Authentification par authentification unique (SSO)

  • Mis à jour
  • Mis à jour
Avatar
Written by Charissa F.
  • Mis à jour
Nécessite l’une des licences suivantes :

Important

Si vous avez configuré le SSO en utilisant l'expérience SAML qui était disponible avant le 20 novembre 2024, vous devez migrer vers la nouvelle expérience SSO d'ici le 7 novembre 2025 pour éviter les interruptions de connexion.

est requis pour tous les utilisateurs avec un accès élevé. Pour les autres utilisateurs, vous pouvez configurer l'authentification unique (SSO) afin qu'ils se connectent avec des identifiants d'entreprise au lieu de mots de passe Samsara distincts.Authentification multifacteur (MFA) pour les rôles d'administrateur

Le SSO centralise la gestion des connexions via votre fournisseur d'identité (IdP), réduisant ainsi les risques de sécurité. L'assistance Samsara prend en charge l'authentification Google et les fournisseurs tiers tels qu'Okta ou Microsoft Entra.

Pour activer le SSO, créez des configurations pour les conducteurs et les administrateurs. Si vous prévoyez de prendre en charge les deux groupes, configurez une application SAML distincte pour chacun.

Configurer l’authentification SSO pour les conducteurs

Si vous voulez que vos conducteurs utilisent le SSO pour se connecter à l'application Samsara Driver, configurez une application SAML distincte dans votre IdP en utilisant le flux de travail suivant :

  1. Vérifiez votre domaine pour une authentification SSO sécurisée.

    Vous devez effectuer la vérification des domaines avant d’activer l’authentification SSO. Seuls les utilisateurs avec des domaines vérifiés pourront accéder à l’organisation.

  2. Sélectionnez l'icône Paramètres (gear icon) en bas du menu Flotte pour afficher les paramètres du tableau de bord.

  3. Dans Organisation, sélectionnez Authentification unique.

  4. Dans la section Authentification unique (SSO) pour la connexion des conducteurs, cliquez sur Ajouter.

  5. Cliquez sur Copier à côté de l'URL des métadonnées Samsara et partagez-la avec votre administrateur IdP.

    Si votre IdP n'accepte pas l'URL des métadonnées, développez les détails pour récupérer l'ID d'entité du fournisseur de services, l'URL de retour/ACS, et l'attribut SAML pour le nom d'utilisateur du conducteur et pour définir la configuration SSO dans votre IdP.

    • Nom : nom_utilisateur_conducteur

    • Namespace: https://cloud.samsara.com/saml/attributes

    • Attribut source

    Ces informations peuvent également être utilisées pour définir la configuration SSO avec votre IdP.

  6. Fournissez soit l'URL des métadonnées, soit téléversez un fichier de métadonnées depuis votre IdP.

    Note

    Le certificat x.509 inclus dans les métadonnées de votre IdP expirera. Pour éviter les interruptions d'accès, renouvelez le certificat dans votre IdP et mettez à jour les métadonnées Samsara avant son expiration. Pour plus d'informations, voir Renouveler un certificat X.509.

  7. Enregistrez vos modifications une fois terminé.

Configurer l’authentification SSO pour les administrateurs Samsara

Si vous souhaitez que vos administrateurs utilisent le SSO pour se connecter au tableau de bord Samsara, configurez une application SAML distincte dans votre IdP en utilisant le flux de travail suivant :

  1. Vérifiez votre domaine pour une authentification SSO sécurisée.

    Vous devez effectuer la vérification des domaines avant d’activer l’authentification SSO. Seuls les utilisateurs avec des domaines vérifiés pourront accéder à l’organisation.

  2. Sélectionnez l'icône Paramètres (gear icon) en bas du menu Flotte pour afficher les paramètres du tableau de bord.

  3. Dans Organisation, sélectionnez Authentification unique.

  4. Dans la section Authentification unique (SSO) pour la connexion utilisateur, cliquez sur Mettre à jour.

  5. Cliquez sur Copier à côté de l’URL des métadonnées Samsara pour enregistrer l’URL à utiliser par votre fournisseur d’identité. Envoyez cette URL à l’administrateur de votre IdP.

    Si votre IdP n'accepte pas l'URL des métadonnées, vous pouvez développer les détails pour récupérer l'ID d'entité du fournisseur de services, l'URL de retour/ACS, et les attributs SAML pour l'identification de l'utilisateur et pour définir la configuration SSO dans votre IdP.

  6. Récupérez les métadonnées de l'IdP.

    Vous pouvez fournir une URL de métadonnées ou mettre à jour un fichier de métadonnées fourni par l’IdP.

  7. Enregistrez vos modifications une fois terminé.

Définir le type d'authentification pour les utilisateurs

Si les utilisateurs sont encore sur l'authentification de base, vous devrez convertir leurs comptes pour activer le SSO. Vous pouvez le faire soit via une URL directe (expliqué plus tard), soit en utilisant l'API pour mettre à jour les types d'authentification des utilisateurs de manière programmée.

Convertir les utilisateurs existants qui se connectent en utilisant l'authentification de base pour utiliser le SSO en utilisant l'une des méthodes suivantes :

  • Connexion directe : Demandez aux utilisateurs de se connecter à l'IdP ou d'utiliser l'URL SSO directe de Samsara.

    • https://cloud.samsara.com/signin/<orgid>

    • https://cloud.eu.samsara.com/signin/<orgid>

    <orgid> est l'ID unique pour votre organisation. Cette connexion convertira la méthode d'authentification d'un utilisateur de l'authentification de base à l'authentification unique.

    Après que l'utilisateur se connecte, le compte est automatiquement converti pour utiliser le SSO pour les futures tentatives d'authentification.

  • API Samsara : Utilisez l'API Samsara pour mettre à jour le type d'authentification utilisateur de Basic à SAML. Consultez la documentation de l'API pour le point de terminaison et les paramètres requis.

  • Importation en bloc : Depuis le tableau de bord Samsara vous pouvez mettre à jour le type d'authentification pour vos utilisateurs en modifiant et en important un fichier CSV (voir Modifier les administrateurs en bloc). Pour ce faire, vous changez le authType de Basic à SAML pour les utilisateurs, puis importez le fichier CSV.

Choisissez la méthode qui correspond le mieux à votre flux de travail organisationnel pour garantir une transition fluide vers le SSO pour tous les utilisateurs.

Intégrez Microsoft Entra comme votre IdP

Samsara prendre en charge l'intégration avec Microsoft Entra (anciennement connu sous le nom d'Azure). Pour des instructions détaillées sur la création d'une intégration SAML, consultez Tutoriel : Intégration de l'authentification unique (SSO) Microsoft Entra avec Samsara.

Avant de configurer l'authentification, assurez-vous d'avoir accès à la fois au tableau de bord Samsara et au Centre d'administration Microsoft Entra. Utilisez le flux de travail suivant pour configurer le SSO avec Microsoft Entra :

  1. Vérifiez votre domaine pour une authentification SSO sécurisée.

    Vous devez effectuer la vérification des domaines avant d’activer l’authentification SSO. Seuls les utilisateurs avec des domaines vérifiés pourront accéder à l’organisation.

  2. Dans Samsara, créez une configuration SSO distincte pour les administrateurs, les conducteurs, ou les deux :

  3. Dans Microsoft Entra, configurez une nouvelle application SAML pour Samsara.

    1. Naviguez vers Identité > Application > Applications d'entreprise.

    2. Sélectionnez + Nouvelle application.

    3. + Créez votre propre application.

      1. Entrez le nom de l'application Samsara.

      2. Sélectionnez Intégrez toute autre application que vous ne trouvez pas dans la galerie.

      3. Créez l'application.

    4. Attribuez des utilisateurs et des groupes.

      1. Cliquez su + Ajouter utilisateur/groupe.

      2. Sous Utilisateurs, cliquez sur Aucun sélectionné.

      3. Sélectionnez les utilisateurs que vous souhaitez ajouter, puis cliquez sur Sélectionner.

      4. Cliquez Attribuer.

    5. Configurer SAML.

      1. Dans la navigation latérale, sélectionnez Aperçu.

      2. Sélectionnez Commencer dans la boîte de paramètres de l'authentification unique.

      3. Cliquez sur SAML.

      4. Sélectionnez Modifier dans la Configuration SAML de base pour ajouter les champs SAML fournis par votre administrateur Samsara.

        Copiez le lien de ID de l'entité du fournisseur de services dans le champ Identifiant (ID de l'entité).

        Copiez le lien de URL de post-retour/ACS dans le champ URL de réponse (URL du service consommateur d'assertion).

      5. Enregistrez vos modifications.

    6. Ajoutez des revendications pour les attributs utilisateur requis de Samsara.

      sso-entra-idp-manage-claim.png

      Pour transmettre les détails de l'utilisateur lors de l'authentification, définissez des revendications pour le courriel et le nom de l'utilisateur. Pour attribuer des rôles ou des filtres à la connexion, ajoutez également des revendications pour ces valeurs.

      1. Sélectionnez Modifier dans la section Attributs et revendications.

      2. Cliquez sur Ajouter une nouvelle revendication.

      3. Pour définir la revendication, sélectionnez Modifier dans la section Attributs et revendications et Ajouter une nouvelle revendication pour chacun des attributs utilisateur de Samsara.

        • Attribut nom : Nous vous recommandons de configurer l'attribut Source pour nom à la valeur que vous souhaitez mapper au nom de Samsara. Par exemple, vous pouvez utiliser user.displayname comme votre attribut source.

        • Attribut e-mail : Nous vous recommandons de configurer l'attribut Source pour e-mail à la valeur que vous souhaitez mapper au nom de Samsara. Par exemple, vous pouvez utiliser user.mail comme votre attribut source.

      4. (Facultatif) Pour attribuer des rôles ou des filtres lors de la connexion, définissez des revendications supplémentaires dans Microsoft Entra et mappez-les aux valeurs correctes en utilisant des conditions de revendication. Utilisez le flux de travail suivant pour configurer le comportement des revendications :

        1. Dans la section Attributs et revendications de l'utilisateur, ajouter les revendications suivantes :

          • https://cloud.samsara.com/saml/attributs/role_name

          • https://cloud.samsara.com/saml/attributs/role_tags

        2. Pour chaque revendication de role_name et role_tags :

          1. Définir Type d'utilisateur sur Membres.

          2. Cliquez sur Choisir des groupes et choisissez le groupe ou les groupes auxquels appliquer la revendication.

            Pour simplifier la configuration et la maintenance future, nous recommandons d'utiliser une convention de nommage cohérente pour les noms de groupes.

          3. Définissez Source sur Attribut.

          4. Entrez le nom du rôle ou du filtre dans le champ Valeur.

            Les guillemets sont ajoutés automatiquement.

          5. Cliquer sur Enregistrer pour terminer la création de la revendication.

      5. Cliquez sur Enregistrer pour appliquer la configuration SAML complète.

  4. Pour compléter la connexion entre Microsoft Entra et Samsara, téléversez les métadonnées IdP dans la configuration SSO appropriée dans le tableau de bord Samsara :

    1. Dans Microsoft Entra, copiez l'URL des métadonnées de fédération de l'application ou téléchargez le fichier XML des métadonnées.

    2. Dans le tableau de bord Samsara, ouvrez la configuration SSO pertinente (administrateur ou conducteur).

    3. Collez l'URL des métadonnées ou téléversez le fichier.

    4. Cliquez sur Enregistrer pour appliquer les modifications.

Intégrez Okta en tant que votre IdP dans Samsara

Avant de configurer l'authentification, assurez-vous d'avoir accès à la fois au tableau de bord Samsara et à votre console d'administrateur Okta, puis configurez le SSO avec Okta en utilisant le flux de travail suivant :

  1. Vérifiez votre domaine pour une authentification SSO sécurisée.

    Vous devez effectuer la vérification des domaines avant d’activer l’authentification SSO. Seuls les utilisateurs avec des domaines vérifiés pourront accéder à l’organisation.

  2. Dans Samsara, créez une configuration SSO distincte pour les administrateurs, les conducteurs, ou les deux :

  3. Pour chaque configuration établie à l'étape précédente, copiez les paramètres de connexion SSO suivants pour utilisation dans Okta :

    • URL d'authentification unique : URL de retour/ACS (Service de consommation d'assertion)

    • URI de l'audience : ID de l'entité du fournisseur de services

  4. Dans votre console d'administrateur Okta, créez une intégration d'application interne SAML 2.0 en utilisant les paramètres copiés de l'étape précédente.

    Pour des instructions complètes, consultez la Documentation Okta.

    okta-sso-app-settings.png

  5. Configurez les attributs suivants pour assurer une authentification appropriée pour chaque type d'utilisateur :

    • Pour les administrateurs :

      • https://cloud.samsara.com/saml/attributes/email: user.mail

      • https://cloud.samsara.com/saml/attributes/name: user.displayName

        Si votre IdP ne prend pas en assistance un champ de nom complet, vous pouvez en construire un en utilisant user.firstName+" "+user.lastName. Dans certains cas, vous pourriez avoir besoin d'utiliser le formatage regex ou le langage d'expression Okta pour formater correctement la valeur.

    • Pour les conducteurs :

      • https://cloud.samsara.com/saml/attributes/driver_username : votre champ d'identifiant de connexion conducteur

  6. (Facultatif) Pour attribuer des rôles ou des filtres lors de la connexion, définissez des attributs personnalisés dans Okta et mappez-les aux valeurs correctes. Utilisez le flux de travail suivant pour configurer le passage des attributs SAML :

    1. Ajoutez les attributs SAML suivants à votre intégration d'application Okta :

      Ces attributs sont inclus dans l'assertion SAML et utilisés par Samsara pour attribuer des rôles et des filtres lors de la connexion.

      • https://cloud.samsara.com/saml/attributes/role_name : appuser.samsaraRole

      • https://cloud.samsara.com/saml/attributes/role_tags : appuser.samsaraRoleTags

    2. Définissez l'attribut personnalisé dans Okta pour prendre en charge appuser.samsaraRole :

      1. Depuis l'onglet Connexion de l'application, cliquer sur Configurer le mappage de profil.

      2. Si une fenêtre modale apparaît avec des mappages existants, fermez-la pour accéder à l'éditeur de profil.

      3. Dans l'Éditeur de profil, cliquer sur + Ajouter un attribut.

      4. Entrez les valeurs suivantes :

        • Type de données : chaîne de caractères

        • Nom d'affichage : Samsara Role

        • Nom de la variable : samsaraRole

        • Enum : Activé; ajouter les noms des rôles Samsara que vous prévoyez d'attribuer

        • Attribut requis : Oui

        • Portée : Activer l'utilisateur personnel

  7. Pour compléter la connexion entre Okta et Samsara, téléversez les métadonnées IdP dans la configuration SSO appropriée dans le tableau de bord Samsara :

    1. Dans Okta, copiez l'URL des métadonnées de fédération de l'application ou téléchargez le fichier XML des métadonnées.

    2. Dans le tableau de bord Samsara, ouvrez la configuration SSO pertinente (administrateur ou conducteur).

    3. Collez l'URL des métadonnées ou téléversez le fichier.

    4. Cliquez sur Enregistrer pour appliquer les modifications.

Autres IdP

Bien que Samsara prenne officiellement en charge Microsoft Entra et Okta en tant que fournisseurs d'identité (IdP), vous pouvez également utiliser de nombreux autres fournisseurs d'identité qui prennent en charge le protocole SAML 2.0.

Comme d'autres IdP n'ont pas encore été testés, Samsara ne peut pas garantir une compatibilité totale pour le moment. Pour tester un IdP par vous-même, créez une connexion SAML à partir du tableau de bord Samsara.

  1. Vérifier les domaines pour l'authentification SSO sécurisée.

    Vous devez effectuer la vérification des domaines avant d’activer l’authentification SSO. Seuls les utilisateurs avec des domaines vérifiés pourront accéder à l’organisation.

  2. Configurez vos options SSO souhaitées:

    Samsara recommande que vous importiez la configuration SAML des métadonnées Samsara au lieu d'une configuration manuelle, si vous êtes en mesure de le faire pour votre IdP.

  3. Configurez les attributs SAML.

    Nom

    Valeur

    https://cloud.samsara.com/saml/attributes/email

    E-mail de l'utilisateur

    https://cloud.samsara.com/saml/attributes/name

    Nom d'utilisateur

  4. Ajouter l'administrateur Samsara en tant qu'utilisateur à la nouvelle application.

  5. Échangez les informations de métadonnées de Samsara avec l'IdP pour compléter la configuration.

Approvisionnement JIT Samsara

Le provisionnement Just-in-Time (JIT) utilise le protocole SAML pour créer automatiquement des comptes utilisateurs. Lorsqu'un nouvel utilisateur se connecte pour la première fois via un fournisseur d'identité (IdP) comme Okta ou Microsoft Entra, l'IdP envoie leurs détails à l'application (par exemple, le tableau de bord Samsara) et le compte est créé sans configuration par l'administrateur.

Samsara prend en charge le provisionnement JIT pour deux types de comptes :

  • utilisateurs : Lorsqu'un nouvel administrateur se connecte avec SSO pour la première fois, le crée automatiquement un compte avec le rôle de Maintenance et un accès à l'ensemble de l'organisation. Si l'administrateur a besoin d'un rôle ou d'un accès à un filtre différent, ajoutez ou mettez à jour son compte en utilisant le téléversement CSV et attribuez le filtre d'accès approprié.tableau de bord Samsaratableau de bord Samsara#UUID-e6b85048-a14f-a419-a29c-2ac21a63e5c1_UUID-d064bafc-4742-98d6-3d63-96db17fc03fb#UUID-cba27a79-4208-2fe6-6d78-11413b882d61_UUID-598cf564-7ee5-40eb-5911-7df881d1834d

  • Conducteurs : Samsara prend en charge le provisionnement JIT pour le SSO des conducteurs. Lorsqu'un conducteur se connecte avec SSO pour la première fois, son compte est automatiquement créé dans le tableau de bord. Le système utilise l'attribut driver_username de votre IdP pour mapper le compte, éliminant ainsi le besoin de configuration manuelle.

Lors de l'utilisation du provisionnement JIT avec SSO, des problèmes peuvent survenir si le courriel d'un utilisateur est lié à plusieurs organisations. Étant donné que JIT repose sur des identifiants de courriel uniques, les courriels en double peuvent causer des erreurs ou des problèmes d'accès.

Pour éviter cela, assurez-vous que chaque utilisateur a un courriel unique dans votre domaine. Pour les utilisateurs qui ont besoin d'accéder à plusieurs organisations, utilisez des alias de courriel distincts ou travaillez avec votre IdP pour gérer l'accès.

Supprimer une configuration SSO

Pour supprimer une configuration SSO, contactez l'assistance Samsara. Le tableau de bord Samsara n'autorise pas la suppression en libre-service pour protéger la configuration d'authentification de votre organisation. L'assistance vous aidera à supprimer la configuration en toute sécurité.

Commentaires

Cet article vous a-t-il été utile?
Utilisateurs qui ont trouvé cela utile : 11 sur 22
Avez-vous d'autres choses à dire? Nous voulons l'entendre!
Have more questions? Submit a request
Retour en haut

Commentaires

0 commentaire

Cet article n'accepte pas de commentaires.

Articles associés

Articles dans cette section

©2024 Samsara Inc.

Clavardez avec nous