Établir l'authenfication unique SAML avec Microsoft Azure

Si vous cherchez des instructions générales pour lier votre SAML à la fonctionnalité Authentification unique de Float, veuillez consulter l’article « Configuration de l’authentification unique SAML ».

 

Cette fonctionnalité est disponible pour les clients ayant souscrit à un plan professionnel ou à un plan d’entreprise de Float. Consultez les informations détaillées sur les plans sur floatfinancial.com/pricing et contactez-nous via support@floatfinancial.com si vous souhaitez mettre à niveau votre plan!

L’intégration Azure de Float permet aux entreprises d’intégrer leurs employés par l’intermédiaire du service sécurisé d’authentification unique SAML de Float! 

Guide d’intégration SAML Azure - Float

1. Connectez-vous au Centre d’administration Azure AD.

    

2. Accédez à « Applications d’entreprise » > « Nouvelle application » > « Créer votre application ».
    
3. Dans la barre latérale, nommez l’application « Float ». Sélectionnez « Intégrer toute autre application que vous ne trouvez pas dans la galerie » dans la section « Que souhaitez-vous faire avec votre application? ». 
   
   Ne sélectionnez AUCUNE des options existantes proposées sous « Nous avons trouvé l’application suivante qui pourrait correspondre à votre entrée ».
    
4. Cliquez sur « Créer ». Vous serez ensuite redirigé vers la page de présentation de l’application « Float » que vous venez de créer.
    
5. Dans la barre latérale, dans « Gérer » > « Propriétés », ajoutez l’image ci-dessous en tant qu’icône d’application pour « Float ».
   
   
    
6. Retournez dans « Gérer » > « Authentification unique » et sélectionnez « SAML » comme méthode d’authentification unique.
    
7. Dans la barre latérale, dans « Gérer », cliquez sur « Authentification unique ». Ensuite, sélectionnez « SAML » comme méthode d’authentification unique.
    
8. Cliquez sur « Modifier » dans « Configuration SAML de base ». Dans « Identifiant (ID de l’entité) », cliquez sur « Ajouter un identifiant » et saisissez l’identifiant de l’entité fourni dans la section « Renseignements sur le fournisseur de services » de la page Float SAML. Dans « URL de réponse (URL du service de vérification des consommateurs) », cliquez sur « Ajouter une URL de réponse » et saisissez l’URL ACS fournie dans la section « Renseignements sur le fournisseur de services » de la page SAML de Float.

Puis cliquez sur « Enregistrer » dans le coin supérieur, et fermez la page.

Si vous n’utilisez pas Microsoft comme fournisseur de courriel, passez à l’étape 13. Si vous utilisez Microsoft comme fournisseur de courriel, passez à l’étape 9. 

9. Cliquez sur « Modifier » dans la section « Attributs et demandes ».

10. Dans les demandes supplémentaires, cliquez sur la demande « Nom de la demande » « http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress ».

11. Changez « Attribut source » et utilisez « user.userprincipalname ».

12. Cliquez sur « Enregistrer » et quittez la page. 

13. Dans « Certificat de signature SAML », cliquez sur « Télécharger » à côté de « Federation Metadata XML ». Veuillez téléverser ce fichier dans la section « Renseignements de configuration du fournisseur d’identité » sur la page SAML Float, en utilisant l’option « Fichier XML ».

14. Attribuez des utilisateurs à votre application en cliquant sur « Utilisateurs et groupes », dans la section « Gérer » de la barre latérale.

15. Retournez à la page SAML de Float. Appuyez sur le bouton « Tester » pour tester la connexion par l’intermédiaire de SAML. Cela vous redirige vers votre fournisseur d’identité pour vous connecter. Si la connexion réussit, vous devez voir l’état changer et devenir « Testé ».

Si l’état ne change pas, cela signifie qu’il y a un problème avec la configuration de votre fournisseur de courriel. Une fois le test réussi, vous pouvez activer la configuration SAML pour tout le monde dans votre organisation.

Note : Float redirige les utilisateurs vers votre page de connexion SAML en fonction du domaine de l’adresse de courriel de l’utilisateur, c’est pourquoi nous demandons le domaine de courriel de vos utilisateurs. Si vous ajoutez un utilisateur qui n’appartient à aucun des domaines que vous avez ajoutés, cet utilisateur est authentifié par l’intermédiaire du nom d’utilisateur et du mot de passe.

Notes importantes pour la configuration de l'authentification unique dans les entreprises multientités :

Si votre entreprise utilise plusieurs entités dans Float et si tous les utilisateurs utilisent le même domaine de courriel, il y a quelques exigences importantes liées à la configuration de l'authentification unique/SAML.

Pourquoi les utilisateurs doivent exister dans la principale entité d'authentification unique

Lorsque le SAML est configué dans Float, votre domaine de courriel est lié à une seule configuration d'authentification unique. Lors de la connexion :

1. Float vérifie le domaine de l'adresse courriel saisie

2. Ce domaine dirige automatiquement l'utilisateur à votre fournisseur d'identité (p. ex. Okta, Azure AD)

3. Après l'authentification, le fournisseur d'identité envoie de nouveau l'utilisateur à l'entité Float auprès de laquelle l'authentification unique a été configurée

En raison de ce routage fondé sur le domaine, seule une entité Float peut être associée à la configuration SAML d'un domaine donné.

Si un utilisateur existe dans une deuxième entité seulement, il ne peut pas se connecter dans Float, car l'authentification le dirige vers l'entité d'authentification unique principale, où aucun profil n'existe pour l'utilisateur.

Pour éviter les erreurs de connexion, les utilisateurs doivent donc exister d'abord dans l'entité d'authentification unique principale, même s'ils travaillent principalement auprès d'une autre entité.

Configuration requise pour l'authentification unique multientités

Si vos entités partagent le même domaine de courriel :

1. Configurez l'authentification unique/SAML dans votre entité Float principale

2. Inscrivez les utilisateurs auprès de votre fournisseur d'identité afin qu'ils puissent utiliser l'authentification unique

3. Assurez-vous que chaque utilisateur existe dans l'entité d'authentification unique principale

4. Ajoutez l'utilisateur dans toute entité nécessaire pour l'accès

Cela permet aux utilisateurs d'utiliser l'authentification unique et d'accéder aux entités dans lesquelles ils travaillent.

Remarque : L'approvisionnement « juste à temps » crééra automatiquement des utilisateurs dans l'entité principale où le SAML est configuré seulement.

Établir une entité par défaut après la connexion

Une fois que les utilisateurs ont accès à diverses entités, ils peuvent établir celle qu'ils privilégient comme leur entité par défaut.

1. Connectez-vous à Float en utilisant l'authentification unique

2. Cliquez sur le nom d'entreprise dans le coin supérieur gauche

3. Sélectionnez l'entité que vous souhaitez utiliser

4. Cliquez sur le symbole ⋮ (trois points) à côté de l'entité

5. Cliquez sur Sélectionner comme entreprise par défaut