Lors du paramétrage de votre environnement, vous pourrez choisir une méthode d'authentification SAML ou MFA. Cet article détaille les tenants et aboutissants de ces méthodes.
Sommaire
1. MFA / SAML pourquoi faut-il choisir ?
2. Quelles solution de MFA choisir ?
3. Comment mettre en place mon authentification SAML ?
4. Mettre à jour sa configuration SAML
1. MFA / SAML pourquoi faut-il choisir ?
🔎 Si vous sélectionnez la méthode SAML, le champ MFA ne sera pas disponible.
En effet, le MFA, 2FA ou Authentification forte, consiste à compléter le mot de passe traditionnel par un code généré par une application smartphone.
Avec la mise en place du SAML, l'authentification est complètement gérée par votre fournisseur d'identité (AzureAD, ADFS, google, OKTA, etc.) suivant le principe de fédération d'identité.
Dans cette configuration, l'authentification est complètement déportée. Il n'est donc pas possible de surcharger cette authentification qui est en dehors de la responsabilité.
2. Quelles solution de MFA choisir ?
Vous pouvez utiliser la solution MFA de votre choix : Microsoft Authenticator, OKTA, Etc.
3. Comment mettre en place mon authentification SAML ?
📝 Informations préalables
- Tenacy propose nativement et sur toute les offres SAMLv2.
- Tenacy supporte du SAML en multi annuaire pour gérer vos comptes, celles de vos filiales, fournisseurs etc.
- Tenacy supporte le SAML en Service Provider Initiated uniquement
- Tenacy ne supporte pas le provisionning automatique (il faut que le compte existant soit existant dans la solution)
- Tenacy ne permet pas de traiter la gestion des habilitations (seuls les éléments d'identités sont traités).
⚙️ Configuration
La configuration s'effectue dans le menu roue crantée ⚙️dans le menu authentification.
Vous pouvez ajouter une configuration et remplir le champ URL metadata.
Vous retrouverez toutes les informations pour la mise en place de la configuration SAML dans l'aide contextuelle de la page "Authentification".
4. Mettre à jour ma configuration SAML
4.1 Garder ma configuration existante et en créer une nouvelle à côté
Ici il est question de venir créer une 2ème configuration d'authentification avec les informations du nouveau certificat qui prendra le relais de la 1ère configuration.
⚠️ Vous n'associez que votre compte à la nouvelle configuration dans un premier temps pour vérifier si elle est déjà fonctionnelle. ⚠️
Une fois la vérification effectuée, vous vous déconnectez et tentez de vous reconnecter.
Si le nouveau certificat fonctionne déjà (connexion réussie) vous pouvez :
- l'attribuer à tous (sinon il faudra attendre la fin du 1er certificat)
- Changer les informations du certificat directement dans la 1ère configuration, vous évitant de devoir réattribuer les utilisateurs.
Avec cette solution, pensez à ouvrir la base de connaissance pour garder l'accès au chat si jamais vous ne parvenez pas à vous reconnecter. Ainsi le support pourra intervenir pour vous remettre sur la bonne configuration pour vous connecter à nouveau.
4.2 Attendre la fin de validité de ma configuration actuelle
Vous pouvez également attendre la fin de date de validité de votre certificat actuel et vous mettre un rappel pour changer les informations dans votre configuration.
Au plus tard le jour précédent la fin de validité de la configuration existante.
Pour effectuer la manipulation nous vous conseillons de passer en authentification par mot de passe quelques jours précédant la fin de période de validité du certificat de votre configuration pour effectuer la mise à jour des informations nécessaires.