Le portail BrandShelter prend en charge le SSO, et il est donc possible de fédérer votre fournisseur d’identité à l’authentification unique de BrandShelter (Microsoft Azure AD ou Okta).
Pour cela, vous trouverez la documentation suivante 240802_EN_SSO user guide.pdf et les éléments ci-dessous qui vous permettront d'implémenter le IdP.
• Pour Microsoft Azure AD :
For the BrandShelter production environment
secure.brandshelter.com
-
Client id:
urn:amazon:cognito:sp:eu-central-1_FmcrLjcuB -
Reply URL:
https://bs-live-auth.auth.eu-central-1.amazoncognito.com/saml2/idpresponse -
Sign on URL:
https://secure.brandshelter.com/users/sign_in
• Pour Okta (SAML) :
For the BrandShelter production environment
secure.brandshelter.com
- Single Sign On URL:
https://bs-live-auth.auth.eu-central-1.amazoncognito.com/saml2/idpresponse - Audience restriction:
urn:amazon:cognito:sp:eu-central-1_FmcrLjcuB - Default Relay State: leave blank
- In Security/API/Trusted Origins, add
https://bs-live-auth.auth.eu-central-1.amazoncognito.comas a permitted “redirect”
• Pour Okta (OpenID Connect) :
For the BrandShelter production environment
secure.brandshelter.com
- Single Sign On URL:
https://bs-live-auth.auth.eu-central-1.amazoncognito.com/oauth2/idpresponse - In Security/API/Trusted Origins, add
https://bs-live-auth.auth.eu-central-1.amazoncognito.comas a permitted “redirect”
Il faudra impérativement nous fournir une URL de métadonnées (Metadata URL) ou un document de métadonnées (fichier XML), et les domaines de messagerie (@exemple.com) utilisés par vos utilisateurs pour la connexion.
Et nous indiquer le protocole de fédération SSO : SAML ou OIDC.
IMPORTANT : vous avez le choix entre 2 configurations possibles pour l'accès au portail BrandShelter après activation du SSO.
1) Configuration 1 par défaut - connexion BrandShelter + SSO
Les 2 méthodes de connexion cohabitent, connexion directe et SSO :
- vous pouvez vous connecter en utilisant la connexion directe BrandShelter (nom d'utilisateur + mot de passe)
- ou en utilisant la connexion SSO qui nécessite de saisir uniquement votre adresse email (ou nom d'utilisateur SSO) dans le champ "Nom d'utilisateur", puis de cliquer sur "Connexion" sans saisir le mot de passe pour être redirigé vers le formulaire SSO.
Cette configuration est prévue pour permettre l'ajout et la connexion d'utilisateurs qui n'auraient pas une adresse email liée au SSO et qui aurait donc besoin d'une connexion directe au portail pour accéder à votre compte.
2) Configuration 2 à activer sur demande - connexion unique SSO
Nous désactivons la connexion directe BrandShelter (nom d'utilisateur + mot de passe) et seule la méthode SSO est possible.
Cela rend donc obligatoire et incontournable la connexion par votre SSO pour tous les utilisateurs du compte sans exception.
Note 1 : Chaque utilisateur dont l'adresse email de connexion correspond à l’un de ces domaines de messagerie devra s’authentifier via l’authentification unique (SSO) (configuration 2). Tout utilisateur de ce compte avec un nom d’utilisateur qui ne correspond pas à l’un de ces domaines aura besoin de ses informations d’identification locales habituelles (configuration 1 par défaut). Par exemple, le domaine de messagerie example.com correspondra aux noms de connexion comme nom@example.com.
Note 2 : nous ne prenons pas en charge la connexion initiée par l’IdP, et il n'est pas possible d'utiliser certaines fonctionnalités telles que le « lien d’intégration » fourni par Okta pour cette raison, ou via d'autres plateformes d’authentification, par exemple, depuis le portail « Mes applications » de Microsoft Azure. La connexion doit être démarrée via le portail BrandShelter.
Veuillez donc vous assurer que les utilisateurs initient toujours la connexion sur notre portail.
Expérience utilisateur après activation du SSO :
L'utilisateur visite le portail BrandShelter. S’il est déjà authentifié auprès de son fournisseur d’identité d’entreprise, il est immédiatement connecté à l'application BrandShelter et le processus s’arrête ici.
S'il n'est pas encore authentifié, l’utilisateur saisit son nom de connexion (SSO username) dans le formulaire de connexion BrandShelter. L’utilisateur est alors redirigé vers le formulaire de connexion de son entreprise, il peut s’agir par exemple du formulaire de connexion Microsoft. Après avoir saisi ses informations d’identification, l’utilisateur est redirigé vers le portail BrandShelter et y est connecté.
Autres liens utiles :