Accès au tab SSO
- Cette TAB n’est visible que si votre abonnement inclut le SSO.
- Elle est uniquement accessible par le propriétaire du compte ("Owner").
🛠️ Paramètres de configuration
✅ Activer la connexion SSO
But : Activer ou désactiver le mode SSO pour ce compte.
- Activé : Les utilisateurs rattachés à ce compte seront redirigés vers leur IdP configuré lors de la connexion. L’authentification se fait via SAML, sans mot de passe local.
- Désactivé : Le login par défaut est utilisé (adresse e-mail + mot de passe de l’application).
📁 Charger un fichier XML de métadonnées
But : Charger manuellement le fichier XML de métadonnées fourni par votre fournisseur d’identité (IdP).
- Activé : Permet de téléverser directement un fichier
.xmlcontenant la configuration SAML générée par l’IdP. - Désactivé : Affiche le champ Metadata URL, à utiliser si vous préférez fournir un lien direct vers les métadonnées hébergées par votre IdP.
- 👉 Vous devez soit charger le fichier XML de configuration, soit renseigner l’URL des métadonnées – l’un des deux est requis pour finaliser la configuration.
🔗 URL des métadonnées
But : Fournir l’URL où l’application peut récupérer automatiquement les métadonnées SAML du fournisseur d'identité.
- Exemple :
- https://trial-1392317.okta.com/app/…/sso/saml/metadata
- Vous pouvez généralement trouver cette URL dans l’interface de gestion de votre IdP (ex. : Okta, Azure AD, OneLogin…).
🆔 Identifiant d'entité du fournisseur de services
But : Identifiant unique de votre application (SP - Service Provider) dans le cadre de la communication SAML.
- C’est l’identifiant utilisé par l’IdP pour reconnaître votre application.
- Exemple :
AW-MY-APP
📥 ACS URL (Assertion Consumer Service URL)
But : Spécifie où le fournisseur d'identité (IdP) doit envoyer la réponse SAML après une authentification réussie.
- L’URL est prédéfinie dans notre interface SSO : il suffit de la copier/coller dans la configuration de votre IdP.
🔁 URL de déconnexion unique (facultatif)
But : Permet de configurer la déconnexion unique (SLO).
- Lorsque configuré, un utilisateur se déconnectera à la fois de l’application et de son IdP.
- L’URL est prédéfinie dans notre interface SSO : il suffit de la copier/coller dans la configuration de votre IdP.
🧬 Mappage de l'attribut "email"
But : Permet de définir l’attribut de l’IdP utilisé pour alimenter le champ
email dans l’application.- Format String:
EmailAddress - Ici, la chaîne
"EmailAddress"indique que l’attributEmailAddressfourni par l’IdP sera utilisé comme valeur du champemaildans l’application.
📄 Génération des métadonnées du Service Provider (SP)
Une fois tous les champs correctement renseignés et enregistrés, vous pouvez récupérer la configuration générée pour votre application afin de la configurer dans votre IdP :
Obtenez le fichier XML des métadonnées du fournisseur de services OptiValue.ai :
- Prévisualiser le XML : Affiche un aperçu de la configuration XML générée.
- Télécharger le XML : Permet de télécharger le fichier XML. Ce fichier doit être importé dans votre IdP afin d'établir un lien sécurisé avec l'application.
🧷 Bonnes pratiques
- Vérifiez toujours que l’Entity ID, l’ACS URL et les attributs correspondent bien à ceux attendus par votre IdP.
- Téléchargez et installez le fichier Metadata XML généré dans votre IdP pour que la connexion soit complète et sécurisée ( si possible ).
Exemples d’intégration
📘 Exemple d’intégration SSO SAML avec Okta
Cette section vous guide pas à pas pour connecter votre application à Okta en utilisant le protocole SAML 2.0.
🧑💻 Étapes de configuration côté Okta (fournisseur d'identité)
1. Accéder à l'administration Okta
- Connectez-vous à votre console d’administration Okta :
- https://<votre-domaine>.okta.com/admin
2. Créer une nouvelle application SAML
- Dans le menu latéral, cliquez sur Applications > Applications.
- Cliquez sur Créer une application.
- Sélectionnez SAML 2.0 comme méthode de connexion, puis cliquez sur Suivant.
🧾 Étape 1 – Paramètres généraux
- Nom de l'application :
OptiValue.ai. - Vous pouvez également ajouter un logo si souhaité.
- Cliquez sur Suivant.
⚙️ Étape 2 – Configuration SAML
Voici les champs à remplir à partir des informations de votre service (votre app) :
|
Champ Okta
|
Valeur à renseigner
|
|
Single sign on URL
|
Utilise l'URL déjà préremplie dans l’onglet SSO sur OptiValue.ai sous le nom 'URL ACS (Assertion Consumer Service)'. |
|
Audience URI (SP Entity ID)
|
Utilisez un identifiant unique, identique dans l’application et dans Okta (ex. : AW-MY-APP).
|
|
Name ID format
|
EmailAddress |
|
Application username
|
Email |
✅ Cochez la case "Use this for Recipient URL and Destination URL"
➕ Attributs supplémentaires (Attribute Statements)
Ajoutez un attribut pour faire le mapping de l’adresse email :
|
Nom (Name)
|
Format Name
|
Valeur (Value)
|
|
email
|
Unspecified ou vide |
Cliquez sur Suivant.
👥 Étape 3 – Attribution et finalisation
- Assignez l'application aux utilisateurs ou groupes autorisés.
- Terminez la création de l'application.
🔗 Récupérer les métadonnées XML d’Okta
- Une fois l’application créée, cliquez dessus dans la liste.
- Dans l’onglet Sign On, cliquez sur View SAML setup instructions.
- Copiez l’URL des métadonnées (Metadata URL) ou téléchargez le fichier XML.
🧩 Intégration côté OptiValue.ai
Dans votre interface SSO :
- Méthode recommandée : Téléversez le fichier XML de métadonnées Okta ou collez l’URL des métadonnées.
- Les champs suivants seront remplis automatiquement ou manuellement :
|
Champ dans l'application
|
Source (Okta)
|
|
URL des métadonnées
|
Copiée depuis Okta
|
|
Identifiant d'entité du fournisseur de services
|
AW-MY-APP (ou celui que vous avez défini) |
|
ACS URL
|
Générée automatiquement
|
|
URL de déconnexion unique
|
Facultatif – peut être laissé vide ou activé via la bascule
|
|
Mappage d'Email
|
email ( spécifiée dans les attributs supplémentaires sur Okta. )
|
✅ Vérifications finales
- Vérifiez que l’attribut "email" est bien configuré et mappé.
- Testez la connexion SSO en déconnectant tout utilisateur existant.
- La redirection vers Okta doit s’effectuer automatiquement.
📙 Exemple d’intégration SSO SAML avec Azure AD Entra
Cette section vous guide pour connecter votre application à Azure AD Entra via le protocole SAML 2.0.
🧑💻 Étapes de configuration côté Azure AD Entra (fournisseur d'identité)
1. Accéder au portail Azure
Connectez-vous à votre console d’administration Azure AD :
Microsoft Azure
Dans le menu, sélectionnez Azure Active Directory > Applications d’entreprise.
2. Créer une nouvelle application d’entreprise
- Cliquez sur + Nouvelle application.
- Choisissez Créer votre propre application.
- Nommez l’application, par exemple :
OptiValue.ai. - Sélectionnez Intégrer toute autre application non présente dans la galerie.
- Cliquez sur Créer.
⚙️ Étape 3 – Configuration de l’authentification unique (Single Sign-On)
- Dans la page de votre application, cliquez sur Authentification unique.
- Sélectionnez la méthode SAML.
- Remplissez les champs avec les informations suivantes :
|
Champ Azure AD
|
Valeur à renseigner
|
|
Identificateur (Entity ID)
|
Utilisez un identifiant unique, identique dans l’application et dans Azure AD Entra (ex. : OV-MY-APP). |
|
URL de réponse (Assertion Consumer Service URL - ACS URL)
|
Utilise l'URL déjà préremplie dans l’onglet SSO sur OptiValue.ai sous le nom 'URL ACS (Assertion Consumer Service)'. |
|
URL de déconnexion (Logout URL)
|
Facultatif, peut être laissé vide
|
➕ Ajout des attributs (Claims)
Pour faire correspondre l’adresse email, ajoutez ou vérifiez la revendication suivante dans la section Attributs/Claims :
|
Nom de la revendication (Name)
|
Source/Value dans Azure AD
|
|
email
|
user.mail |
👥 Étape 4 – Attribution et finalisation
- Dans la page de l’application, cliquez sur Utilisateurs et groupes dans le menu de gauche.
- Cliquez sur + Ajouter un utilisateur/groupe.
- Sélectionnez les utilisateurs ou groupes qui doivent avoir accès à cette application.
- Cliquez sur Attribuer pour finaliser l’attribution.
🔗 Récupérer les métadonnées d’Azure AD
- Dans la configuration SAML de l’application, cliquez sur Télécharger les métadonnées.
- Utilisez ce fichier XML pour la configuration dans OptiValue.ai.
🧩 Intégration côté OptiValue.ai :
Dans l’interface SSO de votre application :
- Téléversez le fichier XML des métadonnées Azure AD ou collez l’URL des métadonnées (si disponible).
- Les champs suivants seront automatiquement ou manuellement renseignés :
|
Champ dans l’application
|
Source (Azure AD)
|
|
URL des métadonnées
|
Fichier XML téléchargé depuis Azure AD
|
|
Identifiant d'entité du fournisseur de services
|
OV-MY-APP (ou celui que vous avez défini) |
|
ACS URL
|
Générée automatiquement
|
|
URL de déconnexion unique (SLO)
|
Générée automatiquement ( si activé )
|
|
Mappage de l’email
|
email (correspondant à l’attribut envoyé par Azure AD) |
🆕 Étape importante dans l’application OptiValue.ai
Une fois tous les champs renseignés et la configuration SSO enregistrée dans votre interface OptiValue.ai, une nouvelle rubrique apparaît dans l’onglet SSO, nommée :
Obtenez le fichier XML des métadonnées du fournisseur de services OptiValue.ai :
- Cette section vous permet de télécharger le fichier XML contenant les métadonnées SAML générées pour votre application.
- Ce fichier XML est indispensable pour établir un lien sécurisé avec Azure AD Entra.
- Vous devez importer ce fichier XML dans votre application Azure AD Entra (lors de la configuration SAML de votre application entreprise), afin que votre IdP reconnaisse votre Service Provider (SP) et que la connexion SSO soit complète et sécurisée.
✅ Vérifications finales
- Vérifiez que l’attribut "email" est bien configuré et mappé dans Azure AD.
- Testez la connexion SSO en vous déconnectant puis en essayant de vous reconnecter.
- La redirection vers Azure AD doit s’effectuer automatiquement, et l’utilisateur doit accéder à votre application sans saisir de mot de passe local.