L'authentification unique (SSO) permet aux apprenants de se connecter à un système unique, tel qu'un annuaire d'entreprise, puis d'accéder à plusieurs applications sans avoir à se connecter à chacune d'elles avec des informations d'identification distinctes. Lorsque le SSO est activé pour votre organisation dans Reach 360, vous gérez les apprenants et potentiellement les groupes de manière légèrement différente. Les propriétaires de comptes Reach 360 peuvent activer le SSO depuis l'interface intégrée à l'application.

Reach 360 utilise le langage SAML (Security Assertion Markup Language) pour authentifier les apprenants et prend en charge le système de gestion des identités interdomaines (SCIM) pour automatiser le provisionnement des apprenants. Vous pouvez utiliser le SAML seul ou avec SCIM pour une automatisation accrue.

Remarque : vous pouvez toujours ajouter des apprenants dans Reach 360 en suivant les étapes répertoriées ici. Gardez simplement à l'esprit que les apprenants ajoutés dans Reach 360 ne sont pas gérés par votre fournisseur d'identité (IdP).

Voici comment le SSO peut affecter ce que vous faites dans l'onglet Personnes.

• Gestion des apprenants authentifiés avec SAML
• Gestion des groupes avec SAML
• Gestion des groupes et des apprenants approvisionnés avec SCIM
• Glossaire

Gestion des apprenants authentifiés avec SAML

Si votre organisation utilise le SAML, les apprenants gérés par votre IdP n'apparaîtront pas dans l'onglet Personnes tant qu'ils ne se seront pas connectés pour la première fois à l'aide de leurs identifiants SSO. Vous ne pourrez pas modifier leurs noms ni changer ou réinitialiser leurs mots de passe dans Reach 360. Ces apprenants auront une icône d'identification dans leur inscription.

Les attributs requis pour qu'un apprenant soit créé dans Reach 360 sont les suivants :

• firstName= prénom
• lastName= nom de famille
• email= adresse e-mail
• subjectNameIdou Unique Learner Identifier = n'importe quel identifiant unique de votre IdP

Vous pouvez également envoyer des attributs facultatifs :

• avatar= remplace la photo de profil définie par l'apprenant (doit être transmise sous forme d'URL)
• groups= une liste des groupes auxquels l'apprenant est affecté dans l'IdP que vous souhaitez synchroniser avec Reach 360.

Pour supprimer un apprenant, vous devez d'abord le supprimer de votre IdP. Une fois qu'ils y ont été supprimés, vous pouvez supprimer leur enregistrement dans l'onglet Apprenants.

Gestion des groupes avec SAML

Les modifications apportées à l'appartenance à un groupe dans votre IdP ne sont traitées que lorsque l'apprenant se déconnecte, puis se reconnecte à Reach 360.

Dans Reach 360 avec SSO activé, les noms des groupes doivent correspondre à l'attribut IdP, sinon de nouveaux groupes seront créés. Renommez le groupe à la fois dans l'IdP et dans Reach 360 pour éviter les modifications accidentelles de l'adhésion au groupe et les problèmes d'inscription au contenu lorsque les apprenants se reconnectent à Reach 360.

Pour supprimer un groupe lié à une connexion SSO, vous devez d'abord supprimer l'attribution de groupe de la groups réclamation. Une fois qu'il n'est plus envoyé aux apprenants, vous pouvez le supprimer de l'onglet Groupes de Reach 360. Si vous ne mettez pas à jour votre configuration SSO, le groupe sera réactivé la prochaine fois qu'un apprenant ayant ce devoir dans votre IdP se connectera via SSO.

Gestion des groupes et des apprenants approvisionnés avec SCIM

Si votre organisation utilise le SCIM en plus du SAML, les apprenants seront affichés dans l'onglet Personnes une fois qu'ils auront été ajoutés à votre IdP, même s'ils ne se sont pas encore connectés à Reach 360. Comme avec SAML, vous ne pourrez pas modifier leurs noms ni changer ou réinitialiser leurs mots de passe dans Reach 360. Ces apprenants auront une icône d'identification dans leur inscription.

Les apprenants qui ont été approvisionnés par SCIM ne peuvent être supprimés que via votre IdP, et non dans Reach 360. Les apprenants qui ont été ajoutés à Reach 360 sans provisionnement peuvent être supprimés comme d'habitude.

Lorsque votre organisation utilise le SCIM, vous pouvez également avoir des groupes gérés par l'IdP. L'ajout et la suppression de membres de ces groupes doivent être effectués dans votre IdP, et vous ne pouvez pas y ajouter d'apprenants gérés par un IdP dans Reach 360.

Les attributs requis pour qu'un apprenant soit créé dans Reach 360 via SCIM sont les suivants :

• name.givenName= prénom
• name.familyName= nom de famille
• userName= adresse e-mail

Vous pouvez également envoyer des attributs facultatifs :

• avatar= remplace toute photo de profil téléchargée par l'apprenant (doit être transmise sous forme d'URL et doit être envoyée sous forme d'attribut faisant partie duurn:scim:schemas:extension:metadata:2.0:User schema)
• externalId= n'importe quel identifiant unique de votre IdP

Remarque : L'intervalle de communication avec Reach 360 est régi par votre IdP. Une fois les données reçues par notre serveur SCIM, elles seront immédiatement disponibles dans Reach 360.

Glossaire

Active Directory (AD)

Active Directory (AD) est un produit Microsoft permettant de gérer les apprenants, les autorisations et l'accès aux ressources du réseau. De nombreuses entreprises utilisent AD pour gérer leurs équipes. Notre solution SSO est compatible avec AD, car les deux prennent en charge la communication SAML.

Affirmation

Une assertion est une donnée envoyée par un fournisseur d'identité (IdP) qui fournit une ou plusieurs des déclarations suivantes à un fournisseur de services (SP).

• Les instructions d'authentification indiquent qu'un apprenant s'est authentifié avec succès et enregistrent l'heure à laquelle il l'a fait.
• Les déclarations d'attributs fournissent des informations sur l'apprenant. Par exemple, l'attribut NameID fournit le nom d'utilisateur et est requis pour l'authentification. D'autres attributs peuvent également être configurés manuellement.
• Les déclarations de décision d'autorisation accordent ou refusent à l'apprenant l'accès à une ressource.

URL du service client Assertion (AcsURL)

Une URL Assertion Consumer Service (AcsURL) est un emplacement ou une ressource HTTPS chez un fournisseur de services (SP), tel que Reach 360, qui accepte les messages SAML provenant d'un fournisseur d'identité (IdP).

ID de l'entité

L'ID d'entité est une chaîne unique de lettres et de chiffres, généralement sous la forme d'une URL, qui identifie le fournisseur de services (SP). L'ID d'entité est également appelé URI d'audience, et il s'agit souvent de la même URL que l'URL d'Assertion Consumer Service (AcsURL).

Identifiant unique global (GUID)

Un identificateur global unique (GUID) est une chaîne de lettres, de chiffres et de tirets qui identifie une entité. Dans le contexte de Reach 360 SSO, le GUID fait référence à votre identifiant d'abonnement Reach 360.

Gestion des identités et des accès (IAM)

Gartner a une excellente définition de la gestion des identités et des accès (IAM) :

La gestion des identités et des accès (IAM) est la discipline de sécurité qui permet aux bonnes personnes d'accéder aux bonnes ressources au bon moment et pour les bonnes raisons.

L'IAM répond au besoin essentiel de garantir un accès approprié aux ressources dans des environnements technologiques de plus en plus hétérogènes et de répondre à des exigences de conformité de plus en plus strictes. Cette pratique de sécurité est essentielle pour toute entreprise. Il est de plus en plus adapté aux besoins des entreprises et nécessite des compétences commerciales, et pas seulement une expertise technique.

Les entreprises qui développent des fonctionnalités IAM matures peuvent réduire leurs coûts de gestion des identités et, plus important encore, devenir nettement plus agiles pour soutenir les nouvelles initiatives commerciales.

Fournisseur d'identité (IdP)

Un fournisseur d'identité (IdP) est un service qui stocke et gère un répertoire de comptes d'apprenants ou d'identités numériques. Les organisations utilisent des IDP pour gérer leurs apprenants et accorder l'accès aux ressources du réseau. Les exemples d'IdP incluent Okta, Azure et Ping.

Dans le contexte du SSO, un IdP répond aux demandes d'authentification d'un fournisseur de services (SP), tel que Reach 360, pour connecter les apprenants à un service, tel que votre compte Reach 360.

Provisionnement juste à temps (JIT)

Le provisionnement juste à temps (JIT) crée automatiquement des comptes utilisateurs dans une solution SSO la première fois qu'un utilisateur s'authentifie auprès de son fournisseur d'identité (IdP).

Protocole LDAP (Lightweight Directory Access Protocol)

Okta résume bien le protocole LDAP (Lightweight Directory Access Protocol) :

Le protocole LDAP (Lightweight Directory Access Protocol) est un protocole Internet que les programmes d'entreprise tels que les logiciels de messagerie, de gestion de la relation client et de gestion des ressources humaines utilisent pour authentifier l'accès et rechercher des informations sur un serveur.

La solution Reach 360 SSO utilise l'intégration SAML plutôt que LDAP.

Métadonnées

Les métadonnées sont des informations fournies par un fournisseur d'identité (IdP) à un fournisseur de services (SP), ou vice versa, au format XML.

• Les métadonnées SP fournissent l'URL Assertion Consumer Service (acsURL), la restriction d'audience, le format NameID et les certificats x.509 (utilisés par l'IdP pour vérifier les signatures du SP et chiffrer les demandes SAML adressées au SP par l'IdP, si nécessaire).
• Les métadonnées IdP fournissent l'URL SSO, l'ID d'entité et les certificats x.509 requis par le SP pour vérifier la signature de l'assertion provenant de l'IdP et, si le chiffrement des demandes SAML est requis, crypter les messages du SP vers l'IdP.

Authentification multifactorielle (MFA)

L'authentification multifactorielle (MFA), également appelée authentification à deux facteurs (2FA), oblige les apprenants à passer une deuxième calque de sécurité lorsqu'ils se connectent à une application ou à un système. Une forme courante de MFA demande aux apprenants de saisir un code de vérification, qu'ils obtiennent par SMS ou via une application d'authentification.

Le MFA n'est pas pris en charge pour Reach 360. Nous vous recommandons d'activer le MFA via votre IdP pour une calque de sécurité supplémentaire.

OAuth

OAuth, ou Open Authorization, est une norme permettant aux apprenants d'accéder à des applications tierces sans révéler leurs mots de passe. La solution Reach 360 SSO n'implique pas OAuth.

OpenAM

OpenAM est un système de gestion d'accès open source utilisé par certaines organisations pour fournir un service SSO à leurs apprenants. Le service Reach 360 SSO est compatible avec OpenAM, car les deux services prennent en charge la communication SAML.

Langage de balisage des assertions de sécurité (SAML)

Le langage SAML (Security Assertion Markup Language) est une norme ouverte basée sur XML permettant d'échanger des données d'authentification entre un fournisseur d'identité (IdP) et un fournisseur de services (SP), tel que Reach 360.

Notre solution SSO utilise SAML 2.0 pour authentifier les apprenants dans Reach 360 en fonction de l'identité de leur entreprise, afin que les apprenants n'aient pas à gérer un ensemble d'informations d'identification distinct pour Reach 360.

Authentification unique (SSO)

L'authentification unique (SSO) permet aux apprenants de se connecter à un système unique, tel qu'un annuaire d'entreprise, puis d'accéder à plusieurs applications sans se connecter à chacune d'elles avec des informations d'identification distinctes. Le SSO améliore la productivité et permet aux entreprises d'appliquer leurs propres exigences en matière de sécurité des mots de passe.

Fournisseur de services (SP)

Un fournisseur de services (SP) est une entreprise qui propose un service, tel que l'hébergement de contenu. Un SP communique avec un fournisseur d'identité (IdP) pour connecter les apprenants au service. Reach 360 est le SP dans ce contexte.

Système de gestion des identités interdomaines (SCIM)

SCIM est un standard ouvert pour l'automatisation du provisionnement et du déprovisionnement des apprenants. Par exemple, une entreprise peut utiliser le SCIM pour ajouter automatiquement ses apprenants à un service cloud par abonnement et synchroniser les profils de son entreprise avec le service cloud.