Pouvons-nous vous aider?

Authentification unique SAML

 

Le Security Assertion Markup Language (SAML) donne aux utilisateurs accès à monday.com (SP) via un fournisseur d'identité (IDP) de votre choix. Le SAML transfère l'identité de l'utilisateur d'un endroit (le fournisseur d'identité) à un autre (monday.com). Il est facile d'activer le SAML via monday.com en quelques étapes.

Remarque : l'authentification SSO SAML n'est disponible que dans le forfait Entreprise. L'authentification unique Google est disponible dans les forfaits Pro et Entreprise. Pour en savoir plus sur l'authentification unique Google, cliquez ici

 

Configurer votre fournisseur d'identité

Avant de mettre en place le SAML SSO au sein de monday.com, il est essentiel d'établir d'abord une connexion pour monday.com SSO (également connue sous le nom de connecteur) avec votre IDP. Nous travaillons actuellement avec trois fournisseurs principaux : OKTA, Azure AD et OneLogin, mais vous avez également la possibilité d'utiliser votre propre fournisseur. 

  • Pour activer le SAML à l'aide d'OKTA, cliquez ici
  • Pour activer le SAML à l'aide de OneLogin, cliquez ici
  • Entra ID (précédemment Azure AD), cliquez ici
  • Pour activer le SAML à l'aide du SAML 2.0 personnalisé, cliquez ici.
Remarque : il n'est actuellement pas possible de connecter plusieurs fournisseurs d'identité à un compte monday.com. Cependant, plusieurs comptes monday.com peuvent être connectés à un seul fournisseur d'identité.

 

Maintenant que vous avez terminé cette étape, il est temps d'entrer dans votre compte monday.com pour continuer à configurer SAML SSO. Suivez les étapes ci-dessous pour continuer. ⬇️

 

Étape 1 : configurez la SSO SAML pour monday.com

Une fois votre fournisseur d'identité configuré , il ne vous reste qu'à activer le SAML sur monday.com. Pour ce faire, cliquez sur votre photo de profil dans le coin supérieur droit de votre écran et sélectionnez « Administration ».

CPT2305311704-1324x735.gif

 

Dans la section Admin, sélectionnez la rubrique « Sécurité » dans le panneau de gauche. Ensuite, dans l'onglet Connexion, cliquez sur « Authentification unique (SSO) ». Ensuite, dans l'onglet Connexion, cliquez sur « Ajouter un fournisseur SSO ». Nous utiliserons OKTA dans notre exemple, mais vous pouvez choisir l'option de votre choix.Untitled design (21).gif

 

Choisissez votre IDP dans la liste :

Group 29 (3).png

 

Remarque : le format des champs de l'URL SSO SAML et de l'émetteur de fournisseur d'identité diffèrent légèrement pour chaque IDP. Sélectionnez un IDP dans la liste pour obtenir un aperçu du format de valeur attendu pour ces champs dans l'IDP.
Votre IDP ne figure pas dans la liste ? N'ayez pas d'inquiétude ! Sélectionnez simplement l'option SAML 2.0 personnalisé et récupérez les champs URL SSO SAML et émetteur de fournisseur d'identité de votre IDP.

 

Complétez les informations concernant votre IDP

Complétez les champs suivants en y indiquant les informations concernant votre IDP :

  • URL SAML SSO
  • Fournisseur d’IdP
  • Certificat publicGroup 31 (2).png

 

Remarque : si votre entreprise prévoit d'envoyer des réponses SAML chiffrées, sélectionnez « Activer le certificat monday ». Vous obtiendrez ainsi le certificat de chiffrement public à saisir dans l'IDP qui garantit que monday.com pourra déchiffrer la réponse SAML.

 

Étape 2 : testez votre connexion SSO

Une fois que vous avez rempli tous les détails nécessaires pour votre fournisseur SSO, il est temps de tester votre connexion. Attention, cette étape est obligatoire pour pouvoir activer SAML sur votre compte, ou avant d'effectuer d'autres changements. 

Il vous suffit de cliquer sur « Testez la connexion SSO » comme indiqué ci-dessous :Group 33 (4).png

 

Étape 3 : sélectionner la politique de restrictions et de mot de passe

Lors de la configuration de l'authentification unique (SSO), l'admin doit sélectionner le niveau de la politique de restrictions des connexions. Cela revient à définir qui doit utiliser l'authentification SSO pour se connecter ou si ce type d'authentification est facultatif.

Remarque importante : lors de la configuration initiale de la SSO, nous conseillons de rendre la SSO optionnelle (la troisième option) afin d'avoir la possibilité de se connecter avec le mot de passe en cas d'erreur. Une fois la configuration faite avec succès, cette sélection peut être mise à jour.

image 1 - 2023-12-17T132534.563.png

Dans cette section, trois options sont possibles :

  • Option 1 : tous les utilisateurs (y compris les invités) doivent utiliser l'authentification SSO pour se connecter à monday.com. Cette option implique que l'admin donne accès à monday.com à tous les utilisateurs dans le fournisseur d'identité pour qu'ils puissent se connecter.
  • Option 2 : tous les utilisateurs, à l'exception des invités, doivent utiliser l'authentification SSO pour se connecter à monday.com. Les invités, de leur côté, pourront se connecter avec une adresse e-mail et un mot de passe.
    • C'est la politique la plus utilisée, car souvent, les invités sont des utilisateurs externes qui ne sont pas gérés par le service informatique interne de l'entreprise.
  • Option 3 : l'utilisation de l'authentification SSO est facultative pour tous. Tous les utilisateurs et invités peuvent se connecter via la SSO ou avec une adresse e-mail et un mot de passe.

Si ce choix est applicable à la stratégie de sécurité de votre entreprise, nous vous recommandons d'utiliser l'option de restriction « tous les utilisateurs, à l'exception des invités, doivent utiliser l'authentification SSO ». Cette option implique que tous les utilisateurs du compte, mis à part les invités, doivent se connecter via l'authentification unique SSO. Les invités peuvent être invités à rejoindre des tableaux partagés et se connecter normalement avec une adresse e-mail et un mot de passe. Dans ce cas, il n'est pas nécessaire que les adresses e-mail des invités soient actives sur l'IDP du compte pour qu'ils puissent se connecter.

Remarque : la configuration du mot de passe sur l'écran SSO n'est pas réservée aux invités. Elle concerne tous les membres du compte qui se connectent par e-mail et mot de passe, ce qui inclut les utilisateurs et les observateurs dans le cas où le SSO est défini comme optionnel.

Les modifications de la politique en matière de mots de passe ne s'appliquent qu'aux nouveaux mots de passe et concernent les nouveaux utilisateurs qui s'inscrivent ou les utilisateurs existants ayant modifié leur mot de passe.

Étape 4 : activer un fournisseur SSO

Après avoir suivi les étapes 1 à 3 énumérées ci-dessus, activez votre fournisseur SSO. Il ne vous reste plus qu'à cliquer sur le bouton « Ajouter un fournisseur SSO », puis tous les utilisateurs monday.com recevront un e-mail expliquant comment se connecter à l'aide du fournisseur SSO sélectionné et voilà ! 🙌

 

Provisionnement

Par défaut, monday.com utilise le provisionnement juste à temps, ce qui signifie que l'utilisateur est créé sur monday.com lors de sa première connexion s'il n'existe pas déjà.

Si vous souhaitez activer le provisionnement SCIM, générez le jeton, puis suivez les instructions de votre IDP pour l'activer. monday.com prend en charge le flux initié par l'IDP ou le flux initié par le SP. Une application monday.com officielle existe dans le catalogue d'applications Okta. Pour l'activer, cliquez ici.

De plus, une application monday.com officielle figure dans le catalogue d'applications OneLogin. Pour l'activer, cliquez ici.

Enfin, nous avons également une application monday.com officielle dans le catalogue d'applications Entra ID. Pour l'activer, cliquez ici.

 

Remarque : le provisionnement SCIM n'est disponible que dans le forfait Entreprise.

 

Que se passe-t-il une fois que l'authentification SSO est activée ?

Lorsque vous aurez terminé de configurer votre SSO, chaque utilisateur recevra un e-mail l'informant de la modification (même si vous avez rendu la SSO facultative dans la politique de restrictions).


Voici un exemple de l'e-mail envoyé :

mceclip3_1.png

 

L'e-mail invite les utilisateurs à se connecter à leur compte monday.com avec votre fournisseur d'identité. Dorénavant, tous les utilisateurs pourront se connecter à monday.com avec leur compte du fournisseur d'identité.

 

Erreurs courantes après la connexion au fournisseur d'authentification unique

Certains utilisateurs rencontrent des difficultés et ne parviennent pas à utiliser la SSO. Par exemple, après avoir renseigné ses informations d'identification sur la page de connexion du fournisseur de SSO, au lieu d'être redirigé vers la page monday.com, l'utilisateur voit s'afficher un message d'erreur l'informant que l'utilisateur connecté « nomdutilisateur@email.com » n'est affecté à aucun rôle pour l'application (la formulation peut différer légèrement en fonction du fournisseur de SSO). Dans ce cas, les admins du compte doivent se rendre sur le fournisseur de SSO qu'utilise l'équipe afin d'affecter/ajouter cet utilisateur au compte monday.com. 

Autre problème courant : un utilisateur modifie son adresse e-mail , ce qui entraîne une erreur lorsqu'il tente de se connecter. Nous aborderons tout cela dans le prochain paragraphe.

 

Que se passe-t-il lorsqu'un utilisateur change d'adresse e-mail ?

Lorsqu'un utilisateur se connecte à monday.com en utilisant l'authentification unique, une connexion à un serveur frontal est établie entre le fournisseur d'identité (IDP) et l'ID de l'utilisateur sur monday.com. Cette connexion, appelée UID (ID d'utilisateur), relie l'identité d'une personne dans l'IDP (son nom, son adresse e-mail) à l'adresse e-mail associée à cet utilisateur sur monday.com.

C'est pourquoi si un utilisateur modifie son adresse e-mail, il ne pourra plus se connecter à monday.com tant que son UID (ID d'utilisateur) ne sera pas réinitialisé. En effet, son UID est lié à son ancienne adresse e-mail et s'il la met à jour, l'adresse e-mail ne sera pas automatiquement connectée à l'UID existant. Par conséquent, la réinitialisation de l'UID permettra d'interrompre la connexion précédente et de créer un nouveau lien entre l'UID et la nouvelle adresse e-mail.

 

Marche à suivre lorsque l'adresse e-mail d'un utilisateur change

Si un utilisateur modifie son adresse e-mail, il vous suffit de suivre les deux étapes décrites ci-dessous et il pourra à nouveau se connecter en un rien de temps. ⬇️

 

1. Modifiez l'adresse e-mail de l'utilisateur sur l'IDP et sur monday.com

Tout d'abord, il est important de changer l'adresse e-mail de l'utilisateur à la fois sur le fournisseur d'identité et sur monday.com. Pour changer son adresse e-mail sur monday.com, l'utilisateur concerné peut suivre la marche à suivre présentée dans cet article.

Remarque : lorsqu'un administrateur modifie l'adresse e-mail d'un utilisateur, ce dernier doit confirmer sa nouvelle adresse e-mail.

 

2. Réinitialisez l'UID de l'utilisateur 

Une fois l'adresse e-mail de l'utilisateur modifiée sur l'IDP et sur monday.com, il reste à réinitialiser son UID. Pour ce faire, rendez-vous dans la section Admin du compte et accédez à l'onglet Gestion des utilisateurs. Ensuite, localisez l'utilisateur qui a changé d'adresse e-mail, cliquez sur le menu latéral situé tout à droite de son nom, puis sélectionnez « Réinitialisation de l'UID d'authentification unique », comme ceci :Group 34 (3).png

Une fois cette opération effectuée, l'utilisateur devrait pouvoir se connecter à son compte monday.com avec sa nouvelle adresse e-mail.

 

Modifier les domaines d'e-mail de plusieurs utilisateurs à la fois

En tant qu'administrateur, vous pouvez uniquement modifier par lots les domaines d'e-mail de plusieurs utilisateurs à la fois et réinitialiser instantanément l'UID d'authentification unique de ces utilisateurs. Pour ce faire, commencez par vous rendre dans la section Gestion des utilisateurs de votre compte. Sélectionnez ensuite les utilisateurs concernés en cochant la case à gauche de leurs icônes, puis cliquez sur « Changer le domaine d'adresse e-mail » dans le volet inférieur. Group 28 (5).png

 

Ensuite, entrez le nouveau domaine d'e-mail et cliquez sur « Modifier le domaine d'adresse e-mail ». En même temps que la mise à jour du domaine d'e-mail, l'UID d'authentification unique sera également réinitialisé pour ces utilisateurs.

Ces utilisateurs doivent confirmer le changement à partir de leur adresse e-mail actuelle et c'est fait !Screenshot 2024-10-01 at 12.34.14 1.png

 

Remarque : cette action ne modifie pas le préfixe des e-mails (ce qui précède le @).

 

 

 

Si vous avez la moindre question, n'hésitez pas à contacter notre équipe ici. Nous sommes disponibles 24h/​24, 7j/​7 et sommes toujours heureux de vous aider.