Cet article vous aidera à résoudre les problèmes liés à la mise en place de SSO.

La page de connexion de l'administrateur est centralisée et n'est pas spécifique au compte de votre entreprise. Les utilisateurs doivent saisir leur adresse e-mail au début d'une connexion SAML SSO afin que nous puissions trouver le compte de leur entreprise.

La saisie de l'adresse électronique n'est pas nécessaire sur le portail de l'utilisateur final, car ces pages de connexion sont spécifiques au compte de l'entreprise. Cela signifie que notre solution SAML SSO peut rechercher votre configuration directement afin de se connecter à votre fournisseur d'identité.

La plateforme génère un jeton de pré-authentification dans le cadre du processus d'authentification SAML SSO. Ce jeton ne sera pas présent lorsque l'utilitaire de test SAML d'un fournisseur d'identité est utilisé, de sorte que la plateforme affichera un écran d'erreur. En effet, la plateforme ne peut pas vérifier le compte de l'entreprise pour la tentative d'authentification SAML SSO.

Vous devrez tester l'intégration SAML SSO en vous connectant à la plateforme.

L'URL du Service consommateur d'assertions (ACS) est l'URL que le fournisseur d'identité SAML SSO utilisera pour envoyer une réponse à notre plate-forme. Les réponses d'authentification SAML SSO ne parviendront pas à la plateforme Si l'URL ACS configurée dans votre fournisseur d'identité est incorrecte, les utilisateurs ne seront pas redirigés vers la plateforme. Dans ce cas, les utilisateurs ne seront pas redirigés vers la plateforme après la partie du processus concernant le fournisseur d'identité.

Veuillez confirmer que l'URL ACS dans les paramètres SSO de la plateforme et la configuration SAML SSO de votre fournisseur d'identité correspondent. L'URL ACS changera si le paramètre Domaine préféré de la plateforme est mis à jour.

L'ID d'entité identifie la plate-forme en tant que fournisseur de services SAML. Il est inclus dans les URL de demande SAML qui redirigent les utilisateurs de la page de connexion de la plateforme vers votre fournisseur d'identité. S'il est incorrect, votre fournisseur d'identité rejettera la demande car le fournisseur de services (c'est-à-dire la plateforme) n'est pas reconnu.

Veuillez confirmer que l'ID de l'entité dans les paramètres SSO de la plateforme et la configuration SAML SSO de votre fournisseur d'identité correspondent. L'ID de l'entité changera si le paramètre Domaine préféré de la plate-forme est mis à jour.

Le point d'entrée SAML (ou URL SSO du fournisseur d'identité) est utilisé pour construire les URL de demande SAML qui redirigent les utilisateurs de la page de connexion de la plateforme vers votre fournisseur d'identité. S'il est incorrect, les utilisateurs ne seront pas redirigés vers votre fournisseur d'identité et le SSO SAML ne sera pas possible.

Veuillez confirmer que le point d'entrée SAML dans les paramètres SSO de la plateforme correspond à celui de la configuration SAML SSO de votre fournisseur d'identité.

Le certificat de signature SAML (ou certificat public x509) est utilisé pour signer les URL de demande SAML qui redirigent les utilisateurs de la page de connexion de la plateforme vers votre fournisseur d'identité. Si la signature ne peut pas être vérifiée, votre fournisseur d'identité rejettera la demande.

En cas de doute, vous devez aller dans les paramètres SSO de la plateforme et remplacer le certificat par le certificat actuel de la configuration SAML SSO de votre fournisseur d'identité. Vous pouvez également voir l'empreinte digitale du certificat actuel, que vous pouvez utiliser pour vérifier si le certificat présent correspond à celui de votre fournisseur d'identité. Tous les fournisseurs ne rendent pas cette empreinte visible, c'est pourquoi nous conseillons plutôt de remplacer le certificat dans la plateforme.

Ces certificats ont une date d'expiration. Il se peut donc que le SAML SSO cesse de fonctionner parce que le certificat en place a expiré. La meilleure pratique consiste à surveiller la date d'expiration de vos certificats SAML et à les remplacer à l'avance. Sinon, vous risquez d'être bloqué dans le système si vous n'autorisez l'authentification SSO que pour les utilisateurs administrateurs de la plateforme.

Tout utilisateur qui souhaite se connecter à la plateforme à l'aide de SAML SSO devra être affecté à l'intégration du côté du fournisseur d'identité.

La plupart des fournisseurs d'identité proposent une option d'affectation des utilisateurs, soit lors de la configuration, soit en tant que fonction administrative. La configuration d'une intégration SAML SSO comprendra une étape d'affectation d'utilisateur. Cela devrait vous permettre de spécifier l'utilisateur qui peut s'authentifier sur le fournisseur de services correspondant, c'est-à-dire cette plateforme. Les utilisateurs assignés doivent correspondre le plus possible à la base d'utilisateurs de la plateforme. Par exemple, si vous utilisez l'une des intégrations de synchronisation pour importer des utilisateurs finaux, vos attributions d'utilisateurs SAML SSO doivent se faire dans les mêmes groupes.

Le processus d'authentification SAML SSO fait correspondre les comptes utilisateurs du fournisseur d'identité et de la plateforme en fonction de l'adresse e-mail. Cette fonctionnalité ne prend pas en charge le provisionnement des utilisateurs de quelque sorte que ce soit, de sorte que les comptes utilisateurs ne seront pas créés en réponse à une authentification SAML réussie. Les utilisateurs qui doivent s'authentifier à l'aide de SAML SSO auront besoin de comptes d'administrateur et/ou d'utilisateur final sur la plateforme pour accéder à la console d'administration et/ou au portail de l'utilisateur final, respectivement.

Cela signifie généralement que vous avez peut-être mal configuré la configuration SAML sur votre fournisseur d'identité en dehors des options documentées dans nos guides d'installation. Par exemple, notre solution repose sur l'état du relais renvoyé par votre fournisseur d'identité. Si vous avez défini des options qui perturbent l'état du relais, le jeton de préauthentification que nous envoyons dans le cadre du processus d'authentification SAML SSO peut être perdu ou modifié, ce qui perturbera notre processus de vérification.

Vous pouvez constater que les utilisateurs ne peuvent pas se connecter malgré une connexion réussie sur le compte de leur fournisseur d'identité. Les jetons de préauthentification que nous émettons lors d'une connexion SAML SSO expirent après une courte période. Si un utilisateur n'a pas terminé le processus de connexion SAML SSO dans ce délai, il devra réessayer. Les tentatives suivantes devraient être plus rapides car l'utilisateur est déjà connecté à son fournisseur d'identité à ce stade.

Lorsque vous signalez un problème de SAML SSO à l'assistance, veuillez fournir les informations suivantes :

Si vous utilisez Google Workspace en tant que fournisseur d'identité, vos utilisateurs peuvent voir un écran d'erreur Google si l'authentification SAML SSO échoue. Cela indique généralement un problème avec l'application SAML personnalisée que vous avez créée dans Google Workspace pour cette intégration. Vous trouverez iciune liste complète des messages d'erreur de l'application Google SAML, ainsi que des solutions possibles aux problèmes sous-jacents.