Afin de permettre à vos apprenants de ne pas avoir à se connecter à Edflex s'ils sont déjà connectés sur votre système d'information, découvrez comment mettre en place une connexion "automatique" (SSO).
Avant de commencer, quelques définitions utiles.
- SSO (Single Sign-On) : Système d'authentification unique qui permet à un utilisateur d'accéder à plusieurs applications en étant authentifié sur une seule.
- SP (Service Provider) : Fournisseur de service. Edflex, par exemple, fournit un service.
- IDP (Identity Provider) : Entité de confiance qui fournit des identités à des fournisseurs de service.
- SAML (Security Assertion Markup Language) : Standard libre pour échanger des authentifications et des autorisations reposant sur un échange de certificats.
Que votre entreprise utilise Microsoft Azure (Active Directory), ADFS, Okta ou un autre IDP, vous pourrez mettre en place une connexion SSO avec Edflex.
Par ailleurs, il ne faut pas confondre la mise en place du SSO, qui va permettre de ne pas avoir à se reconnecter si l'on est déjà connecté, et le lien qui pointe vers votre portail Edflex. Que vous ayez ou non mis en place le SSO, vous devrez, d'une manière ou d'une autre, offrir un lien comme moyen d'accès à Edflex. Ce lien peut se situer dans un de vos outils de votre système d'information, dans un email, dans les raccourcis par défaut ou dans les favoris du navigateur géré par votre entreprise.
Attributs obligatoires pour la mise en place du SSO
Trois attributs sont obligatoires pour la mise en place d'un SSO avec Edflex :
- Prénom
- Nom
- Email
- Authentification simple : vous souhaitez simplement transmettre à Edflex les informations suivantes : Prénom, Nom, Email (ou identifiant unique) qui ne changera pas pendant le cycle de vie du collaborateur.
- Ajout de champs additionnels : vous souhaitez ajouter des informations complémentaires telles que le matricule de l'apprenant, le nom de son service ou département, le pays où il se situe, son numéro de téléphone, s'il est ou non manager, son degré d'ancienneté... Vous n'êtes pas limité en nombre ni en nature de champs additionnels. Les informations de ces champs additionnels ne seront pas affichées dans les paramètres du profil côté utilisateur mais seront disponibles dans le rapport d'activité.
Nous vous recommandons, dans tous les cas, de commencer par mettre en place le premier type. Si, dans un second temps, les champs additionnels sont utiles et répondent à votre besoin (reporting, monitoring, business intelligence...) il sera facile de les ajouter.
Comment procéder ?
Configurer le SSO implique une intervention manuelle d'Edflex et de l'administrateur de votre IDP.
- Afin d'accélérer la mise en place du SSO, vos interlocuteurs Edflex ont besoin des coordonnées d'une personne au sein du service informatique avec un rôle administrateur de l'IDP (Microsoft Azure (Active Directory), ADFS, Okta ou autre).
- Edflex programme un atelier technique pour mettre en place le SSO pendant lequel le client fournira à Edflex le Fichier XML Metadata de l'IDP. Edflex fournira au client un fichier réciproque. Pendant cet atelier, seront convenus des éléments comme : l'identifiant unique, les champs additionnels...
- Le client et Edflex testent le SSO.
- Le SSO fonctionne, les utilisateurs de votre système d'information peuvent désormais accéder à Edflex sans avoir à s'authentifier.
Questions fréquentes
- Que se passe-t-il sur Edflex si on ajoute un utilisateur dans notre IDP ?
S'il fait partie des utilisateurs autorisés sur votre IDP, il sera créé à la volée lorsqu'il essaiera de s'authentifier à Edflex.
- Que se passe-t-il sur Edflex si on supprime un utilisateur dans notre IDP ?
Rien. Il ne sera pas supprimé sur Edflex. En revanche, vous pouvez le supprimer à la main depuis la gestion des utilisateurs de votre portail Edflex.
- Que se passe-t-il dans notre IDP si on supprime un utilisateur sur Edflex ?
Rien. Il ne sera pas supprimé dans l'IDP (nous n'avons pas ce niveau de droits). En revanche, à la prochaine authentification sur Edflex, il sera re-créé à la volée.
- Que se passe-t-il si un apprenant change de nom (à l'occasion d'un mariage par exemple) ?
Si son identifiant unique (adresse email ou identifiant) ne change pas, pas de problème. S'il est amené à changer, et que l'utilisateur essaie de s'authentifier sur Edflex, un nouvel utilisateur sera créé à la volée. À ce jour, aucune réconciliation des données de ces "2" utilisateurs n'est possible.
- Que se passe-t-il sur Edflex si une des informations côté IDP est modifiée ?
Nous mettons à jour tous les champs (sauf l'identifiant unique) à chaque authentification. Qu'il s'agisse du nom, du prénom ou des valeurs des champs additionnels, chaque valeur modifiée écrase la précédente.
- Quelle est la durée de validité d'un certificat SAML ?
Elle est variable et est définie par les clients. Le minimum serait d'un an. Nous recommandons entre 2 et 5 ans. Rendre un certificat caduque à trop court terme impliquerait à nouveau un atelier technique au sujet de l'authentification SSO.