L'authentification unique (SSO) est une méthode d'authentification qui permet aux utilisateurs de se connecter en utilisant les mêmes informations d'identification que pour leur compte au travail. Les utilisateurs peuvent demander l'activation du SSO sur leur système ioTORQ par courrier électronique à l'adresse suivante [email protected]. Une fois que le SSO est activé sur leur système ioTORQ, ils peuvent intégrer leur fournisseur d'identité avec ioTORQ EMIS.
Protocole en place
Le SSO dans ioTORQ EMIS est basé sur le protocole OIDC utilisant OAuth 2.0.
Fournisseurs d'identité supportés
ioTORQ EMIS supporte Azure AD comme fournisseur d'identité pour le SSO.
Mise en place du SSO
La mise en place du SSO sur votre système ioTORQ est un processus en 2 étapes:
Activation du SSO dans ioTORQ EMIS (sur demande)
Configuration du SSO dans Azure AD (par un administrateur Azure AD de votre entreprise)
Activation du SSO dans ioTORQ EMIS
Actuellement, la configuration du SSO se fait sur demande. Lorsque vous envoyez un courriel à [email protected] pour activer le SSO, vous devez fournir les informations suivantes:
Politique SSO : Facultatif ou obligatoire
Tenant ID pour Azure AD
Facultatif ou obligatoire
Lorsque le SSO est optionnel, les utilisateurs ont deux options pour s'authentifier: (a) se connecter avec Microsoft (b) se connecter en utilisant le nom d'utilisateur et le mot de passe d'ioTORQ EMIS.
Lorsque le SSO est obligatoire, l'utilisateur est invité à indiquer son email professionnelle. L'email doit s'agir du même email que celui figurant dans le fournisseur d'identité de son employeur.
Nous recommandons de commencer avec le SSO facultatif. Une fois que le SSO a la configuration souhaitée dans le fournisseur d'identité choisi (voir la section "Ajouter ioTORQ EMIS en tant que "Enterprise Application" dans Azure AD") et qu'il a été testé (voir la section "Tester le SSO dans votre portail ioTORQ EMIS"), vous pouvez alors demander à rendre le SSO obligatoire en envoyant un email à [email protected].
Tenant ID pour Azure AD
Lorsque vous demandez à activer le SSO, vous devez fournir le Tenant ID pour Azure AD de votre entreprise. Vous pouvez le trouver dans le portail Azure > Azure Active Directory > Overview:
ioTORQ EMIS a besoin du Tenant ID pour permettre à votre Azure AD Tenant d'être intégré à notre application multi-tenant. Cela permet également de vérifier que l'utilisateur qui s'est authentifié avec succès sur la page de connexion Microsoft appartient à votre Azure AD Tenant.
Ajouter ioTORQ EMIS en tant que "Enterprise Application" dans Azure AD
En fonction de vos politiques Azure AD, vous pouvez ou non avoir besoin qu'un administrateur Azure AD soit un utilisateur EMIS avant que vos employés puissent utiliser le SSO.
Ajouter ioTORQ EMIS sans administrateur Azure AD
Si votre politique Azure AD n'exige pas qu'un administrateur Azure AD ajoute une "Enterprise Application", vos employés peuvent commencer à se connecter en utilisant leurs informations d'identification Microsoft.
Sur la page de connexion Microsoft, vos employés doivent autoriser ioTORQ EMIS à lire leur profil de base en cliquant sur "Accept".
Après la première authentification réussie, ioTORQ EMIS sera ajouté en tant que "Enterprise Application" dans votre Azure AD
Ajouter ioTORQ EMIS nécessitant un administrateur Azure AD
Si votre politique de locataire Azure AD exige que ce soit uniquement un administrateur Azure AD qui accorde le consentement aux applications, votre administrateur Azure AD doit être un utilisateur dans le EMIS (voir la section "Création d'utilisateurs" dans "Gestion des utilisateurs"). Une fois que l'administrateur Azure AD a été ajouté en tant qu'utilisateur d'EMIS, il doit procéder à l'authentification SSO initiale.
Cochez la case "Consent on behalf of your organization" pour accorder le consentement à l'ensemble de l'organisation. Si cette case n'est pas cochée et que vous décidez par la suite d'accorder le consentement de l'administrateur, voir la section "Accorder le consentement de l'administrateur".
Accorder le consentement de l'administrateur
Pour que les utilisateurs puissent utiliser l'authentification unique, un administrateur Azure AD doit accorder son consentement. Pour accorder le consentement de l'administrateur, dans Azure AD, allez à "Enterprise Applications", puis sélectionnez ioTORQ EMIS.
Cela suppose que vous avez déjà ajouté ioTORQ EMIS en tant que "Enterprise Application" dans votre Azure AD. Si ce n'est pas le cas, voir la section "Ajouter ioTORQ EMIS en tant que "Enterprise Application"".
Sur la page "ioTORQ EMIS Enterprise Application", allez dans Secuity > Permissions; et cliquez sur "Grant admin consent for <tenant>"
Cela ouvrira une nouvelle fenêtre dans laquelle vous verrez une boîte de consentement et serez invité à accepter les permissions demandées par ioTORQ EMIS pour "Sign in and read user profile"
Une fois que vous aurez cliqué sur "Accept", vous serez ramené au portail Azure avec un message, "Admin consent was successfully granted".
Permissions requises pour le consentement
Toutes les autorisations requises par ioTORQ EMIS sont nécessaires pour l'authentification unique. Elles permettent de s'assurer que la personne qui tente d'accéder à ioTORQ EMIS est bien celle qu'elle prétend être et sont nécessaires pour qu'ioTORQ EMIS vérifie qu'elle a bien l'autorisation d'accéder à certaines parties du système.
Limiter l'accès à des utilisateurs et des groupes spécifiques
Vous pouvez autoriser seulement des utilisateurs et des groupes spécifiques de votre locataire Azure AD à avoir accès à ioTORQ EMIS en utilisant l'option "Assignment required?" dans Azure AD. Pour activer cette option, dans Azure AD, allez dans "Enterprise Applications", puis sélectionnez ioTORQ EMIS.
Cela suppose que vous avez déjà ajouté ioTORQ EMIS en tant que "Enterprise Application" dans votre Azure AD. Si ce n'est pas le cas, voir la section "Ajouter ioTORQ EMIS en tant que "Enterprise Application"".
Sur la page "ioTORQ EMIS Enterprise Application", allez dans Manage > Properties; et régler “Assignment required?” à “Yes”
Ajout et suppression d'utilisateurs
Une fois que l'option “Assignment required?” est réglée à "Yes", l'accès à ioTORQ EMIS sera limité à ce qui est spécifié dans la rubrique "Users and groups”.
Vous pouvez ajouter ou supprimer un utilisateur/groupe en utilisant les boutons surlignés en rouge. Pour supprimer un utilisateur, vous devez d'abord sélectionner les utilisateurs/groupes à supprimer. Pour plus d'informations, consultez la documentation officielle d'Azure.
En résumé
En résumé, les étapes pour mettre en place le SSO sur votre portail ioTORQ EMIS sont les suivantes:
Activer le SSO dans le ioTORQ EMIS
Envoyer un email à [email protected] et fournir les informations nécessaires
Configurer le SSO dans Azure AD
Ajouter l'application ioTORQ EMIS dans Azure AD, soit par une authentification initiale SSO effectuée par un employé qui utilise EMIS ou un administrateur Azure AD.
Accorder le consentement de l'administrateur pour ioTORQ EMIS
(Facultatif mais fortement recommandé) Limiter l'accès en réglant "Assignment required?" à "Yes"
(Si “Assignment required?” est réglée à "Yes") Spécifier les utilisateurs et les groupes qui auront accès à ioTORQ EMIS
Tester le SSO dans votre portail ioTORQ EMIS
Conditions préalables
Le SSO doit être activé dans le ioTORQ EMIS et configuré correctement dans Azure AD (voir la section "Mise en place du SSO")
Être un utilisateur existant du ioTORQ EMIS
Tester le SSO facultatif
Si vous avez demandé que le SSO soit facultatif, vous utilisez la connexion unique en cliquant sur "Sign in with Microsoft"
Cela lancera le processus d'authentification dans Microsoft. Si vous n'êtes pas connecté à votre compte professionnel, vous serez dirigé vers la page de connexion Microsoft
Si vous êtes déjà connecté à votre compte professionnel dans Microsoft ou quand l'authentification est réussie, vous serez redirigé vers le portail ioTORQ EMIS.
Tester le SSO obligatoire
Si vous avez demandé que le SSO soit obligatoire, indiquez l'email de votre compte professionnel dans la page de connexion du ioTORQ EMIS et cliquez sur "Sign in with Microsoft"
Cela lancera le processus d'authentification dans Microsoft. Si vous n'êtes pas connecté à votre compte professionnel, vous serez dirigé vers la page de connexion de Microsoft avec l'email déjà fournie.
Si vous êtes déjà connecté à votre compte professionnel dans Microsoft ou quand l'authentification est réussie, vous serez redirigé vers le portail ioTORQ EMIS.
Guide de dépannage
Lorsque les utilisateurs utilisent SSO pour s'authentifier et que SSO n'est pas configuré correctement, ils peuvent rencontrer les messages d'erreur suivants:
“The signed in user '<email>' is blocked because they are not a direct member of a group with access,...”
Cela se produit lorsqu'un administrateur Azure AD a réglée l'option "Assignment required?" à "Yes" mais n'a pas ajouté l'utilisateur à un groupe qui a accès à ioTORQ EMIS ou n'a pas directement assigné l'utilisateur sous ioTORQ EMIS "Users & groups". Pour résoudre ce problème, reportez-vous à la section "Limiter l'accès à des utilisateurs et groupes spécifiques" > "Ajout et suppression d'utilisateurs".
“<email> does not have an account in ioTORQ EMIS.”
Cela se produit lorsque l'utilisateur s'authentifie avec succès sur la page de connexion du fournisseur d'identité de son employeur (par exemple la page de connexion de Microsoft), mais qu'il n'a pas de compte dans le ioTORQ EMIS. Pour ajouter l'utilisateur dans le ioTORQ EMIS, contactez l'administrateur de votre portail ioTORQ EMIS. Une fois l'utilisateur créé, il pourra accéder au ioTORQ EMIS.
“Account in <tenant>'s identity provider (<identity provider>) does not have an associated email address.”
Cela se produit lorsque l'utilisateur n'a pas d'adresse électronique définie dans le fournisseur d'identité. Par exemple, la capture d'écran ci-dessous montre le profil d'un utilisateur sans adresse électronique.
Pour résoudre ce problème, ajoutez un email dans le champ email en cliquant sur "Edit properties" en haut à gauche (surligné en rouge).
“To login to EMIS using your Microsoft account, you have to consent to permissions requested by EMIS.”
Cela se produit lorsque l'utilisateur final ne clique pas sur "Accept" et annule la boîte de consentement fournie par Microsoft. Pour résoudre ce problème, connectez-vous à Microsoft et cliquez sur "Accept" dans la boîte de consentement affichée
Foire aux questions
Le ioTORQ EMIS supporte-t-il l'auto-provisionnement et le déprovisionnement (SCIM)?
Le ioTORQ EMIS ne supporte pas actuellement l'auto-provisionnement ou le déprovisionnement.
Comment puis-je donner accès au ioTORQ EMIS à un employé?
Donner à un employé l'accès au ioTORQ EMIS est un processus en 1 ou 2 étapes, selon la façon dont vous avez configuré l'application ioTORQ EMIS dans Azure AD:
S'assurer que l'employé a créé un compte dans le ioTORQ EMIS
S'assurer que l'utilisateur est inclus dans les "Users and groups" du ioTORQ EMIS dans Azure AD. (Applicable seulement si "Assignment required?" est réglé sur "Yes")
Voir la section "Limiter l'accès à des utilisateurs et groupes spécifiques" pour plus d'informations.
Comment supprimer l'accès au ioTORQ EMIS d'un (ex-)employé?
La façon la plus rapide de retirer l'accès au ioTORQ EMIS à quelqu'un est de procéder comme suit:
Rendre le SSO obligatoire
Envoyez un courriel à [email protected] pour rendre le SSO obligatoire sur votre système ioTORQ EMIS
Activer l'option "Assignment required?" dans Azure AD
Voir la section "Limiter l'accès à des utilisateurs et groupes spécifiques" pour plus d'informations.
Une fois ces deux conditions satisfaites, vous pouvez supprimer l'accès en allant sur la page "Users & groups" du ioTORQ EMIS dans Azure AD
Aide supplémentaire
Si vous avez d'autres questions ou si vous avez besoin de l'aide supplémentaire, envoyez un courriel à [email protected].