L'authentification unique (SSO ou Single Sign-On) est une méthode d'authentification qui permet aux utilisateurs de se connecter à plusieurs applications à l'aide d'un seul jeu d'identifiants, c.-à-d. un nom d'utilisateur et un mot de passe. Dans Mews, cette méthode aide les administrateurs à gérer les droits d'accès des utilisateurs avec une plus grande efficacité et à simplifier leur processus de connexion.  

 

Si votre établissement fait partie d'une chaîne ou d'un groupe d'établissements et que vous avez des questions sur le SSO, contactez votre Customer Success Manager pour obtenir des informations détaillées. 

 

 

Voici les fournisseurs d'identité pris en charge par Mews :    

• Active Directory/protocole LDAP
• ADFS
• Azure Active Directory Native
• Google Workspace
• OpenID Connect
• Okta  
• PingFederate
• SAML  
• Azure Active Directory      

 

Au sommaire de ce guide : 

• Prérequis à la configuration du SSO  
• Configurer le SSO dans Mews Operations 
  • Remplir les paramètres de configuration SSO 
  • Configurer les domaines utilisateur 
  • Mettre à jour les paramètres de connexion 
• Mettre à jour votre clé secrète SSO

 

Prérequis à la configuration du SSO   

Mews exige désormais la revendication UPN (UserPrincipalName) pour tous les clients Azure AD qui utilisent le SSO : 

• La revendication UPN remplace l'authentification avec une adresse e-mail, ce qui aide à lutter contre les potentielles tentatives de connexion non autorisées. 
• Cette exigence n'a aucun impact sur les utilisateurs qui s'authentifient via Google Workspace ou Okta. 

Avant de configurer le SSO dans Mews Operations, vous devez vous assurer que l'UPN est activé dans votre configuration Azure AD. Pour découvrir comment activer ce paramètre, suivez les étapes indiquées dans la documentation Azure AD dédiée. 

 

Avant de procéder à la configuration du SSO dans Mews Operations, vous devez avoir effectué les étapes indiquées dans ce guide.

 

Configurer le SSO dans Mews Operations

Pour configurer le SSO dans Mews Operations : 

1. Sur le tableau de bord, cliquez sur votre icône de profil dans le coin supérieur droit et saisissez le nom de votre compte de portefeuille ou de celui que Mews a configuré pour vous, dans la barre de recherche et sélectionnez-le :  

2. Dans votre compte de portefeuille, cliquez sur menu principal  > Paramètres > Sécurité. 
3. Dans la section Authentification unique (SSO), cliquez sur Configurer l'authentification unique (SSO). 

Remplir les paramètres de configuration SSO 

Pour configurer les paramètres SSO de votre compte, vous devez d'abord créer une connexion OpenID valide avec notre fournisseur d'identité Auth0,puis configurer la revendication UPN dans Azure AD.

 

Remarque : Pour trouver les informations de votre fournisseur d'identité dont vous aurez besoin à l'étape suivante, consultez les guides de votre fournisseur d'identité, par exemple, Microsoft ou Google.

 

Configurer la revendication UPN dans Azure AD 

Remarque : Cette exigence s'applique uniquement à Azure AD et n'a aucun impact sur les intégrations Google Workspace ou Okta. 

Pour garantir une authentification sécurisée, Mews exige désormais que la revendication UPN soit intégrée au processus de connexion à l'aide du SSO pour les clients qui utilisent Azure AD. 

Pour configurer la revendication UPN dans Azure AD : 

1. Dans le portail Azure, cliquez sur Azure Active Directory > Applications d'entreprise. 
2. Sélectionnez l'application pour laquelle vous souhaitez configurer des revendications facultatives. 
3. Sous Gérer, sélectionnez Configuration de jetons. 
4. Cliquez sur Ajouter une revendication facultative. 
5. Choisissez le type de jeton ID. 
6. Dans la liste des revendications, sélectionnez upn. 
7. Cliquez sur Ajouter pour confirmer. 

Une fois ces étapes effectuées, Azure AD transmet l'attribut UPN au système lors de la connexion pour garantir une authentification sécurisée dans Mews. 

 

Vous pouvez désormais créer une connexion OpenID avec Auth0.

Pour ce faire : 

1. Sous Fournisseur d'identité, sélectionnez Microsoft Azure ou Google Workspace.  

 

2. Remplissez les champs obligatoires suivants :  
   1. Domaine du fournisseur d'identité, par exemple, exemple.onmicrosoft.com
   2. Identifiant du client 
   3. Clé secrète
   4. Date d'expiration. Remarque : Vous pouvez cliquer sur le calendrier pour sélectionner la date. Assurez-vous de choisir le même format de dates, par exemple, JJ/MM/AAAA, car celui utilisé par votre fournisseur d'identité peut être différent de la façon dont votre compte affiche les dates. 
   5. Adresses e-mail : saisissez une ou plusieurs adresses e-mail pour recevoir une notification avant l'expiration de la clé secrète.  
   6. Copiez l'URL de redirection dans votre fournisseur d'identité.
3. Cliquez sur Suivant. 

 

Configurer les domaines utilisateur 

Vous pouvez désormais configurer les domaines utilisateur pour lesquels vous souhaitez appliquer le SSO. Pour activer le SSO pour tous les domaines, cochez l'option Tout sélectionner dans le menu déroulant.

Remarques :

• Seuls les domaines associés à vos utilisateurs actifs actuels apparaissent dans ce champ.  
• Vous devez sélectionner au moins un domaine de messagerie. 

 

Pour ce faire :  

1. Sur l'écran Domaines utilisateur, cliquez sur le menu déroulant Domaines utilisateur* pour sélectionner les utilisateurs qui devront obligatoirement utiliser le SSO pour se connecter. Vous pouvez sélectionner plusieurs utilisateurs ou cocher l'option Tout sélectionner pour appliquer le SSO à tous les domaines :  

2. Une fois que vous avez terminé, sous SSO obligatoire, cliquez sur le bouton bascule de chaque domaine pour lequel vous souhaitez appliquer le SSO, selon vos besoins : 

3. Cliquez sur Activer le SSO pour finaliser le processus et activer la connexion. 
4. Le message de confirmation suivant s'affiche :  

 

Une fois ces étapes effectuées, le processus de configuration du SSO est terminé.  

Une fois le SSO activé, vous pouvez consulter et mettre à jour les paramètres de connexion correspondants en cliquant sur Voir la configuration et en effectuant les étapes suivantes. 

 

Mettre à jour les paramètres de connexion 

Pour mettre à jour vos paramètres de connexion SSO : 

1. Cliquez sur Afficher les détails dans la section Authentification unique (SSO) : 

2. Dans la fenêtre latérale, cliquez sur  et sélectionnez l'une des options suivantes :  

• Modifier les paramètres OpenID : pour mettre à jour les paramètres de configuration OpenID. 
• Modifier la clé secrète : pour modifier la clé secrète et sa date d'expiration. 
• Gérer les domaines des utilisateurs : pour ajouter ou supprimer des domaines utilisateur et ajuster le bouton bascule SSO obligatoire des domaines spécifiques pour lesquels vous souhaitez appliquer le SSO. 
• Désactiver le SSO : pour désactiver la connexion SSO. 

3. Cliquez sur Sauvegarder.
4. Un message apparaît pour confirmer que vos modifications ont été sauvegardées.  

 

Une fois ces étapes effectuées, votre configuration est mise à jour. Vous obtenez un aperçu de vos paramètres OpenID et des domaines de messagerie pour lesquels le SSO est obligatoire (voir capture d'écran ci-dessous) : 

 

Remarque : Si vous rencontrez le moindre problème lors du processus de configuration ou de l'utilisation du SSO, contactez votre Customer Success Manager. 

 

Mettre à jour votre clé secrète SSO

Votre clé secrète SSO est un code confidentiel qui connecte en toute sécurité Mews à votre fournisseur d'identité en vérifiant les tentatives de connexion et en protégeant l'accès des utilisateurs. Nous vous recommandons vivement de la conserver dans un endroit sûr afin d'éviter tout accès non autorisé. Seuls les administrateurs ou les utilisateurs qui ont accès à la configuration SSO peuvent mettre à jour la clé secrète. Pour minimiser les risques de sécurité, nous vous conseillons d'autoriser uniquement certains utilisateurs à accéder à la clé.

 

Vous devez la mettre à jour avant sa date d'expiration pour pouvoir continuer de vous connecter de manière sécurisée à l'aide du SSO à votre compte Mews. Le système vous envoie un e-mail pour vous rappeler de mettre à jour votre clé secrète 30 jours et 14 jours avant son expiration (voir capture d'écran ci-dessous). Une bannière s'affiche également dans le système 7 jours avant son expiration.  
 

Remarque : Une fois la clé secrète expirée, vos utilisateurs ne peuvent plus se connecter à leur compte à l'aide du SSO. Ils doivent saisir leur mot de passe jusqu'à ce que vous configuriez une nouvelle clé.

Pour mettre à jour votre clé secrète SSO : 

1. Connectez-vous à votre compte de votre fournisseur d'identité pour générer une nouvelle clé secrète SSO. Si vous avez besoin d'aide, consultez le guide de votre fournisseur d'identité, par exemple, Microsoft ou Google. 
2. Dans Mews Operations, cliquez sur menu principal > Paramètres > Sécurité. 
3. Dans la section Authentification unique (SSO), cliquez sur Afficher les détails. 

4. Cliquez sur  > Modifier la clé secrète.
5. La fenêtre Modifier la clé secrète (SSO) s'ouvre. Copiez-collez la nouvelle clé secrète de votre fournisseur d'identité dans le champ Clé secrète* (voir capture d'écran ci-dessous) :   

6. Cliquez sur le champ Date d'expiration* pour saisir une nouvelle date d'expiration. Vous pouvez également cliquer sur le calendrier et sélectionner la date souhaitée.
7. Dans le champ Adresses e-mail*, saisissez une ou plusieurs adresses e-mail pour recevoir une notification avant l'expiration de la clé secrète.
8. Cliquez sur Sauvegarder.  

 

Vous savez désormais comment mettre à jour votre clé secrète. 

 

 

Pour découvrir comment renforcer la sécurité de vos comptes utilisateur dans Mews Operations, consultez ce guide.