Articles similaires
Table des matières
Configurer le Single Sign-On (SSO)
Découvre comment configurer le Single Sign-On (SSO) pour ton entité, afin que les administrateur·trice·s et les invité·e·s puissent se connecter de manière centralisée via un fournisseur d'identité.

Qu'est-ce que le Single Sign-On (SSO) ?
Avec le Single Sign-On (SSO), la connexion à la plateforme événementielle Oniva s'effectue via un fournisseur d'identité central tel que Microsoft, Google ou Okta – au lieu d'un mot de passe Oniva séparé. La connexion SSO peut être activée aussi bien pour les administrateur·trice·s que pour les invité·e·s, et permet une gestion centralisée et sécurisée de tous les accès.
Avantages par rapport à un identifiant/mot de passe
- ✅ Gestion centralisée des utilisateur·trice·s
- ✅ Les comptes peuvent être bloqués de manière centralisée
- ✅ Aucun mot de passe supplémentaire n'est nécessaire pour Oniva
- ✅ Sécurité accrue grâce aux politiques de sécurité existantes (p. ex. MFA)
- ✅ Moins de charge de support liée aux réinitialisations de mot de passe
👉 Tu n'as besoin du SSO que pour une partie de tes utilisateur·trice·s ? Les types de compte permettent d'activer le SSO pour des groupes spécifiques, tandis que les autres continuent de se connecter de manière classique via identifiant/mot de passe.
Configurer le SSO
Conditions préalables
- Droits d'administrateur·trice de l'entité
- La fonctionnalité API doit être activée sur la licence
Si la fonctionnalité n'est pas encore disponible, elle peut être activée par l'équipe de support Oniva
1. Activer le SSO
- Accède aux paramètres de l'entité
- Recherche le paramètre « Single Sign-On (SSO) » et active-le
- Une fois activé, les informations suivantes peuvent être saisies :
- URL de découverte (Discovery URL) : le point de terminaison des métadonnées OIDC du fournisseur d'identité, grâce auquel Oniva détermine automatiquement les points de terminaison nécessaires (autorisation, jeton, userinfo) ; disponible dans le tableau de bord du fournisseur, sous le domaine/l'URL de l'émetteur, complété par
/.well-known/openid-configuration - Client ID : l'identifiant unique de l'application auprès du fournisseur d'identité, nécessaire pour authentifier Oniva auprès du fournisseur ; disponible dans les paramètres d'application/client du fournisseur d'identité
- Client Secret : un mot de passe secret de l'application, utilisé avec le Client ID pour authentifier Oniva de manière sécurisée auprès du fournisseur d'identité ; disponible dans les paramètres d'application/client du fournisseur d'identité (généralement affiché une seule fois, ou visible via une icône en forme d'œil)
- Scope : définit quelles informations utilisateur·trice sont demandées lors de la connexion (identité, données de profil, adresse e-mail) ; cette information n'est pas à rechercher chez le fournisseur d'identité, mais saisie comme valeur par défaut dans le formulaire Oniva
- Account-Identifier-Claim : indique quel champ du jeton est utilisé pour identifier de manière unique l'utilisateur·trice ;
subest le claim standard pour l'identifiant utilisateur·trice immuable chez pratiquement tous les fournisseurs OIDC et n'a pas besoin d'être recherché séparément
- URL de découverte (Discovery URL) : le point de terminaison des métadonnées OIDC du fournisseur d'identité, grâce auquel Oniva détermine automatiquement les points de terminaison nécessaires (autorisation, jeton, userinfo) ; disponible dans le tableau de bord du fournisseur, sous le domaine/l'URL de l'émetteur, complété par
- Saisis l'URL de callback dans l'outil SSO (fournisseur d'identité)
Assure-toi également que :
- Le scope contient au minimum
openidetemail - L'adresse e-mail est transmise dans le jeton ou l'assertion
💡 Astuce : Tu trouves l'URL de callback directement dans le formulaire de configuration SSO d'Oniva. Elle doit être saisie chez le fournisseur d'identité de manière exacte – y compris le chemin, et sans barre oblique finale différente – afin que la redirection fonctionne après la connexion.
2. Créer un type de compte avec SSO
- Accède aux paramètres de l'entité → types de compte
- Ouvre les types de compte
- Crée un nouveau type de compte ou modifie un type existant
- Sous authentification, sélectionne :
- SAML ; ou
- OpenID Connect (OIDC)
3. Créer des comptes
- Passe à la section comptes
- Crée de nouveaux comptes (manuellement ou par import)
- Attribue le type de compte SSO créé précédemment
- Utilise l'adresse e-mail comme nom de compte
🔐 Remarque : Seuls les comptes disposant d'un type de compte SSO peuvent se connecter via SSO. Les comptes avec un type de compte classique restent accessibles via identifiant/mot de passe.
4. Tester la connexion
- Connecte-toi avec un compte de test
- Vérifie si la redirection vers le fournisseur d'identité fonctionne
- Confirme la réussite de la connexion
5. Nettoyer les anciennes méthodes de connexion (optionnel)
- Supprime les anciens comptes sans SSO
- Supprime les types de compte sans SSO qui ne sont plus nécessaires
Cela garantit que la connexion s'effectue exclusivement via SSO.
Conditions générales
Protocoles pris en charge : SAML 2.0 (bientôt disponible) et OpenID Connect (OIDC)
Portée : Le SSO peut être activé séparément pour chaque type de compte. Cela permet de combiner différentes voies d'accès pour les administrateur·trice·s et les invité·e·s.
Migration : Les comptes existants peuvent être basculés ultérieurement vers un type de compte SSO, sans qu'il soit nécessaire de créer un nouveau compte.
🔐 Remarque sur la protection des données
Lors de l'utilisation du SSO, des données d'authentification sont échangées avec ton fournisseur d'identité. Assure-toi que la configuration (en particulier le Client Secret ou le certificat X.509) est conservée de manière sécurisée et n'est pas partagée avec des tiers. En cas de doute, il est recommandé de coordonner la mise en place avec ton service informatique.


