Skip to content
← Blog
Produit

SSO en self-service : connectez Okta, Azure AD ou Google Workspace en quelques minutes

La plupart des plateformes vous font créer un ticket de support et attendre des jours pour le SSO. JieGou permet à votre équipe IT de configurer SAML 2.0 ou OIDC eux-mêmes — 7 fournisseurs d'identité, mapping groupe-rôle, provisionnement JIT et diagnostics de connexion dans un flux de configuration en 9 étapes.

JT
JieGou Team · · 7 min de lecture

Le SSO est dans le top 3 des cases à cocher de chaque grille d’évaluation enterprise. Et sur la plupart des plateformes, l’activer signifie créer un ticket de support, planifier un appel avec un ingénieur solutions, et attendre 3 à 5 jours ouvrables pour que quelqu’un appuie sur un bouton à votre place.

Les équipes IT enterprise ne veulent pas attendre. Elles veulent ouvrir une page de paramètres, coller une URL de métadonnées, tester la connexion, et passer à autre chose. C’est exactement ce que fait la configuration SSO en self-service de JieGou.

7 fournisseurs d’identité, 2 protocoles

JieGou prend en charge 7 préconfigurations de fournisseurs d’identité prêtes à l’emploi :

FournisseurProtocoles
OktaSAML 2.0, OIDC
Azure AD (Entra ID)SAML 2.0, OIDC
Google WorkspaceSAML 2.0, OIDC
OneLoginSAML 2.0, OIDC
Auth0SAML 2.0, OIDC
Ping IdentitySAML 2.0, OIDC
Fournisseur personnaliséSAML 2.0, OIDC

L’option Fournisseur personnalisé fonctionne avec tout fournisseur d’identité compatible SAML 2.0 ou OIDC. Si votre IdP parle l’un de ces protocoles, il fonctionne avec JieGou.

Détails des protocoles

SAML 2.0

Entrez une URL de métadonnées et JieGou récupère automatiquement le document XML, extrayant l’entity ID, l’URL SSO et le certificat X.509 automatiquement. Pas de copier-coller manuel de certificats.

Options de configuration :

  • 4 formats Name ID — email, persistent, transient, unspecified
  • Signature de requête d’authentification — signer les requêtes d’authentification SAML pour les fournisseurs qui l’exigent
  • Empreinte de certificat — validation d’empreinte SHA-256 pour le certificat de signature de l’IdP

OpenID Connect (OIDC)

Entrez une URL de découverte et JieGou la normalise automatiquement — ajoutant /.well-known/openid-configuration si nécessaire — puis récupère le document de découverte pour remplir les endpoints automatiquement.

Options de configuration :

  • Client ID + secret client chiffré — le secret client est chiffré via key-vault avant le stockage
  • Scopes configurables — par défaut : openid profile email groups
  • 3 méthodes d’authentification token endpointclient_secret_basic, client_secret_post, private_key_jwt

Le flux de configuration

La configuration se fait en 9 étapes :

  1. Naviguer vers les paramètres du compte — La configuration SSO se trouve dans les paramètres de sécurité de votre compte
  2. Sélectionner le protocole — SAML 2.0 ou OIDC
  3. Choisir la préconfiguration fournisseur — choisir parmi les 7 préconfigurations, ou sélectionner Personnalisé
  4. Entrer le domaine email — unicité imposée à travers tous les comptes, pour qu’aucune organisation ne puisse revendiquer le même domaine
  5. Remplir les champs spécifiques au fournisseur — URL de métadonnées pour SAML, URL de découverte pour OIDC, plus toute configuration spécifique au fournisseur
  6. Configurer le provisionnement — activer ou désactiver le provisionnement automatique, définir le rôle par défaut pour les nouveaux utilisateurs
  7. Configurer les mappings groupe-rôle — mapper les groupes de l’IdP aux rôles JieGou
  8. Sauvegarder la configuration — valide tous les champs avant de persister
  9. Tester la connexion — exécuter les diagnostics, examiner les résultats, puis activer

Les étapes 1-8 sont de la configuration. L’étape 9 est celle où vous vérifiez que tout fonctionne avant de passer en production.

Test de connexion avec diagnostics

Le bouton de test exécute une suite de diagnostics complète contre votre configuration IdP. Un clic, et vous voyez des indicateurs de réussite/échec par vérification avec des résultats codés par couleur.

Diagnostics SAML :

  • Document de métadonnées récupéré avec succès ?
  • URL SSO accessible ?
  • Certificat X.509 valide et non expiré ?

Diagnostics OIDC :

  • Document de découverte récupéré avec succès ?
  • Token endpoint accessible ?
  • Claim de groupe trouvé dans la réponse du token ?

Chaque vérification affiche une réussite ou un échec clair. Si quelque chose casse, vous voyez exactement quelle étape a échoué — pas un message générique « erreur de configuration SSO ». Les résultats des tests sont stockés pour votre piste d’audit, vous avez donc un enregistrement de quand la connexion a été validée et par qui.

Mapping groupe-rôle

JieGou a une hiérarchie à 6 rôles : Owner, Admin, Dept Lead, Member, Auditor et Viewer. Le mapping groupe-rôle SSO vous permet de connecter la structure de groupes de votre IdP directement à ces rôles.

Le mapping fonctionne ainsi :

Groupe IdPRôle JieGou
engineering-leadsDept Lead
engineeringMember
finance-auditorsAuditor
executivesAdmin
contractorsViewer

Vous pouvez également assigner des départements depuis les groupes. Si votre IdP a des groupes comme dept-engineering ou dept-marketing, mappez-les aux départements JieGou pour que les utilisateurs atterrissent automatiquement dans le bon contexte organisationnel.

Les utilisateurs sans groupe correspondant reçoivent le rôle par défaut — typiquement Member. Cela signifie que chaque utilisateur SSO obtient un accès, même si la structure de groupes de votre IdP ne reflète pas parfaitement le modèle de rôles de JieGou.

Provisionnement Just-in-Time

Quand le provisionnement JIT (Just-in-Time) est activé, les nouveaux utilisateurs n’ont pas besoin d’invitation séparée. Voici ce qui se passe :

  1. Un utilisateur s’authentifie via SSO
  2. Son domaine email correspond à votre domaine SSO configuré
  3. JieGou crée automatiquement son adhésion au compte avec le rôle par défaut configuré
  4. Les mappings groupe-rôle s’appliquent, mettant à jour ou spécifiant le rôle si une correspondance est trouvée
  5. Les affectations de département issues des mappings de groupe sont appliquées
  6. L’utilisateur est dirigé vers le flux d’intégration

Aucune action administrateur requise. Aucun lien d’invitation à gérer. Un nouvel employé se connecte dès son premier jour, et son accès est configuré par les groupes auxquels il appartient dans votre IdP.

Flux de connexion

Du point de vue de l’utilisateur, la connexion SSO se fait en 3 clics :

  1. Cliquer sur « Se connecter avec SSO » sur la page de connexion
  2. Entrer son adresse email
  3. Le système effectue une recherche de domaine — un endpoint public, non authentifié, qui vérifie si le domaine email a un fournisseur SSO configuré
  4. Si un fournisseur est trouvé, un bouton « Se connecter avec [Nom du fournisseur] » apparaît
  5. Cliquer dessus, s’authentifier auprès de l’IdP via signInWithPopup, et atterrir dans JieGou

L’endpoint de recherche de domaine est intentionnellement public. Il ne révèle pas si une adresse email spécifique existe — uniquement si un domaine a du SSO configuré. C’est le pattern standard utilisé par la plupart des implémentations SSO pour diriger les utilisateurs vers le bon IdP.

Sécurité

Unicité de domaine — Chaque domaine email ne peut être revendiqué que par un seul compte. Cela empêche un compte malveillant de configurer le SSO pour un domaine qu’il ne possède pas et d’intercepter les flux d’authentification.

Journalisation d’audit — Chaque changement de configuration est journalisé : qui a changé quoi, quand, et les valeurs avant/après. La configuration, la modification, le test, l’activation et la désactivation du SSO sont tous suivis.

Accès administrateur uniquement — La configuration SSO requiert la permission account:admin. Les utilisateurs réguliers peuvent s’authentifier via SSO mais ne peuvent pas voir ou modifier la configuration.

Secrets chiffrés — Les secrets clients OIDC sont chiffrés via key-vault avant d’être écrits dans la base de données. Ils sont déchiffrés en mémoire uniquement quand nécessaire pour l’échange de tokens.

Disponibilité

La configuration SSO/SAML en self-service est disponible sur les plans Enterprise. Inclut les 7 préconfigurations de fournisseurs d’identité, le support SAML 2.0 et OIDC, le mapping groupe-rôle, le provisionnement JIT, les diagnostics de connexion et la journalisation d’audit complète. En savoir plus sur les fonctionnalités enterprise ou démarrer un essai.

sso saml oidc enterprise security identity

Explore more

⚙️ Enterprise Plan ⚙️ Platform Overview ⚙️ How It Works
Partager cet article

Articles connexes

80 % de votre personnel utilise de l'IA non approuvée. Voici ce que ça vous coûte.

L'IA fantôme n'est pas hypothétique. 80 %+ d'utilisation non approuvée, 33 % partageant des données propriétaires, 650K$+ par violation. La crise est quantifiée. Voici comment la gouvernance l'empêche.

412 politiques, zero lacune : Conformite entreprise pour l'automatisation AI

Comment le cadre de conformite de JieGou couvre 17 domaines avec 412 documents de politiques pre-remplis, une evaluation basee sur Terraform et une evaluation automatisee de la posture — concu pour les industries reglementees.

Pourquoi l'état gouverné surpasse la mémoire persistante pour l'IA d'entreprise

OpenAI et Amazon ont annoncé un Stateful Runtime Environment pour les agents Frontier. Voici pourquoi l'architecture d'état gouverné de JieGou — où chaque mutation d'état est visible, auditable et périmétée — est la meilleure approche pour l'IA d'entreprise.

Vous avez aime cet article ?

Recevez des astuces workflows, des mises a jour produit et des guides d'automatisation dans votre boite de reception.

No spam. Unsubscribe anytime.

← Retour a tous les articles