Connexion unique

Pour offrir à la fois sécurité et commodité à Culture Cloud les clients et leurs employés, O.C. Tanner utilise l’authentification SSO.

Exigences techniques

Nous vous recommandons d’utiliser votre propre fournisseur d’identité pour la connexion unique (SSO) qui peut profiter de votre service d’authentification fédérée. En utilisant votre propre fournisseur d’identité, vous contrôlez qui a accès à Culture Cloud et nécessitent la 2FA ou d’autres méthodes de sécurité. Si vous n’avez pas de SSO disponible, nous offrons un service d’authentification non fédéré en alternative.

Nous prenons en charge à la fois le SAML et OpenID Connect v1.0 pour la connexion unique (SSO).

Lors de l’utilisation de SAML, nous exigeons que ce soit configuré :

  • Doit supporter et utiliser SAML 2.0
  • Doit supporter l’utilisation de la liaison HTTP POST avec TLS
  • Doit supporter la fourniture d’une URL de métadonnées à O.C. Tanner ou être capable d’exporter un fichier XML
  • Doit utiliser au moins une taille de clé de 2048 bits pour votre clé de signatureDoit utiliser au moins l’algorithme RSA 256 bits pour signer la réponse SAML
  • Lors de l’utilisation d’OpenID Connect v1.0 (OIDC), nous exigeons la configuration suivante : Doit fournir une URL de configuration bien connue
  • Doit fournir à O.C. Tanner son propre ensemble unique d’identifiants pour autoriser au nom de l’utilisateur authentifié
  • Après avoir reçu votre point de terminaison de configuration bien connu, O.C. Tanner vous fournira votre URI de redirection unique après avoir configuré avec succès votre fournisseur d’identité

Exigences du fichier SSO

Nous devrons établir l’identifiant de connexion du participant qui correspondra sur SSO. Pour ce faire, nous devrons fournir ce type d’information provenant du fichier population, comme l’identifiant de l’employé, le courriel ou leur identifiant de connexion actuel.

Questions préliminaires

Pour configurer l’authentification SSO, nous vous demanderons de répondre à quelques questions préliminaires (voir ci-dessous). Une fois ces questions répondues et les exigences communiquées, l’étape suivante consiste à mettre votre équipe de fédération en contact avec l’équipe de sécurité d’O.C. Tanner pour discuter de la mise en œuvre.

Avez-vous déjà une solution fédérée (fournisseur d’identité) en place et utilisez-vous SSO avec d’autres fournisseurs?

Quelle est votre solution de fournisseur d’identité?

Est-ce que ça répond aux exigences du SAML?

Quel est l’identifiant de connexion que vous enverrez comme sujet dans la réponse SAML? Cet identifiant de connexion doit aussi figurer dans les fichiers de données envoyés dans le cadre du programme.

Pouvez-vous fournir à O.C. Tanner vos métadonnées SAML 2.0? Si oui, veuillez joindre le fichier de métadonnées ou l’URL.

Est-ce que ça répond aux exigences d’OpenID Connect?

Quel est le nom d’utilisateur préféré provenant d’Open ID Connect? Cet élément de données doit également se trouver dans les fichiers de données envoyés dans le cadre du programme ID de connexion.

Incluez-vous l’URI de JWK pour la vérification de signature dans vos métadonnées ou configuration bien connue?

Soutenez-vous le type de code d’autorisation pour OAuth?

Vos normes de mot de passe d’entreprise respectent-elles ou dépassent-elles les critères suivants?

  • Minimum de 8 caractères
  • Nécessite des mots de passe complexes
  • Maximum de 6 tentatives de connexion ratées
  • Délai d’expiration du mot de passe de 90 jours
  • Historique des mots de passe des 8 derniers mots de passe
  • Durée minimale d’une session de 60 minutes

Clients actuels – comment le SSO évolue :

Culture Cloud J’utiliserai la même connexion SSO que tu as dans Legacy, mais il y a quelques différences importantes.

Nous avons ajouté une couche de sécurité à notre processus d’authentification. Notre technologie actuelle exploite soit la connexion unique (SSO) initiée par un fournisseur de service (SP), soit par l’initiation du fournisseur d’identité (IPD). La nouvelle technologie exploite à la fois SP et IPD pour une expérience plus fluide. Les clients actuels doivent s’assurer que le SSO initié par IDP et SP est configuré et activé.

Ces descriptions font référence à l’endroit où la demande SSO est faite. Si c’est d’O.C. Tanner, alors c’est un SSO initié par SP puisque nous sommes le fournisseur de services (application) qui initie le SSO pour identifier l’utilisateur authentifié. S’ils proviennent d’abord de votre intranet ou fournisseur d’identité (IDP), cela signifie que le fournisseur d’identité a initié le SSO et a envoyé un utilisateur authentifié avec une demande pour qu’il se tourne vers le fournisseur de services (application) d’O.C. Tanner.

Cela signifie que l’expérience de connexion de vos employés changera légèrement avec la nouvelle technologie.

Vos employés peuvent être invités à entrer leur identifiant de connexion ou leur adresse courriel et à entrer le nom de l’entreprise pour laquelle ils travaillent. Cela identifie l’employé et le redirige vers votre fournisseur d’identité via SSO, puis il peut se connecter comme il le fait actuellement.

Vos employés pourraient vivre cette expérience dès leur première visite sur le site ou application mobile et encore dans les scénarios suivants :

  • Quand leur session précédente est terminée
  • S’ils se sont déconnectés de leur session précédente
  • S’ils ont un nouvel ordinateur, appareil ou téléphone
  • S’ils utilisent un nouveau navigateur, utilisez une session incognito ou privée pour visiter le site web
  • Ou si l’une des choses ci-dessus s’applique lorsqu’ils cliquent sur un lien dans le courriel qu’ils reçoivent

Directives du service d’assistance

Conseils de base pour le dépannage :

  • Culture Cloud les pouvoirs, la reconnaissance, les expériences; Ce n’est pas de l’hameçonnage.
  • Culture Cloud Ça fonctionne dans tous les navigateurs. Utilisez Edge plutôt qu’Internet Explorer. Assurez-vous que les utilisateurs utilisent la dernière version du navigateur.
  • Si un utilisateur rencontre des problèmes sur le Culture Cloud application mobile Assurez-vous qu’ils sont sur la dernière version/système d’exploitation du application mobile depuis l’App Store (iOS) ou Google Play (Android).

Comment le service d’assistance devrait-il réagir si les collègues ont de la difficulté à accéder ou à utiliser le plateforme?

  • Assurez-vous que l’utilisateur n’utilise pas un ancien lien mis en favori ou un lien provenant d’un ancien courriel.
  • Fournissez à l’utilisateur ce lien pour se connecter : www.culturecloud.com. Si vous avez encore des problèmes, vérifiez s’ils ont un niveau de sécurité supérieur à celui d’un employé typique pour voir si la liste des autorisations a été complétée pour ce niveau de sécurité supérieur.
  • Culture Cloud Utilise la même connexion SSO que dans Legacy, mais l’expérience de connexion de l’employé changera légèrement. Lorsqu’ils se connectent pour la première fois, s’ils sont déconnectés de la session précédente (tous les 28 jours, sujet à changement), s’ils ont un nouvel ordinateur ou appareil, ils sont dans un nouveau navigateur ou font un lien par courriel. Si on lui demande : « Dans quelle entreprise travailles-tu? » Veuillez entrer une étiquette d’entreprise (ces étiquettes ne sont pas sensibles à la casse). Les balises d’entreprise sont habituellement le nom du client/entreprise et/ou de tous les domaines web qu’ils possèdent pour les courriels (c’est-à-dire octanner.com est une étiquette).

Migration des données :

  • Les articles en favori et adresses enregistrées dans le catalogue hérités ne migreront pas
  • Tout le reste migrera : historique, commandes, photos Avatar si elles sont remplies avant la mise à jour, paramètres de confidentialité, historique du budget et données budgétaires actuelles, planifié Cartes Virtuelles et Nominations

Des questions?

Demander une Démo
Groupe diversifié de sept professionnels souriants debout dans un bureau avec des dégradés colorés.

Bâtissez une culture plus forte avec Culture Cloud

En savoir plus