Attention : cet article explique comment utiliser la nouvelle interface de la page SAML, qui sera mise à la disposition de tous les clients dans le courant de l’année 2026.
→Si vous observez des différences entre votre plateforme et ce qui est décrit dans cet article, merci de consulter l’article sur l’ancien menu de configuration du SAML.
Introduction
L’application SAML de votre plateforme vous permet de configurer l’authentification unique (SSO) à l’aide de divers fournisseurs d’identité. De cette façon, les utilisateurs peuvent se connecter à leur plateforme d’apprentissage à l’aide des identifiants de sessions actives sur d’autres plateformes web.
Veuillez noter que la plateforme propose deux options pour la configuration SAML : Smart et Standard. Pour un aperçu des différences, consultez l’article Introduction à Docebo for SAML.
Cet article fournit des instructions générales au sujet des configurations Smart et Standard.
Configurer SAML avec des fournisseurs d’identité spécifiques
Si vous configurez SAML pour qu’il fonctionne avec Okta, Microsoft Entra ID (Azure AD), OneLogin ou Google, consultez également les articles suivants qui fournissent des instructions spécifiques :
- Configuration d’Okta
- Configuration de Microsoft Entra ID (Azure AD)
- Exemple de configuration de OneLogin
- Configuration de Google (s'ouvre dans un nouvel onglet)
De même, lors de la configuration du SAML, n’oubliez pas de régler le paramètre Assertion encryption (chiffrement des assertions) sur Déchiffré, car ce paramètre est entièrement pris en charge.
Note importante pour la migration depuis l’ancien menu de configuration du SAML
Docebo a revu le calendrier de déploiement du nouveau service SAML. Au lieu de procéder à des activations progressives et forcées auprès de différents groupes de clients, le nouveau service SAML sera disponible simultanément sur toutes les plateformes le 22 juillet 2026. Les organisations pourront activer le service à leur propre rythme sur notre Rampe de lancement, la nouvelle section du panneau d’administration permettant de découvrir et gérer les mises à jour des produits.
Ce qui va changer :
Auparavant, Docebo prévoyait de déployer le nouveau service SAML par le biais d’activations obligatoires échelonnées sur plusieurs mois. Cette approche a été revue afin de donner à votre organisation un meilleur contrôle sur le calendrier de ce changement. À compter du 22 juillet 2026, le nouveau service SAML sera disponible sur notre Rampe de lancement, et vous déciderez quand l’activer.
Au lieu de recevoir une activation automatique à une date fixe, vous choisissez désormais la date d’activation qui convient le mieux à votre organisation et à la disponibilité de votre équipe.
Pour les utilisateurs de Microsoft Entra ID :
Si votre organisation utilise Microsoft Entra ID (anciennement Azure Active Directory) et a déjà ajouté la nouvelle URL de réponse à son application d’entreprise, ce changement de calendrier n’entraînera aucune complexité supplémentaire. Le processus d’activation restera simple. Au lieu d’une activation forcée en mai 2026, le nouveau service SAML sera disponible sur la Rampe de lancement à partir du 22 juillet 2026. Vous pourrez alors l’activer dès que votre équipe sera prête.
Action requise pour les plateformes avec fournisseur d’identité Microsoft Entra ID (Azure) :
Avant la migration de votre plateforme vers le nouveau service SAML, vous devez mettre à jour votre configuration SAML Entra ID pour ajouter l’URL de réponse suivante :https://[nom de votre plateforme]/sso/v1/saml/consume
(ne pas supprimer les URL existantes)
Mise à jour des métadonnées du fournisseur de services SAML requise :
Pour tous les fournisseurs d’identité, veuillez noter qu’avec la migration vers le nouveau SAML, les métadonnées du fournisseur de service SAML (ID d’entité, URL de connexion et URL de déconnexion) pour votre plateforme ont été modifiées :.
- Une fois la migration de votre plateforme vers la nouvelle page SAML effectuée, les configurations SAML préexistantes (réalisées avec les anciennes valeurs) continueront de fonctionner à condition que vous ne mettiez pas à jour l’option Certificat du fournisseur de services.
- Toutefois, si vous mettez à jour l’option Certificat de fournisseur de services , vous devrez également mettre à jour les métadonnées du fournisseur de services SAML sur votre fournisseur d’identité (IdP) avec les nouvelles valeurs des champs ID entité, URL de connexion et URL de déconnexion, copiées depuis la nouvelle interface de la page SAML.
Après la période de transition liée à la migration vers la nouvelle interface de la page SAML, vous devrez mettre à jour votre Fournisseur d’identité avec les nouvelles valeurs des métadonnées copiées depuis la plateforme pour que votre intégration SAML continue de fonctionner.
Notez également que le shortcode {{course_saml_link}} est obsolète depuis la fin de l'année 2025, tandis que le shortcode {{session_saml_link}} sera obsolète en octobre 2026. Il est recommandé de les remplacer par le shortcode {{course_link}} .
Prérequis
L’application SAML doit être activée sur votre plateforme, comme décrit dans l’article Managing apps and features.
Si vous prévoyez de configurer l’authentification unique via SAML pour un domaine personnalisé ou pour un domaine secondaire, vous devez d’abord configurer le domaine sur la page de Gestion des domaines.
Accéder à la page des paramètres SAML de la plateforme
Pour commencer, ouvrez la page des paramètres SAML.
→ Vous devez effectuer cette opération sur la plateforme (plateforme principale ou client Extended Enterprise) pour laquelle vous configurez l’authentification unique.
Dans le cas d’une plateforme principale :
- Connectez-vous à la plateforme principale, par exemple
https://academy70.docebosaas.com -
Sélectionnez Menu de navigation > Modules et intégrations (icône du puzzle) > SAML
Dans le cas d’un client d’une entreprise étendue :
- Se connecter au client de l’entreprise étendue, par exemple
https://academy70.docebosaas.com/design2 - Sélectionnez Menu de navigation > Modules et intégrations (icône du puzzle) > SAML
Attention : notez que la page des paramètres SAML 2.0 sera la même dans les deux cas (plateforme principale ou client d’entreprise étendue). Néanmoins :
- Les paramètres SAML que vous définissez lorsque vous êtes connecté au client de l’entreprise étendu ne s’appliqueront qu’à ce client..
- Les paramètres SAML que vous définissez lorsque vous êtes connecté à la plateforme principale (racine) s’appliquent à la plateforme principale et à tous les clients de l’entreprise étendue dépourvus de leur propre configuration SAML.
Une fois la page des paramètres SAML ouverte, si le protocole SAML a déjà été configuré, vous verrez votre configuration préexistante : consultez le chapitre Configurer ou modifier les champs des paramètres SAML.
Si le SAML n’est pas encore configuré, vous verrez un écran vide où vous pourrez démarrer une nouvelle configuration SAML.
Ancienne interface de configuration SAML pour un client d’une entreprise étendue :
Vous pouvez également accéder aux paramètres SAML d’un client d’une entreprise étendue de la manière suivante :
- Sélectionnez Menu de navigation > Configuration (icône de clé à molette) > Configuration de la plateforme et outils > Gestion de l’entreprise étendue.
- cliquez sur l’icône d’engrenage à côté du client pour lequel vous configurez le SSO.
-
dans la navigation verticale, sélectionnez Paramètres SAML 2.0. Sélectionnez ensuite Activer la configuration personnalisée pour ce client.
Notez toutefois qu’avec cette méthode, vous devrez configurer les champs via l’ancienne interface. Pour cela, veuillez vous référer à l’article sur l’Ancienne interface de configuration SAML. Cet article couvre plutôt la nouvelle interface de la page SAML, à laquelle vous pouvez accéder en vous connectant à la plateforme requise (racine ou d’entreprise étendue) en sélectionnant Menu de navigation > Modules et intégrations (icône de puzzle) > SAML.
Démarrer une nouvelle configuration du SAML
Pour démarrer une nouvelle configuration du SAML
- Accédez à la page des paramètres SAML et cliquez sur le bouton Configurer SAML.
- Dans le panneau latéral de droite, choisissez si vous souhaitez utiliser le type de configuration Smart ou Standard. La configuration Smart est légèrement plus simple, mais si nécessaire, vous pouvez également passer à l’approche Standard.
- Ensuite, cliquez sur Confirmer.
Les paramètres SAML pour le type de configuration choisi s’affichent. Continuez à les configurer comme décrit dans le chapitre Configurer ou modifier les champs des paramètres SAML.
À noter : vous ne pourrez pas modifier une configuration existante de Smart à Standard ou vice versa. Si vous souhaitez changer de configuration, vous devez réinitialiser la configuration actuelle et recommencer.
Configurer ou modifier les champs des paramètres SAML
En ouvrant la page des paramètres SAML, vous verrez une section sur la gauche divisée en quatre onglets verticaux :
-
Paramètres de connexion : configurez la connexion entre la plateforme et votre fournisseur d’identité pour l’authentification unique (SSO).
→ Certains de ces paramètres varient selon que vous avez choisi le type de configuration Smart ou Standard. - Provisionnement des utilisateurs (facultatif) : cette section vous permet de créer automatiquement un nouvel utilisateur sur la plateforme si l’authentification unique est valide mais que cet utilisateur n’existe pas encore sur la plateforme.
- Options de connexion et de déconnexion (facultatif) : vous permet de personnaliser comment les utilisateurs se connectent et se déconnectent de la plateforme avec l’authentification unique via le protocole SAML.
- Réinitialiser la configuration : sélectionnez cette option si vous devez tout reconfigurer.
Le tableau suivant résume les paramètres applicables à chaque type de configuration, avec des liens vers les chapitres correspondants.
Les configurations SAML nouvellement créées sont Inactives par défaut. Lorsque vous avez terminé la configuration SAML et cliqué sur Enregistrer les modifications, n’oubliez pas de la faire passer sur Active à l’aide du bouton situé en bas de l’écran.
Paramètres de connexion > URL SSO et ID entité (uniquement pour la configuration Smart)
Pour la configuration Smart, vous devez saisir dans cet espace les informations suivantes, nécessaires pour établir la connexion avec le fournisseur d’identité.
→ Ces deux valeurs sont obtenues auprès de votre fournisseur d’identité
URL pour l’authentification unique : le point de terminaison SAML HTTP de votre fournisseur d’identité. Il s’agit de l’adresse web réelle où les demandes SAML sont envoyées pour initier l’authentification
ID du fournisseur d’identité : il s’agit d’un identifiant unique pour le service d’authentification SAML de votre compte auprès du fournisseur d’identité. Par exemple, pour OneLogin, il s’agit de Issuer URL (URL émetteur), tandis que pour Microsoft Entra, il s’agit de Microsoft Entra Identifier (identifiant Microsoft Entra).
Paramètres de connexion > Certificat X.509 (uniquement avec la configuration Smart)
Ici, vous devez téléverser le certificat X.509 obtenu auprès du fournisseur d’identité.
→ Votre certificat X.509 sera validé lors du téléchargement. Voir le chapitre Validation et expiration des certificats ci-dessous.
À noter : lorsque vous téléchargez le certificat X.509 du fournisseur d’identité, définissez l’empreinte SHA sur l’algorithme de chiffrement SHA-256, car c’est celui qui est utilisé sur la plateforme. L’algorithme SHA-1 n’est plus pris en charge.
Validation et expiration des certificats
La plateforme valide automatiquement les certificats téléchargés, en assure le suivi et vous informe de leur expiration. Cela s’applique à la fois aux fichiers du certificat X.509 et du certificat du fournisseur de services.
Validation : une fois le téléversement du fichier de certificat X.509 terminé, un message apparaîtra pour vous indiquer si le fichier téléversé est valide ou non.
Vous pouvez appuyer sur le bouton Visualiser détails pour vérifier comment la plateforme a lu et validé vos fichiers de certificat, y compris le statut de validité et les dates d’expiration.
Expiration :
Votre plateforme utilisera automatiquement les dates d’expiration de vos certificats téléversés pour envoyer à tous les Superadmins de la plateforme des notifications obligatoires concernant les mises à jour nécessaires de votre configuration SAML à l’approche de votre date d’expiration (30, 15, 5 et un jours avant l’expiration du certificat). Les notifications ne peuvent pas être modifiées ou désactivées. De cette façon, vous pouvez mettre à jour votre configuration SAML avant son expiration, afin que vos utilisateurs ne soient pas bloqués lors de la connexion à la plateforme. Pour les plateformes Extended Enterprise, des notifications seront envoyées pour les configurations SAML à la fois sur la plateforme principale et sur tous les clients Extended Enterprise.
Paramètres de connexion > Métadonnées XML (uniquement avec la configuration Standard)
Dans le cas de la configuration standard, vous pouvez coller dans ce champ le contenu du fichier de métadonnées XML obtenu auprès de votre fournisseur d’identité.
→ Le fichier de métadonnées contient généralement l’identifiant de l’entité, l’URL SSO, l’URL SLO et les certificats du fournisseur d’identité.
Paramètres de connexion > Attribut du nom d’utilisateur
Dans cet espace, vous devez définir le champ du fournisseur d’identité (Attribut du nom d’utilisateur) qui sera utilisé pour identifier de manière unique l’utilisateur sur la plateforme.
- Le champ sélectionné doit être renseigné pour tous vos utilisateurs du côté du fournisseur d’identité, et également distinct pour chaque utilisateur.
- Par défaut, le champ que vous indiquerez dans Attribut du nom d’utilisateur sera associé au champ Nom d’utilisateur sur la plateforme.
*Dans le cas de la configuration standard, vous pouvez éventuellement faire correspondre l’Attribut du nom d’utilisateur à un champ différent de la plateforme. Consultez le chapitre suivant à propos du Champ unique.
Paramètres de connexion > Champ unique (uniquement avec la configuration Standard)
Le Champ unique vous permet de définir le champ utilisateur de la plateforme (Nom d’utilisateur, UUID, E-mail) qui sera mappé avec le champ du fournisseur d’identité défini via l’Attribut du nom d’utilisateur.
- Si les deux champs correspondent, l’utilisateur s’authentifiant via SSO est considéré comme existant déjà sur la plateforme, et sera connecté à ce compte.
- Dans le cas contraire, l’utilisateur connecté via SSO n’existe pas encore sur la plateforme (mais peut être créé automatiquement si vous configurez le Provisionnement des utilisateurs).
→ Il est recommandé de définir le champ Nom d’utilisateur.
Remarque : l’UUID est un identifiant utilisateur unique en lecture seule sur la plateforme
Remarques importantes concernant les champs uniques :
- Lorsque le Champ unique sélectionné est E-mail, si plusieurs comptes d’utilisateurs ont la même adresse e-mail sur votre plateforme, lorsque l’un des comptes concernés tentera de se connecter à la plateforme via SAML, l’accès à la plateforme sera accordé au compte le plus récemment créé.
- Vous ne pouvez pas créer de nouveaux utilisateurs via SAML si vous sélectionnez l’attribut UUID, car ce dernier n’est généré que lorsqu’un utilisateur est créé sur la plateforme.
Paramètres de connexion > Métadonnées du fournisseur de services SAML
Vous pouvez copier l’ID d'entité, l’URL de connexion et l’URL de déconnexion affichés ici pour les saisir dans la configuration de votre fournisseur d’identité.
Ici, vous pouvez également télécharger le fichier de métadonnées, si votre fournisseur l’exige.
Important : si vous avez une configuration SAML héritée de l’ancienne version, vous devrez mettre à jour votre fournisseur d’identité avec les nouvelles valeurs des métadonnées copiées ici. Cela permettra à votre intégration de continuer à fonctionner après la période de transition ou après la mise à jour du Certificat du fournisseur de services. Pour plus de détails, consultez la Note importante pour la migration à partir d’une configuration SAML existante.
Paramètres de connexion > Certificat du fournisseur de services
Ce certificat permet à la plateforme de signer les requêtes d’authentification SAML et les assertions envoyées au fournisseur d’identité. Certains fournisseurs d’identité ou fédérations peuvent exiger que les fournisseurs de services détiennent un certificat.
La génération de ce certificat est facultative, mais obligatoire si vous souhaitez configurer le Comportement de déconnexion.
Pour générer un certificat :
Cochez la case Autoriser le certificat du fournisseur de services. Lorsque vous enregistrez la configuration, le certificat est généré et les boutons suivants apparaissent :
- Download certificate (Télécharger le certificat)
- Copy certificate (Copier le certificat)
- Generate new certificate (Générer le nouveau certificat)
Notez que lorsque vous cliquez sur Generate new certificate, le nouveau certificat est généré sans que vous ayez à Enregistrer les modifications, et les boutons Download et Copy fourniront déjà le nouveau certificat.
Si vous décochez la case et enregistrez les modifications, le certificat généré est supprimé
→ Vous devrez ensuite télécharger le certificat et le téléverser sur le site du fournisseur d’identité.
Important : si votre configuration SAML est héritée d’une migration, lorsque vous mettrez à jour le certificat du fournisseur de services, vous devrez également mettre à jour votre fournisseur d’identité avec les nouvelles valeurs des métadonnées du fournisseur de services, si vous ne l'avez pas déjà fait. Pour en savoir plus, consultez la Note importante pour la migration à partir d’une configuration SAML héritée.
Notifications d’expiration : la plateforme enverra des notifications pour avertir que le certificat du fournisseur de services est sur le point d’expirer. Pour en savoir plus, consultez le chapitre Validation et expiration des certificats.
Provisionnement des utilisateurs
Le provisionnement des utilisateurs vous permet de créer automatiquement un nouvel utilisateur sur la plateforme si l’authentification unique (SSO) est valide, mais que cet utilisateur n’existe pas encore sur la plateforme. Il vous permet également de mettre à jour automatiquement les détails d’un utilisateur sur la plateforme en fonction des informations correspondantes dans le fournisseur d’identité.
→ Vous pouvez configurer cela dans l’onglet Provisionnement des utilisateurs des paramètres SAML.
Astuce : par défaut, un utilisateur est considéré comme existant déjà sur la plateforme si son Nom d'utilisateur correspond au champ du fournisseur d’identité que vous avez défini comme Attribut du nom d'utilisateur.
Uniquement dans la configuration SAML Standard, vous pouvez si nécessaire définir un champ de correspondance différent (UUID ou E-mail au lieu de Nom d'utilisateur) dans le Champ unique.
Activer la création d'utilisateurs provisionnés :
Pour commencer, cochez la case Activer pour le provisionnement des utilisateurs. Tout utilisateur se connectant via SSO et n’existant pas encore sur la plateforme sera créé à la volée, par défaut. Son Nom d’utilisateur sur la plateforme correspondra au champ du fournisseur d’identité défini dans la case Attribut du nom d’utilisateur.
→ Remarque pour la configuration standard : si au lieu de Nom d'utilisateur, un champ unique différent est défini pour la correspondance, veuillez noter que l’option UUID ne permettra pas de créer des utilisateurs provisionnés, et que l’option E-mail ne fonctionnera correctement que si tous les utilisateurs ont des e-mails distincts.
Remarque sur le placement par défaut dans la branche : dans le cas de l’utilisation du SSO sur la plateforme racine, les utilisateurs nouvellement créés seront placés dans la branche racine. Dans le cas où le SSO est utilisé sur un client d’une entreprise étendue, les utilisateurs nouvellement créés seront placés dans la branche associée au client.
Ajouter davantage de champs provisionnés :
En plus du Nom d'utilisateur, vous souhaiterez peut-être renseigner d’autres détails d’un utilisateur provisionné à l’aide des informations récupérées auprès du fournisseur d’identité.
Ces paramètres peuvent être configurés dans la case Correspondance des champs.
Cliquez sur le bouton Ajouter des champs et, dans le panneau Ajouter des champs utilisateur qui s’ouvre, sélectionnez le champ utilisateur de la plateforme ou le champ utilisateur supplémentaire que vous souhaitez ajouter.
- Vous pouvez également sélectionner plusieurs champs à la fois.
- Lors de la sélection des champs, reportez-vous à la liste des champs utilisateur pris en charge pour le provisionnement SAML ci-dessous.
Lorsque vous avez terminé, cliquez sur Ajouter.
→ Les champs de plateforme que vous avez ajoutés apparaîtront dans la section Correspondance des champs.
Ensuite, dans la case Attribut SAML à côté du champ nouvellement ajouté, saisissez l’attribut correspondant du fournisseur d’identité que vous souhaitez utiliser pour ce champ.
Notez que chaque champ de la plateforme et du fournisseur d’identité ne peut être utilisé qu’une seule fois. Vous ne pouvez pas faire correspondre plusieurs champs de plateforme au même attribut, ou vice versa.
Champs d'utilisateur pris en charge pour le provisionnement SAML :
Nom d'utilisateur, Prénom, Nom, E-mail, Nom de la branche, Code de la branche, Langue et Champs supplémentaires.
| Champ dans la plateforme | Remarques |
| Nom d’utilisateur | |
| Prénom Nom |
Si dans Paramètres avancés > Auto-inscription de la plateforme vous avez coché l'option Le prénom et le nom sont requis pour s'inscrire, assurez-vous d’inclure ces champs dans la section Ajouter des champs, afin que les utilisateurs provisionnés puissent être créés. |
| Nom de la branche | |
| Code de la branche | |
| Langue | Dans le champ de langue de votre fournisseur d’identité, l’entrée doit utiliser l’un des codes de langue que la plateforme utilise pour identifier les langues (en = anglais, de = allemand, etc.). Si le code fourni pour ce champ pour un utilisateur spécifique ne correspond à aucun des codes de langue de la plateforme, la langue par défaut définie sur la plateforme lui sera attribuée lors de l’activation. |
| Champs supplémentaires |
Si vous souhaitez renseigner le champ supplémentaire d’utilisateur pays (country) via SSO, une valeur acceptable serait l’ID du pays (Country ID) ou le Nom du pays (Country Name) tels que listés dans l’article intitulé List of ISO 3166-1 countries. Si vous avez défini certains champs supplémentaires d'utilisateur comme obligatoires sur la plateforme, assurez-vous qu’ils sont mappés ici afin qu’ils puissent être renseignés, car sinon l’utilisateur ne pourra pas être créé correctement. |
Verrouiller les champs d'utilisateur provisionnés :
Cochez la case Verrouiller les champs d'utilisateur provisionnés pour empêcher les utilisateurs de modifier le moindre champ utilisateur provisionné depuis l’espace Mon profil. Ces champs apparaîtront grisés et marqués comme désactivés (disabled), afin que l’utilisateur ne puisse pas modifier la valeur obtenue auprès du fournisseur d’identité.
→ Pour certaines limitations et problèmes importants pouvant survenir avec des champs verrouillés, veuillez vous reporter à l’article Conseils génériques pour la configuration du SSO > Verrouiller les champs des utilisateurs provisionnés.
Mettre à jour les champs provisionnés :
Cochez la case Si l'utilisateur existe déjà, mettre à jour ses informations pour mettre à jour automatiquement, au sein de la plateforme, les valeurs de tous les champs provisionnés qui ont été modifiés du côté du fournisseur d’identité. Si vous ne sélectionnez pas cette option, vous devrez copier manuellement toutes les modifications pour maintenir les champs provisionnés alignés.
Options de connexion et de déconnexion
Dans cette section, vous pouvez personnaliser comment les utilisateurs se connectent et se déconnectent de la plateforme avec l’authentification unique via le protocole SAML.
Modalité de connexion SSO
Dans cette section, vous pouvez configurer comment les utilisateurs se connectent à la plateforme à l’aide du SSO. Vous pouvez, au choix :
- afficher la fenêtre de connexion standard, à partir de laquelle les utilisateurs cliqueront sur un bouton pour continuer vers le fournisseur SSO
- les rediriger automatiquement vers le fournisseur sans afficher la fenêtre de connexion
Pour en savoir plus, consultez l’article Conseils généraux pour la configuration du SSO > Comportement du SSO.
Déconnexion du fournisseur d'identité
Sélectionnez cette option si vous souhaitez que les utilisateurs soient automatiquement déconnectés du fournisseur d’identité lorsqu’ils se déconnectent de la plateforme.
→ Pour pouvoir la configurer, vous devez d’abord avoir téléchargé le certificat du fournisseur de services
Lorsque cette option est sélectionnée, le champ de texte URL déconnexion apparaît. Vous devez y définir l’URL sur laquelle les utilisateurs atterriront en se déconnectant de la plateforme et du fournisseur d’identité. Grâce à cette configuration, les utilisateurs peuvent atterrir sur une URL différente de celle utilisée pour l’authentification unique.
Réinitialiser ou désactiver la configuration SAML
Si vous souhaitez supprimer l’authentification unique via SAML d’une plateforme, vous pouvez soit :
- Désactiver le SAML : pour le désactiver temporairement, sans perdre aucun de vos paramètres
- Réinitialiser SAML : pour effacer complètement la configuration SAML existante
Désactiver SAML :
Pour désactiver la configuration SAML actuelle, cliquez sur le bouton Active en bas de l’écran et sélectionnez l'option Inactive.
→ L’authentification unique via SAML sera temporairement désactivée sur la plateforme jusqu’à ce que vous réactiviez la configuration SAML.
Réinitialiser SAML :
Cette option supprimera tous les paramètres SAML actuels et rétablira le SAML à son état non configuré initial.
Pour ce faire, cliquez sur le bouton Réinitialiser SAML et, dans la fenêtre qui s’ouvre, cochez la case pour confirmer et cliquez à nouveau sur Réinitialiser SAML .
→ L’authentification unique via SAML ne sera plus disponible sur la plateforme. Pour la rétablir, vous devrez reprendre la configuration depuis le début.
Conseil : SAML et clients d’entreprises étendues
N’oubliez pas que les règles suivantes s’appliquent aux clients d’entreprises étendues :
- Si un client d’une entreprise étendue a sa propre configuration SAML active , c’est cette configuration qui s’appliquera à ce client (indépendamment des paramètres SAML de la plateforme principale).
- Toutefois, si le SAML n’est pas configuré (ou s’il est configuré mais inactif) sur un client de l’entreprise étendue, ce dernier héritera de la configuration SAML de la plateforme principale.
Concrètement, cela signifie que :
- Si vous désactivez ou réinitialisez le SAML sur la plateforme principale : l’authentification unique via SAML sera également supprimée pour tous les clients de l’entreprise étendue dépourvus de leur propre configuration SAML.
- Si vous désactivez ou réinitialisez le SAML sur la plateforme principale : l’authentification unique via SAML sera également supprimée pour tous les clients de l’entreprise étendue dépourvus de leur propre configuration SAML.
Comparaison des champs utilisateur importés via le protocole SAML et avec l’application d’automatisation
Certains champs peuvent être importés via CSV, via SAML, ou via l’application Automation.
Voici une comparaison des champs que vous pouvez importer via l’application Automation ou en profitant d’une connexion SSO via SAML :
| Champ de données d'utilisateur Docebo | Application Automation | Connexion SSO via SAML |
|---|---|---|
| Nom d’utilisateur | Oui | Oui |
| Prénom | Oui | Oui |
| Nom | Oui | Oui |
| Oui | Oui | |
| Niveau | Oui | |
| Nom du profil | Oui | |
| Nom de la branche | Oui | Oui |
| Code de la branche | Oui | Oui |
| Chemin du nom de la branche | Oui | |
| Chemin du code branche | Oui | |
| Mot de passe | Oui | |
| Mot de passe crypté | Oui | |
| Actif | Oui | |
| Forcer le changement de mot de passe | Oui | |
| Expire le | Oui | |
| Langue | Oui | Oui |
| Format de la date | Oui | |
| Fuseau horaire | Oui | |
| Nouveau nom d'utilisateur | Oui | |
| ID utilisateur | ||
| Is manager (Est manager) | Oui | |
| UUID | ||
| Manager direct | Oui (Remarque : le champ permettant de renseigner cette information est Is manager) |
|
| Other manager types (Autres types de managers) | ||
| Champs supplémentaires | Oui | Oui |
À noter : la création de branches via SAML n’est pas prise en charge dans le cadre d’une importation de fichier CSV. Tous les utilisateurs seront automatiquement placés dans la branche racine dans les configurations à domaine unique ou, si l’application Extended Enterprise est active, dans la branche correspondant au sous-domaine concerné.
Lors de la définition de votre stratégie de provisionnement, demandez-vous si vous souhaitez surveiller vos utilisateurs ou envoyer des notifications avant la mise en service. Si c’est le cas, vous devrez précharger ces utilisateurs.
Meilleures pratiques
Remplissage automatique des groupes
Afin de tirer le meilleur parti de cette intégration, vous pouvez configurer des groupes automatiques, puis utiliser l’application Règles d'inscription de Docebo pour inscrire automatiquement ces groupes à des cours ou à des plans de formation. Ainsi, lorsqu’un nouvel utilisateur est créé, vous n’aurez pas à l’affecter manuellement à des groupes, des cours ou des plans de formation.
Veuillez noter qu’afin d’associer correctement les champs SAML nouvellement ajoutés et les champs supplémentaires de la plateforme nouvellement ajoutés et de les utiliser pour remplir automatiquement des groupes, vous devez toujours vous déconnecter à la fois de la plateforme et du fournisseur d’identité. Par conséquent, assurez-vous d’avoir activé l’option dans la section Comportement de déconnexion. Si cette option n’est pas cochée, ce processus de provisionnement d’utilisateurs n’aura pas lieu.
Configurer un domaine après la configuration du SSO via SAML
Si un domaine personnalisé ou un domaine secondaire doit être configuré après que le SSO via SAML a déjà été configuré, vous devrez :
- Configurer entièrement le domaine personnalisé ou le domaine secondaire sur votre plateforme, comme indiqué dans l’article correspondant : Domain management: Configuring custom domains ou Domain management: Configuring secondary domains.
- Ensuite, accédez à la page des paramètres SAML et, dans la section SAML 2.0 metadata (Métadonnées SAML 2.0 SP), copiez les nouvelles informations (telles que ID entité, URL de connexion ou URL de déconnexion) . Ensuite, utilisez-les pour mettre à jour la configuration du côté du fournisseur d’identité. De cette manière, le fournisseur d’identité sera connecté au domaine nouvellement configuré plutôt qu’à l’URL de la plateforme précédente.
Certification AWS
Docebo est disponible dans le catalogue SSO d’AWS.
Autres remarques
À noter : pour éviter les configurations SAML incorrectes, Docebo a mis en place un bloqueur depuis avril 2018. Si la connexion tourne inlassablement en boucle, Docebo a ajouté un dispositif d'arrêt qui affichera une page d'erreur. De plus, le navigateur déclenchant la boucle sera suspendu pendant une heure.