champs contenant des informations sur l’utilisateur peuvent être modifiés, tandis que les champs supplémentaires utilisateur, s’ils sont verrouillés, ne peuvent être modifiés par personne.
Mettre à jour les champs provisionnés:
Cochez la case Si l’utilisateur existe déjà, mettre à jour ses informations pour mettre automatiquement à jour sur la plateforme les valeurs de tous les champs provisionnés qui ont été modifiés du côté du fournisseur d’identité. Si vous ne sélectionnez pas cette option, vous devrez copier manuellement toutes les modifications pour que les champs provisionnés restent alignés.
Astuce : interaction entre champs verrouillés avec plusieurs fournisseurs SSO
Sur les plateformes avec plus d’un fournisseur SSO actif pour le même domaine, vous pouvez rencontrer des incohérences dans le verrouillage des champs si deux fournisseurs ont activé le provisionnement mais ont utilisé des paramètres différents pour Verrouiller les champs d’utilisateur provisionnés (l’un étant activé, l’autre étant désactivé).
Par exemple :
- Les champs peuvent rester verrouillés même pour le fournisseur dont le verrouillage est désactivé
- Inversement, il se peut que des champs soient déverrouillés pour le fournisseur alors que le verrouillage est activé
Par conséquent, il est recommandé d’éviter d'avoir plusieurs fournisseurs SSO actifs sur le même domaine, car des interférences peuvent se produire même si certains fournisseurs ne sont pas entièrement configurés.
→ Notez que ce comportement ne se produit que lorsque plusieurs fournisseurs SSO sont actifs sur la même plateforme racine ou le même client/domaine d’entreprise étendu. Toutefois, les paramètres de verrouillage de champs d’un domaine n’affectent pas les autres domaines.
Cliquez sur Enregistrer les modifications pour terminer la configuration.
Veuillez noter que tous les paramètres de provisionnement décrits ici ne s’appliquent qu’aux utilisateurs se connectant via SSO (authentification unique). Par exemple, les champs provisionnés verrouillés ne seront pas désactivés pour les utilisateurs qui se connectent à l’aide de leurs identifiants sur la plateforme.
Comparaison des champs utilisateur avec le protocole SAML et l’application d’automatisation
En fonction du champ, vous pouvez les importer via CSV, via SAML ou via l’application d’automatisation.
Voici une comparaison des champs que vous pouvez importer grâce à l’application d’automatisation ou au SSO via SAML :
| Champ de données utilisateur Docebo | Application d’automatisation | SSO via SAML |
|---|---|---|
| Username (Nom d’utilisateur) | Oui | Oui |
| First name (Prénom) | Oui | Oui |
| Last name (Nom) | Oui | Oui |
| Email (E-mail) | Oui | Oui |
| Level (Niveau) | Oui | |
| Profile name (Nom du profil) | Oui | |
| Branch name (Nom de la branche) | Oui | Oui |
| Branch code (Code de la branche) | Oui | Oui |
| Branch name path (Chemin du nom de la branche) | Oui | |
| Branch code path (Chemin du code branche) | Oui | |
| Password (Mot de passe) | Oui | |
| Hashed password (Mot de passe crypté) | Oui | |
| Active (Actif) | Oui | |
| Force password change (Forcer le changement de mot de passe) | Oui | |
| Expire on (Expire le) | Oui | |
| Language (Langue) | Oui | Oui |
| Date format (Format de la date) | Oui | |
| Time zone (Fuseau horaire) | Oui | |
| New username (Nouveau nom d’utilisateur) | Oui | |
| User ID (ID utilisateur) | ||
| Is manager (Est un manager) | Oui | |
| UUID | ||
| Direct manager (Manager direct) | Oui (Note : le champ permettant de modifier cette valeur est Is Manager) |
|
| Other manager types (Autres types de manager) | ||
| Additional fields (Champs supplémentaires) | Oui | Oui |
À noter : la création de branches via CSV n’est pas prise en charge avec le protocole SAML. Tous les utilisateurs seront automatiquement placés dans la branche racine dans les configurations à un seul domaine, ou dans la branche correspondant au sous-domaine concerné si l’application Extended enterprise est activée.
Lorsque vous déterminez votre stratégie de provisionnement, demandez-vous si vous souhaitez surveiller vos utilisateurs ou envoyer des notifications avant la mise en service. Si c’est le cas, vous devrez précharger ces utilisateurs.
Meilleures pratiques
Remplissage automatique des groupes
Pour tirer le meilleur parti de cette intégration, vous pouvez créer des groupes automatiques, puis utiliser l’application Règles d’inscription de Docebo pour inscrire automatiquement ces groupes à des cours ou des plans de formation. Ainsi, lorsqu’un nouvel utilisateur est créé, vous n’aurez pas à l’assigner manuellement à des groupes, des cours ou des plans de formation.
Veuillez noter que pour associer correctement les champs SAML nouvellement ajoutés aux champs supplémentaires de la plateforme nouvellement ajoutés et les utiliser pour remplir automatiquement les groupes, vous devez toujours vous déconnecter de la plateforme de formation et du fournisseur d’identité. Par conséquent, assurez-vous d’avoir activé l’option dans la section Comportement de déconnexion. Si cette option n’est pas activée, le processus de provisionnement des utilisateurs n’aura pas lieu.
Points de terminaison SAML simplifiés
Pour certains fournisseurs d’identité SAML, les points de terminaison SAML standard fournis par les métadonnées XML ne sont pas autorisés. Dans ce cas, Docebo dispose de points d’accès simplifiés qui reposent sur des métadonnées SAML 2.0 dénuées de la partie chaîne de requête, ce qui les rend acceptable pour l’OpenSAML :
http(s)://exempleLMS.docebosaas.com/simplesaml/modules/saml/sp/saml2-logout.php/default-sp
http(s)://exempleLMS.docebosaas.com/simplesaml/modules/saml/sp/saml2-acs.php/default-sp
Configuration d’un domaine après la configuration du SSO via SAML
Si un domaine personnalisé ou un domaine secondaire doit être configuré après avoir paramétré le SSO via SAML :
- Tout d’abord, configurez complètement le domaine personnalisé ou le domaine secondaire sur votre plateforme, comme indiqué dans l’article correspondant : Gestion des domaines : configuration de domaines personnalisés ou Gestion des domaines : configuration de domaines secondaires.
- Ensuite, accédez à la page des paramètres SAML et, dans la section SAML 2.0 metadata (Métadonnées SAML 2.0 SP), copiez les nouvelles informations (telles que ID entité, URL de connexion ou URL de déconnexion) . Ensuite, utilisez-les pour mettre à jour la configuration du côté du fournisseur d’identité. De cette manière, le fournisseur d’identité sera connecté au domaine nouvellement configuré plutôt qu’à l’URL de la plateforme précédente.
Certification AWS
Docebo est disponible sur le catalogue AWS SSO.
Remarques supplémentaires
À noter : pour éviter les configurations SAML inappropriées, Docebo a mis en place un bloqueur depuis avril 2018. Si la connexion tourne inlassablement en boucle, Docebo a ajouté un stoppeur qui affichera une page d’erreur. De plus, le navigateur qui a démarré la boucle sera déconnecté pendant une heure.