archi bot Documentation produit

Cette traduction est générée automatiquement (bêta). Le guide en anglais fait foi.

Accès

Accès à ArchibotChat et SSO

Soumettez les informations de votre fournisseur d'identité à l'étape Authentification unique pour qu'ISM puisse câbler la connexion de l'organisation.

Administrateurs clientsOpérateurs de plateforme

Dernière mise à jour

Étape Authentification unique de la Console avec le type d'IdP, les domaines de connexion, l'URL des métadonnées de découverte, le mappage des claims, les groupes de rôles et un panneau d'état de préparation SSO.
Exemple rendu par la Console avec des données sûres : l'étape Authentification unique recueille des informations OIDC ou SAML non secrètes pour qu'ISM puisse mapper l'accès de l'organisation. Ne collez jamais de secrets client ni de clés de signature.

L’étape Authentification unique est l’endroit où un administrateur client transmet à ISM les informations non secrètes nécessaires pour câbler votre fournisseur d’identité (IdP) à ArchibotChat et à la Console. Vous soumettez des métadonnées, des mappages de claims et des groupes de rôles ; ISM finalise l’échange de secrets via un canal approuvé et confirme lorsque la connexion est prête à être testée.

Ce guide couvre le formulaire de la route /account/sso. Il n’accorde ni ne modifie l’accès individuel aux produits. Pour savoir comment les contrôles de produit et la facturation décident de ce qu’un utilisateur connecté peut ouvrir, consultez Configuration d’ArchibotChat et Facturation et crédits ArchibotChat.

Avant de commencer

  • Vous devez être administrateur client pour soumettre la configuration SSO.
  • Ayez votre administrateur d’IdP disponible, ou soyez vous-même l’administrateur d’IdP, afin de pouvoir lire les métadonnées de l’application.
  • Sachez avec quels domaines de messagerie vos utilisateurs se connectent.
  • Décidez du protocole que vous utiliserez : OIDC ou SAML.

Les petites équipes ne sont pas obligées d’utiliser le SSO. L’étape est facultative et vous pouvez continuer à utiliser les invitations par e-mail jusqu’à ce que vous soyez prêt à câbler un IdP. Soumettez les informations SSO uniquement lorsque vous comptez connecter un fournisseur.

Ouvrir l’étape Authentification unique

  1. Ouvrez la Console et accédez à Configuration du compte.
  2. Dans la navigation de Configuration du compte, sélectionnez Authentification unique.
  3. Lisez la bannière de soumission sûre en haut de l’étape. C’est un rappel que ce formulaire ne prend que des métadonnées non secrètes.

En-tête de l'étape Authentification unique de la Console avec le sélecteur de type d'IdP, les domaines de connexion et la ligne d'URL des métadonnées de découverte.

L’en-tête de l’étape affiche son statut (Non commencé, En cours, À examiner ou Prêt) et, pour les comptes en libre-service, un marqueur Facultatif.

Choisir votre type d’IdP et vos domaines de connexion

  1. Définissez le Type d’IdP sur l’une des valeurs suivantes :
    • OIDC pour les fournisseurs OpenID Connect.
    • SAML pour les fournisseurs SAML 2.0.
    • Pas encore de SSO (utiliser les e-mails d’invitation) si vous n’êtes pas prêt à connecter un fournisseur.
  2. Dans Domaines de connexion, saisissez une liste séparée par des virgules des domaines de messagerie avec lesquels vos utilisateurs se connectent, par exemple example.com, example.co. Si la Console connaît déjà des domaines pour votre compte, vous pouvez en choisir un dans la recherche pour l’ajouter.

Modifier le type d’IdP ou les domaines efface tout résultat antérieur de vérification des métadonnées ; vérifiez-les donc à nouveau après les avoir ajustés.

Diriger la Console vers les métadonnées de votre fournisseur

La ligne URL de découverte / métadonnées vous aide à trouver et à confirmer la bonne URL de métadonnées.

  1. Choisissez votre fournisseur dans la liste des préréglages. Les préréglages incluent Microsoft Entra ID, Okta, Google Workspace, Auth0, OneLogin et Autre fournisseur. Chaque préréglage indique l’indice d’hôte qu’il attend, comme un ID de locataire ou company.okta.com.
  2. Sélectionnez Utiliser l’URL du fournisseur pour remplir le champ des métadonnées avec une URL de découverte suggérée, construite à partir de votre fournisseur et de vos domaines. Si la suggestion ne peut pas encore être construite, la Console vous indique ce qu’il faut saisir d’abord (un domaine de connexion ou une valeur de locataire).
  3. Sélectionnez Ouvrir la console du fournisseur pour ouvrir la console d’administration du fournisseur dans un nouvel onglet.
  4. Certains préréglages ajoutent des boutons de transfert de configuration spécifiques au fournisseur (par exemple, ouvrir l’enregistrement de l’application ou l’écran des claims). Utilisez-les pour aller directement à l’écran où vous créez ou inspectez l’application IdP.
  5. Si vous disposez déjà de l’URL exacte des métadonnées, saisissez-la ou collez-la dans le champ des métadonnées, par exemple https://idp.example.com/.well-known/openid-configuration.

La Console construit les suggestions et les liens uniquement à partir de vos sélections. Elle ne lit ni ne stocke de secrets.

Vérifier les métadonnées

  1. Sélectionnez Vérifier les métadonnées. La Console accède à l’URL des métadonnées du fournisseur et recherche les champs attendus. Le bouton affiche Vérification… pendant son exécution.
  2. Lisez le panneau de résultat sous le champ :
    • Métadonnées vérifiées signifie que la Console a atteint le fournisseur et a trouvé les champs attendus. Elle affiche l’émetteur ou l’ID d’entité découvert afin que vous puissiez confirmer qu’il correspond à votre fournisseur.
    • Les métadonnées nécessitent une attention signifie que la Console n’a pas pu vérifier les métadonnées. Revérifiez l’URL, le domaine et le protocole, puis réessayez.

La vérification est en lecture seule. Elle confirme que l’URL est accessible et bien formée ; elle ne finalise pas la connexion.

Mapper les claims et les groupes de rôles

ISM utilise ces valeurs pour mapper les utilisateurs connectés à la bonne identité et aux bons rôles. Chaque champ accepte des valeurs courantes depuis une liste de sélection rapide ou votre propre saisie.

ChampCe que c’estExemple
Référence de l’application du fournisseurID non secret d’application, de client ou d’application d’entreprise de votre fournisseur00000000-0000-0000-0000-000000000000
Claim de nom d’utilisateurClaim qui porte le nom d’utilisateurpreferred_username
Claim d’e-mailClaim qui porte l’adresse e-mailemail
Claim de groupesClaim qui porte l’appartenance aux groupes ou aux rôlesgroups
Nom du groupe administrateurGroupe dont les membres deviennent administrateurs Archibotarchibot-admins
Nom du groupe membreGroupe dont les membres deviennent membres standardsarchibot-users
E-mail administrateur de testUn compte administrateur qu’ISM peut utiliser pour tester la connexionadmin-test@example.com
E-mail membre de testUn compte membre qu’ISM peut utiliser pour tester la connexionmember-test@example.com

La référence de l’application du fournisseur est uniquement un identifiant non secret. Elle permet à ISM de lier les notes de transfert de la Console à l’application IdP exacte. Ne saisissez pas de secret client ici.

Lire le panneau d’état de préparation SSO

Sous les champs, le panneau État de préparation SSO résume le niveau de complétude de votre soumission, avec un badge prêts/total. Chaque tuile passe à prêt à mesure que vous renseignez l’élément correspondant :

  • Domaines de connexion — au moins un domaine de connexion est défini.
  • Vérification des métadonnées — une URL de métadonnées est présente et vérifiée.
  • Application du fournisseur — une référence d’application du fournisseur est fournie.
  • Mappage des claims — les claims de nom d’utilisateur et d’e-mail sont mappés.
  • Groupes de rôles — les groupes administrateur et membre sont nommés.
  • Callbacks — la configuration du callback côté fournisseur est prise en compte.
  • Utilisateurs de test — au moins un compte de test est fourni.

Vous n’êtes pas obligé d’atteindre chaque élément avant de soumettre, mais un résumé de préparation plus complet permet à ISM de terminer plus rapidement.

Soumettre votre configuration SSO

  1. Si vous avez besoin d’un mot de passe de secours temporaire pour un utilisateur approuvé qui ne peut pas encore effectuer la MFA par appareil, définissez l’option Mot de passe de secours pour le demander. Cela n’est disponible que lorsque le mot de passe de secours est activé pour votre compte, et ISM doit approuver et activer la politique avant qu’elle ne modifie le comportement de connexion.
  2. Ajoutez tout ce qu’ISM doit savoir dans Notes SSO, comme une fenêtre de maintenance ou une particularité du fournisseur.
  3. Sélectionnez Soumettre la configuration SSO.

La Console confirme la soumission et vous indique qu’ISM vous contactera une fois la configuration prête à être testée. ISM finalise la connexion et échange tout secret via un canal approuvé, jamais via ce formulaire.

Ce qu’il ne faut pas mettre dans ce formulaire

L’étape Authentification unique ne prend que des métadonnées OIDC ou SAML non secrètes. Ne collez pas :

  • Secrets client ni clés de signature.
  • Clés privées ou certificats contenant du matériel privé.
  • Cookies, jetons de session ou jetons d’invitation.
  • Mots de passe.

Si ISM a besoin d’un secret pour finaliser la connexion, ils le demandent via un canal approuvé.

Après la soumission

  • ISM examine votre soumission et vous contacte pour confirmer ou poser des questions de suivi.
  • Une fois la connexion active, vos utilisateurs se connectent via votre organisation sur l’URL ArchibotChat.
  • Une connexion réussie ne signifie pas qu’un produit est activé. Les contrôles de produit et la facturation décident toujours de ce que chaque utilisateur peut ouvrir. Consultez Configuration d’ArchibotChat.

Guides connexes

Terminé quand

  • Vous pouvez ouvrir l'étape Authentification unique dans Configuration du compte.
  • La vérification des métadonnées renvoie un résultat vérifié.
  • L'état de préparation SSO affiche comme prêts les éléments qui vous importent.
  • Votre configuration SSO est soumise à ISM sans aucun secret.