monday.com logo
monday logo
Personnalisé en fonction des besoins de vos équipes
Plus par monday.com
Par équipe
Par taille d'entreprise
Par processusde travail
Fonctionnalités essentielles
Ressources
En savoir plus
Garder un lien
Construire
Tarifs Contact commercial
app store
Monday
Aller sur la page d'accueil
Pouvons-nous vous aider?
  1. Support
  2. Profil & Admin
  3. Authentification & sécurité
Authentification unique SAML

    Authentification unique SAML

    5 min de lecture
    Fonctionnalité

     

    Le Security Assertion Markup Language (SAML) donne aux utilisateurs accès à monday.com (SP) via un fournisseur d'identité (IDP) de votre choix. Le SAML transfère l'identité de l'utilisateur d'un endroit (le fournisseur d'identité) à un autre (monday.com). Il est facile d'activer le SAML via monday.com en quelques étapes.

    Remarque : l'authentification SSO SAML n'est disponible que dans le forfait Entreprise. L'authentification unique Google est disponible dans les forfaits Pro et Entreprise. Pour en savoir plus sur l'authentification unique Google, cliquez ici

     

    Configurer votre fournisseur d'identité

    Avant de mettre en place le SAML SSO au sein de monday.com, il est essentiel d'établir d'abord une connexion pour monday.com SSO (également connue sous le nom de connecteur) avec votre IDP. Nous travaillons actuellement avec trois fournisseurs principaux : OKTA, Azure AD et OneLogin, mais vous avez également la possibilité d'utiliser votre propre fournisseur. 

    • Pour activer le SAML à l'aide d'OKTA, cliquez ici
    • Pour activer le SAML à l'aide de OneLogin, cliquez ici
    • Entra ID (précédemment Azure AD), cliquez ici
    • Pour activer le SAML à l'aide du SAML 2.0 personnalisé, cliquez ici.
    Remarque : il n'est actuellement pas possible de connecter plusieurs fournisseurs d'identité à un compte monday.com. Cependant, plusieurs comptes monday.com peuvent être connectés à un seul fournisseur d'identité.

     

    Maintenant que vous avez terminé cette étape, il est temps d'entrer dans votre compte monday.com pour continuer à configurer SAML SSO. Suivez les étapes ci-dessous pour continuer. ⬇️

     

    Étape 1 : configurez la SSO SAML pour monday.com

    Une fois votre fournisseur d'identité configuré , il ne vous reste qu'à activer le SAML sur monday.com. Pour ce faire, cliquez sur votre photo de profil dans le coin supérieur droit de votre écran et sélectionnez « Administration ».

    CPT2305311704-1324x735.gif

     

    Dans la section Admin, sélectionnez la rubrique « Sécurité » dans le panneau de gauche.Ensuite, dans l'onglet Connexion, cliquez sur « Authentification unique (SSO) ».Ensuite, dans l'onglet Connexion, cliquez sur « Ajouter un fournisseur SSO ».Nous utiliserons OKTA dans notre exemple, mais vous pouvez choisir l'option de votre choix.

    Copy of WF- Preview form (9).gif

    Choisissez votre IDP dans la liste :

    Group 29 (3).png

     

    Remarque : le format des champs de l'URL SSO SAML et de l'émetteur de fournisseur d'identité diffèrent légèrement pour chaque IDP. Sélectionnez un IDP dans la liste pour obtenir un aperçu du format de valeur attendu pour ces champs dans l'IDP.
    Votre IDP ne figure pas dans la liste ? N'ayez pas d'inquiétude ! Sélectionnez simplement l'option SAML 2.0 personnalisé et récupérez les champs URL SSO SAML et émetteur de fournisseur d'identité de votre IDP.

     

    Complétez les informations concernant votre IDP

    Complétez les champs suivants en y indiquant les informations concernant votre IDP :

    • URL SAML SSO
    • Fournisseur d’IdP
    • Certificat publicGroup 31 (2).png

     

    Remarque : si votre entreprise prévoit d'envoyer des réponses SAML chiffrées, sélectionnez « Activer le certificat monday ». Vous obtiendrez ainsi le certificat de chiffrement public à saisir dans l'IDP qui garantit que monday.com pourra déchiffrer la réponse SAML.

     

    Étape 2 : testez votre connexion SSO

    Une fois que vous avez rempli tous les détails nécessaires pour votre fournisseur SSO, il est temps de tester votre connexion. Attention, cette étape est obligatoire pour pouvoir activer SAML sur votre compte, ou avant d'effectuer d'autres changements. 

    Il vous suffit de cliquer sur « Testez la connexion SSO » comme indiqué ci-dessous :Group 33 (4).png

     

    Étape 3 : activer un fournisseur SSO

    Après avoir suivi les étapes énumérées ci-dessus, activez votre fournisseur SSO. Cliquez sur le bouton Add SSO Provider et tous les utilisateurs de monday.com recevront un e-mail expliquant comment se connecter en utilisant le fournisseur SSO sélectionné.🙌

     

    Étape 4 : Adapter la politique en matière d'e-mails et de mots de passe

    Les administrateurs disposent d'une plus grande souplesse dans la gestion des politiques de connexion grâce à la possibilité de personnaliser la politique en matière d'e-mail et de mot de passe. Ce paramètre permet d'exclure facilement des utilisateurs spécifiques de la condition SSO, offrant ainsi une solution flexible pour adapter les préférences de connexion aux besoins uniques de votre équipe.

    En cliquant sur les trois points situés à côté de la section « E-mail et mot de passe » et en choisissant « Modifier », l'administrateur peut sélectionner les utilisateurs de la politique, ce qui signifie qu'il peut définir à qui s'applique la politique en matière d'e-mail et de mot de passe - tout le monde ou seulement certaines personnes (par exemple, des invités, un seul utilisateur).

    Group 12 (29).png

     

    Avant l'activation du SSO, la politique en matière d'e-mail et de mot de passe ne peut pas être modifiée. Par défaut, après l'activation du SSO, la politique en matière d'e-mails et de mots de passe passe passe de « Tout le monde » à « Invités ».

    Group 12 (30).png

     

    Deux options sont proposées dans la section relative à la politique en matière d'e-mail et de mot de passe :

    Option 1 : Tous les utilisateurs (y compris les invités) peuvent se connecter à monday.com en utilisant l'e-mail et le mot de passe prévus par la politique.

    Option 2 : Seules certaines personnes (invités, utilisateur unique ou les deux) peuvent utiliser l'e-mail et le mot de passe pour se connecter à monday.com.

    Choisir « Invités » sous « Seulement certaines personnes » signifie que les invités peuvent se connecter en utilisant la politique d'e-mail et de mot de passe (et pas seulement le SSO). Il s'agit de l'option la plus couramment utilisée, car les invités sont souvent des utilisateurs externes qui ne sont pas gérés par le service informatique interne d'une organisation.

    Choisir « Un seul utilisateur » sous « Seulement certaines personnes » signifierait qu'un seul collaborateur choisi peut se connecter en utilisant l'option e-mail et mot de passe (et pas seulement le SSO).

    Remarque : Ce type d'accès est utilisé si, par exemple, il y a un problème avec votre fournisseur SSO et que vous avez besoin d'accéder à la plateforme pour effectuer des changements de paramètres.

     

    Copy of WF- Preview form (37).gif

    Si la politique de sécurité de votre entreprise le permet, nous vous recommandons d'utiliser les options « Invités » ou « Invités et un seul utilisateur » pour « Certaines personnes seulement ». Cela signifie que tous les utilisateurs du compte, à l'exception des invités et de l'utilisateur unique désigné, doivent se connecter à l'aide du SSO. Les invités peuvent être invités à rejoindre des tableaux partagés et se connecter normalement avec une adresse e-mail et un mot de passe. Dans ce cas, il n'est pas nécessaire que les adresses e-mail des invités soient actives sur l'IDP du compte pour qu'ils puissent se connecter. L'option utilisateur unique offre une flexibilité supplémentaire, permettant à un collaborateur de se connecter à l'aide de son e-mail et de son mot de passe pour un accès d'urgence en cas de besoin.

     

    Provisionnement

    Par défaut, monday.com utilise le provisionnement juste à temps, ce qui signifie que l'utilisateur est créé sur monday.com lors de sa première connexion s'il n'existe pas déjà.

    Si vous souhaitez activer le provisionnement SCIM, générez le jeton, puis suivez les instructions de votre IDP pour l'activer. monday.com prend en charge le flux initié par l'IDP ou le flux initié par le SP. Une application monday.com officielle existe dans le catalogue d'applications Okta. Pour l'activer, cliquez ici.

    De plus, une application monday.com officielle figure dans le catalogue d'applications OneLogin. Pour l'activer, cliquez ici.

    Enfin, nous avons également une application monday.com officielle dans le catalogue d'applications Entra ID. Pour l'activer, cliquez ici.

    Remarque : le provisionnement SCIM n'est disponible que dans le forfait Entreprise.

     

    Que se passe-t-il une fois que l'authentification SSO est activée ?

    Lorsque vous aurez terminé de configurer votre SSO, chaque utilisateur recevra un e-mail l'informant de la modification (même si vous avez rendu la SSO facultative dans la politique de restrictions).


    Voici un exemple de l'e-mail envoyé :

    mceclip3_1.png

     

    L'e-mail invite les utilisateurs à se connecter à leur compte monday.com avec votre fournisseur d'identité. Dorénavant, tous les utilisateurs pourront se connecter à monday.com avec leur compte du fournisseur d'identité.

     

    Erreurs courantes après la connexion au fournisseur d'authentification unique

    Certains utilisateurs rencontrent des difficultés et ne parviennent pas à utiliser la SSO. Par exemple, après avoir renseigné ses informations d'identification sur la page de connexion du fournisseur de SSO, au lieu d'être redirigé vers la page monday.com, l'utilisateur voit s'afficher un message d'erreur l'informant que l'utilisateur connecté « nomdutilisateur@email.com » n'est affecté à aucun rôle pour l'application (la formulation peut différer légèrement en fonction du fournisseur de SSO). Dans ce cas, les admins du compte doivent se rendre sur le fournisseur de SSO qu'utilise l'équipe afin d'affecter/ajouter cet utilisateur au compte monday.com. 

    Autre problème courant : un utilisateur modifie son adresse e-mail , ce qui entraîne une erreur lorsqu'il tente de se connecter. Nous aborderons tout cela dans le prochain paragraphe.

     

    Que se passe-t-il lorsqu'un utilisateur change d'adresse e-mail ?

    Lorsqu'un utilisateur se connecte à monday.com en utilisant l'authentification unique, une connexion à un serveur frontal est établie entre le fournisseur d'identité (IDP) et l'ID de l'utilisateur sur monday.com. Cette connexion, appelée UID (ID d'utilisateur), relie l'identité d'une personne dans l'IDP (son nom, son adresse e-mail) à l'adresse e-mail associée à cet utilisateur sur monday.com.

    C'est pourquoi si un utilisateur modifie son adresse e-mail, il ne pourra plus se connecter à monday.com tant que son UID (ID d'utilisateur) ne sera pas réinitialisé. En effet, son UID est lié à son ancienne adresse e-mail et s'il la met à jour, l'adresse e-mail ne sera pas automatiquement connectée à l'UID existant. Par conséquent, la réinitialisation de l'UID permettra d'interrompre la connexion précédente et de créer un nouveau lien entre l'UID et la nouvelle adresse e-mail.

     

    Marche à suivre lorsque l'adresse e-mail d'un utilisateur change

    Si un utilisateur modifie son adresse e-mail, il vous suffit de suivre les deux étapes décrites ci-dessous et il pourra à nouveau se connecter en un rien de temps. ⬇️

     

    1. Modifiez l'adresse e-mail de l'utilisateur sur l'IDP et sur monday.com

    Tout d'abord, il est important de changer l'adresse e-mail de l'utilisateur à la fois sur le fournisseur d'identité et sur monday.com. Pour changer son adresse e-mail sur monday.com, l'utilisateur concerné peut suivre la marche à suivre présentée dans cet article.

    Remarque : lorsqu'un administrateur modifie l'adresse e-mail d'un utilisateur, ce dernier doit confirmer sa nouvelle adresse e-mail.

     

    2. Réinitialisez l'UID de l'utilisateur 

    Une fois l'adresse e-mail de l'utilisateur modifiée sur l'IDP et sur monday.com, il reste à réinitialiser son UID. Pour ce faire, rendez-vous dans la section Admin du compte et accédez à l'onglet Gestion des utilisateurs. Ensuite, localisez l'utilisateur qui a changé d'adresse e-mail, cliquez sur le menu latéral situé tout à droite de son nom, puis sélectionnez « Réinitialisation de l'UID d'authentification unique », comme ceci :Group 34 (3).png

    Une fois cette opération effectuée, l'utilisateur devrait pouvoir se connecter à son compte monday.com avec sa nouvelle adresse e-mail.

     

    Modifier les domaines d'e-mail de plusieurs utilisateurs à la fois

    En tant qu'administrateur, vous pouvez uniquement modifier par lots les domaines d'e-mail de plusieurs utilisateurs à la fois et réinitialiser instantanément l'UID d'authentification unique de ces utilisateurs. Pour ce faire, commencez par vous rendre dans la section Gestion des utilisateurs de votre compte. Sélectionnez ensuite les utilisateurs concernés en cochant la case à gauche de leurs icônes, puis cliquez sur « Changer le domaine d'adresse e-mail » dans le volet inférieur. Group 28 (5).png

     

    Ensuite, entrez le nouveau domaine d'e-mail et cliquez sur « Modifier le domaine d'adresse e-mail ». En même temps que la mise à jour du domaine d'e-mail, l'UID d'authentification unique sera également réinitialisé pour ces utilisateurs.

    Ces utilisateurs doivent confirmer le changement à partir de leur adresse e-mail actuelle et c'est fait !Screenshot 2024-10-01 at 12.34.14 1.png

     

    Remarque : cette action ne modifie pas le préfixe des e-mails (ce qui précède le @).

     

     

     

    Si vous avez la moindre question, n'hésitez pas à contacter notre équipe ici. Nous sommes disponibles 24h/​24, 7j/​7 et sommes toujours heureux de vous aider.

    Danielle Levine - Quality check

    Commentaires