Skip to content
Contracko Logo
Documentation

Configurer l'authentification unique (SSO)

L'authentification unique (SSO) permet a votre equipe de se connecter a Contracko via votre fournisseur d'identite existant, afin que l'informatique controle l'acces depuis un seul endroit. Contracko prend en charge le SSO OIDC en libre-service sur le plan Big Business. Vous pouvez connecter Microsoft Entra, Google Workspace, Okta, Auth0, JumpCloud, Keycloak ou tout fournisseur conforme a l'OIDC. Le SAML 2.0 est disponible sur demande.

Ce guide vous accompagne dans la configuration complete : verifiez votre domaine, creez une application dans votre fournisseur d'identite, connectez-la dans Contracko, testez-la et activez l'application.

Avant de commencer

Vous aurez besoin de :

  • Le plan Big Business. Les parametres SSO ne sont disponibles que sur Big Business.
  • Un role d'administrateur, de proprietaire ou de proprietaire de la facturation dans votre espace de travail Contracko.
  • L'authentification a deux facteurs (2FA) activee sur le compte du proprietaire de la facturation. Le proprietaire de la facturation est le seul compte qui peut encore se connecter avec un mot de passe si votre fournisseur d'identite venait a etre indisponible, c'est pourquoi Contracko exige que ce compte dispose de la 2FA avant que vous ne puissiez connecter un fournisseur ou activer l'application. Le proprietaire de la facturation peut configurer cela sous Parametres, ou a /totp/setup.
  • Un acces administrateur a votre fournisseur d'identite (pour creer une application OIDC).
  • Un acces a vos enregistrements DNS (pour verifier votre domaine).

Vous configurez tout sous Parametres > Securite (/account/security).

Etape 1 : Verifier votre domaine

Avant de pouvoir connecter un fournisseur, verifiez au moins un domaine d'entreprise. Un domaine verifie est ce qui vous permet ensuite d'exiger le SSO pour tous les utilisateurs de ce domaine.

  1. Accedez a Parametres > Securite et trouvez la carte Domaines verifies.
  2. Cliquez sur Ajouter un domaine et saisissez le domaine nu de votre entreprise, par exemple yourcompany.com. N'incluez pas https://, www. ou une barre oblique finale. Les sous-domaines comptent comme des domaines distincts.
  3. Contracko affiche un enregistrement DNS TXT a ajouter, sous la forme contracko-domain-verification=.... Copiez-le.
  4. Ajoutez cet enregistrement TXT a votre domaine chez votre fournisseur DNS.
  5. De retour dans Contracko, cliquez sur Verifier a cote du domaine. Les modifications DNS peuvent prendre jusqu'a 48 heures pour se propager ; une fois l'enregistrement actif, la verification reussit et le domaine affiche un badge vert Verifie.

La verification de yourcompany.com couvre egalement ses sous-domaines, tels que [email protected] et [email protected].

Etape 2 : Creer une application OIDC dans votre fournisseur d'identite

Dans votre fournisseur d'identite, creez une nouvelle application web OIDC (OpenID Connect). Vous aurez besoin de l'URI de redirection que Contracko vous affiche lors de l'etape 3 :

https://app.contracko.com/api/auth/sso/callback/<your-provider-id>

Ouvrez Parametres > Securite > Authentification unique > Ajouter un fournisseur, choisissez votre fournisseur, et Contracko affiche l'URI de redirection exacte a coller. (Pour l'option generique "Autre", l'URI de redirection apparait a l'etape de test, apres l'enregistrement, donc ajoutez-la a votre fournisseur avant de lancer le test.)

Depuis votre fournisseur d'identite, vous collecterez un ID client et un Secret client, ainsi qu'une valeur specifique au fournisseur ci-dessous.

Microsoft Entra

  1. Dans le portail Azure, accedez a Microsoft Entra ID > Inscriptions d'applications > Nouvelle inscription.
  2. Sous URI de redirection, choisissez la plateforme Web et collez l'URI de redirection de Contracko.
  3. Sur la page Vue d'ensemble, copiez l'ID d'application (client) et l'ID d'annuaire (locataire).
  4. Accedez a Certificats et secrets > Nouveau secret client et copiez la Valeur du secret (pas l'ID du secret).
  5. Dans Contracko, saisissez l'ID d'annuaire (locataire). Utilisez votre ID specifique au locataire, pas common, afin que la connexion soit verrouillee sur votre locataire. Contracko construit l'URL de l'emetteur pour vous.

Google Workspace

  1. Dans la console Google Cloud, accedez a API et services > Identifiants > Creer des identifiants > ID client OAuth.
  2. Choisissez le type d'application Application web.
  3. Sous URI de redirection autorisees, ajoutez l'URI de redirection de Contracko.
  4. Copiez l'ID client et le Secret client generes.
  5. Dans Contracko, saisissez votre Domaine heberge attendu, qui est votre domaine principal Google Workspace (par exemple yourcompany.com). Seuls les comptes de ce domaine sont autorises a se connecter. Google utilise toujours le meme emetteur, il n'y a donc pas d'URL d'emetteur a saisir.

Okta

  1. Dans la console d'administration Okta, accedez a Applications > Create App Integration.
  2. Choisissez OIDC - OpenID Connect et le type d'application Web Application.
  3. Sous Sign-in redirect URIs, ajoutez l'URI de redirection de Contracko.
  4. Copiez l'ID client et le Secret client depuis l'onglet General de l'application.
  5. Dans Contracko, saisissez votre Domaine Okta (par exemple your-company.okta.com). Pas de https://, pas de barre oblique finale, pas de chemin. Contracko construit l'URL de l'emetteur pour vous.

Auth0

  1. Dans le tableau de bord Auth0, accedez a Applications > Create Application.
  2. Choisissez le type d'application Regular Web Application.
  3. Sous Settings > Allowed Callback URLs, ajoutez l'URI de redirection de Contracko.
  4. Copiez l'ID client et le Secret client depuis l'onglet Settings.
  5. Dans Contracko, saisissez votre locataire Auth0, qui est la partie avant .auth0.com dans l'URL de votre locataire. Contracko construit l'URL de l'emetteur pour vous.

JumpCloud

  1. Dans le portail d'administration JumpCloud, accedez a SSO Applications > Add New Application.
  2. Selectionnez Custom OIDC App.
  3. Sous Redirect URIs, ajoutez l'URI de redirection de Contracko.
  4. Copiez l'ID client et le Secret client depuis l'onglet SSO de l'application. JumpCloud utilise le meme emetteur pour tous les locataires, il n'y a donc pas d'URL d'emetteur a saisir.

Keycloak

  1. Dans la console d'administration Keycloak, selectionnez votre realm, puis accedez a Clients > Create client.
  2. Definissez le type de client sur OpenID Connect et activez Client authentication.
  3. Sous Valid redirect URIs, ajoutez l'URI de redirection de Contracko.
  4. Dans l'onglet Credentials, copiez le Secret client. L'ID client est le nom que vous avez donne au client.
  5. Dans Contracko, saisissez votre hote Keycloak et votre Realm. Contracko construit l'URL de l'emetteur pour vous.

Tout autre fournisseur OIDC

  1. Dans votre fournisseur d'identite, creez une application web OIDC (OpenID Connect).
  2. Ajoutez l'URI de redirection de Contracko aux URL de redirection autorisees de l'application.
  3. Copiez l'ID client et le Secret client.
  4. Dans Contracko, saisissez l'URL d'emetteur complete de votre fournisseur et un Nom de fournisseur. Contracko decouvre automatiquement les points de terminaison d'autorisation, de jeton et de cle a partir de /.well-known/openid-configuration.

Etape 3 : Connecter le fournisseur dans Contracko

  1. Accedez a Parametres > Securite > Authentification unique (OIDC) et cliquez sur Ajouter un fournisseur.
  2. Choisissez votre fournisseur d'identite dans la liste.
  3. Configurez la connexion : collez l'ID client et le Secret client, puis renseignez le champ specifique au fournisseur de l'etape 2 (ID de locataire, domaine heberge, domaine Okta, etc.).
  4. Definissez le role par defaut que les nouveaux utilisateurs SSO recoivent lors de leur premiere connexion (member, manager ou admin). La valeur par defaut est member.
  5. Cliquez sur Enregistrer et tester.

Etape 4 : Tester la connexion

Contracko verifie la connexion par un aller-retour reel avant que vous ne puissiez l'appliquer.

  1. A l'etape Tester la connexion, cliquez sur Ouvrir la connexion de test. Contracko ouvre votre fournisseur d'identite dans une fenetre contextuelle.
  2. Connectez-vous avec un compte de test sur votre locataire.
  3. Contracko detecte l'aller-retour reussi, marque le fournisseur comme Verifie, et deconnecte le compte de test.
  4. Cliquez sur Continuer.

Si le test echoue, verifiez que l'URI de redirection dans votre fournisseur d'identite correspond exactement, puis cliquez sur Reessayer.

Etape 5 : Activer l'application

L'application fait du SSO la seule methode de connexion pour les utilisateurs de vos domaines verifies.

  1. A l'etape Appliquer le SSO (ou dans la liste des fournisseurs), activez Appliquer le SSO pour cette organisation.
  2. Lorsque vous activez l'application, Contracko deconnecte les sessions existantes par mot de passe et par reseaux sociaux des utilisateurs de vos domaines verifies, afin que chacun se reconnecte via votre fournisseur d'identite.

Un fournisseur doit etre Verifie avant que vous ne puissiez l'appliquer, et le proprietaire de la facturation doit avoir la 2FA activee. Vous pouvez desactiver l'application a tout moment. Pour supprimer un fournisseur, desactivez d'abord l'application.

Acces d'urgence

Si votre fournisseur d'identite venait a etre indisponible, le proprietaire de la facturation peut toujours se connecter avec un mot de passe ou un compte de reseau social, meme lorsque l'application est active. C'est pourquoi Contracko exige que le proprietaire de la facturation dispose de la 2FA activee.

Lorsque le proprietaire de la facturation se connecte de cette maniere, Contracko affiche un bref avis, enregistre l'evenement et envoie au proprietaire de la facturation un e-mail avec l'adresse IP et l'appareil utilises. Le proprietaire de la facturation peut choisir de continuer avec le contournement ou de basculer vers une connexion via votre fournisseur d'identite.

Fonctionnement des comptes et des roles

  • Les nouveaux utilisateurs sont crees automatiquement lors de leur premiere connexion via le SSO, et ajoutes a votre espace de travail avec le role par defaut que vous avez defini sur le fournisseur.
  • Les utilisateurs existants ayant la meme adresse e-mail sont lies automatiquement, de sorte que quelqu'un qui utilisait auparavant un mot de passe conserve son compte et son historique.
  • L'attribution des roles utilise le role par defaut du fournisseur. Le mappage des groupes du fournisseur d'identite vers des roles Contracko specifiques n'est pas encore disponible.

Questions frequentes

Quel plan inclut le SSO ? Le SSO en libre-service est inclus dans le plan Big Business.

Prenez-vous en charge le SAML ? La configuration en libre-service utilise aujourd'hui l'OIDC. Le SAML 2.0 est disponible sur demande ; contactez-nous et nous vous aiderons a le configurer.

Qui peut configurer le SSO ? Les administrateurs, les proprietaires et le proprietaire de la facturation. Le proprietaire de la facturation doit d'abord avoir la 2FA activee.

Puis-je exiger le SSO pour tout le monde ? Oui. Verifiez votre domaine, connectez et testez un fournisseur, puis activez l'application. Les utilisateurs de vos domaines verifies se connecteront alors via votre fournisseur d'identite.

Que se passe-t-il si notre fournisseur d'identite tombe en panne ? Le proprietaire de la facturation peut se connecter avec un mot de passe et la 2FA comme contournement d'urgence, et recoit un e-mail a chaque fois que cela se produit.

ennldefres