Authentification unique

Afin d'offrir à la fois sécurité et commodité aux Culture Cloud et à leurs employés, O.C. Tanner utilise l'authentification SSO.

Exigences techniques

Nous vous recommandons d'utiliser votre propre fournisseur d'identité pour l'authentification unique (SSO), ce qui vous permettra de tirer parti de votre service d'authentification fédérée. En utilisant votre propre fournisseur d'identité, vous contrôlez qui a accès à Culture Cloud pouvez exiger l'authentification à deux facteurs (2FA) ou d'autres méthodes de sécurité. Si vous ne disposez pas d'une solution SSO, nous proposons un service d'authentification non fédérée comme alternative.

Nous prenons en charge à la fois SAML et OpenID Connect v1.0 pour l'authentification unique (SSO).

Lorsque vous utilisez SAML, les éléments suivants doivent être configurés :

  • Doit prendre en charge et utiliser SAML 2.0
  • Doit prendre en charge l'utilisation de la liaison HTTP POST avec TLS
  • Doit permettre de fournir à O.C. Tanner une URL de métadonnées ou de pouvoir exporter un fichier XML
  • Vous devez utiliser une clé de signature d'au moins 2048 bits. Vous devez utiliser au minimum l'algorithme RSA 256 bits pour signer la réponse SAML.
  • Lors de l'utilisation d'OpenID Connect v1.0 (OIDC), les éléments suivants doivent être configurés : il est indispensable de fournir une URL de configuration bien connue
  • Ils doivent fournir à O.C. Tanner leurs propres identifiants uniques pour pouvoir agir au nom de l'utilisateur authentifié
  • Une fois que nous aurons reçu votre point de terminaison de configuration, O.C. Tanner vous fournira votre URI de redirection unique dès que la configuration de votre fournisseur d'identité aura été effectuée avec succès

Exigences relatives aux fichiers SSO

Nous devrons définir l'identifiant de connexion du participant qui sera utilisé pour l'authentification unique (SSO). Pour ce faire, nous vous demandons de nous fournir certaines informations issues du fichier de données, telles que le numéro d'employé, l'adresse e-mail ou l'identifiant de connexion actuel.

Questions préliminaires

Pour configurer l'authentification SSO, nous vous demanderons de répondre à quelques questions préliminaires (voir ci-dessous). Une fois que vous aurez répondu à ces questions et que les exigences auront été communiquées, l'étape suivante consistera à mettre votre équipe de fédération en contact avec l'équipe de sécurité d'O.C. Tanner afin de discuter de la mise en œuvre.

Disposez-vous actuellement d'une solution fédérée (fournisseur d'identité) et utilisez-vous l'authentification unique (SSO) avec d'autres fournisseurs ?

Quelle est votre solution de fournisseur d'identité ?

Est-ce conforme aux exigences du protocole SAML ?

Quelidentifiant de connexion allez-vous indiquer comme objet dans la réponse SAML ? Cet identifiant de connexion doit également figurer dans les fichiers de données envoyés dans le cadre du programme.

Pouvez-vous fournir à O.C. Tanner vos métadonnées SAML 2.0 ? Si oui, veuillez joindre le fichier de métadonnées ou l'URL.

Est-ce qu'il répond aux exigences d'OpenID Connect ?

Quel est le nom d'utilisateur préféré provenant d'OpenID Connect ? Cet élément de données doit également figurer dans les fichiers de données envoyés dans le cadre du programme d'identification.

Incluez-vous l'URI des clés JWK pour la vérification des signatures dans vos métadonnées ou dans votre configuration standard ?

Prend-vous en charge le type d'autorisation « code » pour OAuth ?

Les normes de votre entreprise en matière de mots de passe respectent-elles ou dépassent-elles les critères suivants ?

  • Au moins 8 caractères
  • Exige des mots de passe complexes
  • 6 tentatives de connexion infructueuses au maximum
  • Expiration du mot de passe au bout de 90 jours
  • Historique des 8 derniers mots de passe
  • Durée minimale de session de 60 minutes

Clients actuels – ce qui change avec l'authentification unique (SSO) :

Culture Cloud la même connexion SSO que celle dont vous disposez dans l'ancien système, mais il existe quelques différences importantes.

Nous avons renforcé la sécurité de notre processus d'authentification. Notre technologie actuelle utilise soit l'authentification unique (SSO) initiée par le fournisseur de services (SP), soit celle initiée par le fournisseur d'identité (IPD). La nouvelle technologie exploite à la fois les modes SP et IPD pour offrir une expérience plus fluide. Les clients actuels doivent s'assurer que l'authentification unique initiée par l'IPD et celle initiée par le SP sont toutes deux configurées et activées.

Ces descriptions indiquent d'où provient la demande d'authentification unique (SSO). Si elle provient d'O.C. Tanner, il s'agit d'un SSO initié par le fournisseur de services (SP), car c'est nous, le fournisseur de services (application), qui lançons le SSO pour identifier l'utilisateur authentifié. Si elle provient d'abord de votre intranet ou du fournisseur d'identité (IDP), cela signifie que le fournisseur d'identité a initié le SSO et envoyé un utilisateur authentifié avec une demande pour accéder au fournisseur de services (application) d'O.C. Tanner.

Cela signifie que la procédure de connexion de vos employés changera légèrement avec cette nouvelle technologie.

Il se peut que vos employés soient invités à saisir leur identifiant de connexion ou leur adresse e-mail, ainsi que le nom de l'entreprise pour laquelle ils travaillent. Cela permet d'identifier l'employé et de le rediriger vers votre fournisseur d'identité via l'authentification unique (SSO) ; il pourra alors se connecter comme il le fait habituellement.

Vos employés peuvent vivre cette expérience lors de leur première visite sur le site ou application mobile à nouveau dans les cas suivants :

  • lorsque leur session précédente a expiré
  • S'ils se sont déconnectés de leur session précédente
  • S'ils ont un nouvel ordinateur, un nouvel appareil ou un nouveau téléphone
  • S'ils utilisent un nouveau navigateur, le mode incognito ou une session privée pour consulter le site web
  • Ou si l'une des situations ci-dessus se produit lorsqu'ils cliquent sur un lien dans l'e-mail qu'ils reçoivent

Directives relatives au service d'assistance

Conseils de dépannage de base :

  • Culture Cloud des expériences de reconnaissance ; il ne s'agit pas d'hameçonnage.
  • Culture Cloud sur tous les navigateurs. Utilisez Edge plutôt qu'Internet Explorer. Assurez-vous que les utilisateurs disposent de la dernière version du navigateur.
  • Si un utilisateur rencontre des problèmes avecapplication mobile Culture Cloud ,application mobile -vous qu'il utilise bien la dernière version de application mobile du système d'exploitation application mobile l'App Store (iOS) ou Google Play (Android).

Comment le service d'assistance doit-il réagir si des collègues rencontrent des difficultés pour accéder à la plateforme ou l'utiliser ?

  • Assurez-vous que l'utilisateur n'utilise pas un ancien lien enregistré dans ses favoris ou un lien provenant d'un ancien e-mail.
  • Fournissez à l'utilisateur ce lien pour qu'il puisse se connecter : www.culturecloud.com. Si le problème persiste, vérifiez s'il dispose d'un niveau de sécurité supérieur à celui d'un employé standard afin de voir si la liste des autorisations a bien été établie pour ce niveau de sécurité supérieur.
  • Culture Cloud la même connexion SSO que celle de votre système existant, mais la procédure de connexion des employés sera légèrement différente. Lors de leur première connexion, s'ils ont été déconnectés de la session précédente (tous les 28 jours, sous réserve de modification), s'ils utilisent un nouvel ordinateur ou un nouvel appareil, s'ils se trouvent dans un nouveau navigateur ou s'ils cliquent sur un lien dans un e-mail. Si la question « Pour quelle entreprise travaillez-vous ? » vous est posée, veuillez saisir un identifiant d'entreprise (ces identifiants ne sont pas sensibles à la casse). Les identifiants d'entreprise correspondent généralement au nom du client/de l'entreprise et/ou à l'ensemble des domaines web qu'ils utilisent pour leurs e-mails (par exemple, octanner.com est un identifiant).

Migration des données :

  • Les articles ajoutés aux favoris et les adresses enregistrées dans l'ancien catalogue ne seront pas transférés
  • Tout le reste sera transféré : l'historique, les commandes, les photos d'avatar si elles ont été ajoutées avant la mise à jour, les paramètres de confidentialité, l'historique budgétaire et les données budgétaires actuelles, Cartes Virtuelles les nominations programmées

Des questions ?

Demander une démonstration
Un groupe hétéroclite de sept professionnels souriants, debout dans un bureau avec un fond coloré en dégradé.

Renforcez votre culture d'entreprise avec Culture Cloud

En savoir plus