Paramétrer l'authentification externe domaine pour les collaborateurs



Les derniers éléments mis à jour dans les fiches figurent en bleu.

🎯 Objectif

➜ L'authentification externe permet aux collaborateurs de se connecter à leur compte Silae avec un compte externe Microsoft et/ou Google (et plus uniquement avec son login et mot de passe Silae classique).

Cette fonctionnalité permet une gestion des connexions simplifiée et plus sécurisée avec notamment les avantages suivants :

  • L'authentification à double facteur ;
  • La gestion des comptes depuis un annuaire externe (la révocation des accès n'est plus effectuée depuis l'application) ;
  • L'enregistrement de la session de connexion (plus besoin de saisir ses identifiants).

image.png


💻 Application logiciel

Paramétrer l'authentification externe 🆕

🧭 Accès : Seuls les collaborateurs ayant les droits d'accès à l'authentification externe (droits donnés dans la "Gestion des droits" du collaborateur dans l'interface Admin. Collaborateurs) pourront activer et paramétrer cette fonctionnalité.

📚 Voir la fiche Créer et gérer un collaborateur.

image.png

Dans l'onglet Administration, ouvrir le module Authent externe :

image.png

📌 À noter :

L'authentification externe ne peut être paramétrée qu'une fois qu'un fournisseur d'identité a été activé :

Dans la première section Personnalisation globale de la connexion, activer l'authentification externe au niveau du domaine en cliquant sur "Activer l'authentification externe pour les utilisateurs de ce domaine" :

Deux options sont ensuite proposées :

  • Activer l'association automatique avec les collaborateurs du domaine : Permet de déclencher une association "compte externe/compte interne" à partir d’un login de type adresse mail. Ainsi, le mot de passe Silae n'a plus besoin d'être communiqué aux nouveaux utilisateurs pour se connecter au logiciel. L'association se fait automatiquement par le biais de leur adresse mail.
  • Imposer la connexion par authentification externe aux collaborateurs : Permet de forcer l’utilisateur à utiliser l’authentification externe et donc ne plus permettre l’authentification avec le login et mot de passe Silae une fois que le compte externe est lié a au moins un compte interne Silae. Lorsque cette fonctionnalité est activée, les comptes des utilisateurs peuvent être gérés par l'annuaire de l'entreprise. Ainsi, en cas de départ d'un collaborateur, ce dernier n'aurait plus accès à son compte sans action sur le logiciel nécessaire.

Dans ce cas, si un utilisateur tente de se connecter à l'aide de son mot de passe, il obtiendra le message d'erreur suivant :

image.png

Le bloc "Limiter cette contrainte aux identifiants suivants" permet alors de limiter l'authentification externe à un groupe de collaborateurs en indiquant un nom de domaine :

Exemple : Je souhaite que mes collaborateurs internes (ici, entreprise test) se connectent avec l'authentification externe mais que les autres utilisateurs puissent continuer d'utiliser une connexion via identifiant et mot de passe. On indique alors "*@test.fr" dans le bloc pour imposer la connexion par authentification externe uniquement aux collaborateurs ayant une adresse mail correspondant au critère indiqué. 

📌 À noter :

Une fois la fonctionnalité activée, l'authentification externe sera visible et utilisable par tous les utilisateurs du domaine, quels que soit leurs droits d'accès et leur rôle.

Fournisseurs d'identité

Deux fournisseurs d'identité sont proposés pour se connecter : Microsoft et Google. Les deux fournisseurs peuvent être activés et paramétrés simultanément.Paramétrer les règles de sécurité :

  • Adresses mail autorisées : Il est possible d'autoriser toutes les addresses mails ou uniquement des adresses spécifiques / d'un domaine de mail particulier (exemple : *@entreprise.fr ou monsieur.test@authen-externe.fr).
  • Emetteurs : Avec Microsoft, il est possible d'autoriser tous les émetteurs ou d'utiliser l'identifiant unique de l'annuaire de l'entreprise sous la forme https://login.microsoftonline.com/3xx4bxxd-1d08-47dx-908c-406067xxxfy3/v2.0.

L'élément en rouge dans l'exemple ci-dessus est un GUID qui identifie l’annuaire Azure AD et l’organisation qui s’y rattache. La direction informatique d’une entreprise qui est régie par un Azure AD est en mesure de fournir cet identifiant.

image.png

⚠️ Attention :

Pour des raisons de sécurité, il n'est pas recommandé de laisser les cases "Autoriser toutes les adresses mails" et "Autoriser tous les émetteurs" cochées simultanément. L'un des deux critères de filtrage doit être activé.

Une fois les paramétrages réalisés, cliquer sur Sauvegarder dans le volet de droite :

image.png

🔎 L’association entre un compte externe et un ou plusieurs comptes internes est conditionnée à un contrôle qui s’assure des éléments suivants :

  • Si un filtre est demandé sur les émetteurs, il faut que le fournisseur utilisé référence bien un des émetteurs de la liste ;
  • Si un filtre sur les domaines mail est activé, alors l’adresse mail de l’utilisateur externe devra correspondre à ce filtre.

En cas de problème de correspondance, une erreur s'affiche :

image.png

Connexion avec l'authentification externe

📌 Tous les utilisateurs peuvent utiliser la fonctionnalité si celle-ci est paramétrée.


Lorsque l'authentification externe est activée et selon le fournisseur d'identité paramétré, l'utilisateur aura ce type d'affichage lors de sa connexion au logiciel :

image.png

Première connexion avec l'authentification externe

Lors de sa première connexion, l'utilisateur doit associer son compte interne à son compte Microsoft ou Google.

Etape 1 : Depuis la page de connexion, cliquer sur l'un des boutons Microsoft ou Google. Une fenêtre s'ouvre pour se connecter à son compte externe.

image.png

Etape 2 : Une fenêtre d'association du compte s'affiche**. Renseigner l'identifiant et le mot de passe de son compte interne Silae à associer à son compte externe :

image.png

Etape 3 : Le compte associé s'affiche. Cliquer sur Entrer pour se connecter.

image.png

Plusieurs options sont disponibles sur l'écran de connexion :

  • "Connexion automatique du compte après l'auth. externe" : Lorsqu'un seul compte est paramétré, si cette case est cochée, l'authentification sera faite automatiquement aux prochaines connexions. Seul le mot de passe du compte Microsoft ou Google devra être renseigné.
  • "Associer un nouveau compte" : Plusieurs comptes peuvent être ajoutés. Dans ce cas, à chaque connexion, il faudra choisir le compte à utiliser.

image.png

À la suite du premier paramétrage de l'authentification externe, deux cas de connexion sont donc possibles :

Connexion automatique du compte activée

Depuis la page de connexion, cliquer sur l'un des boutons Microsoft ou Google. Une fenêtre s'ouvre pour se connecter à son compte externe.

Le compte est enregistré et seul le mot de passe doit être renseigné :

image.png

Le logiciel s'ouvre avec le compte paramétré sans avoir à sélectionner un compte Silae.

Connexion automatique du compte désactivée

Depuis la page de connexion, cliquer sur l'un des boutons Microsoft ou Google. Une fenêtre s'ouvre pour se connecter à son compte externe.

Le compte est enregistré et seul le mot de passe doit être renseigné :

image.png

Sélectionner le compte à utiliser et cliquer sur "Entrer" :

image.png

Le logiciel s'ouvre avec le compte paramétré sélectionné.

💡 À tout moment, les paramètres de connexion peuvent être modifiés :

  • Un compte peut être supprimé : Cliquer sur la croix s'affichant à droite de l'identifiant au passage de la souris :
    image.png
  • La connexion automatique peut être désactivée : Depuis les réglages, décocher la case "Forcer la connexion automatique du compte après l'authentification externe" :
    image.png
    image.png
  • La connexion automatique peut être activée : Depuis la page de connexion par authentification externe, cocher la case "Connexion automatique du compte après l'auth. externe" :
    image.png
  • Les données temporaires gardées en mémoire peuvent être supprimées (cela permet de renseigner à nouveau son compte externe Microsoft ou Google à associer) : Depuis la page de connexion, effectuer un clic droit sur le fournisseur d'identité :
    image.png
Cet article vous a-t-il été utile ?
Utilisateurs qui ont trouvé cela utile : 0 sur 6