Authentification par authentification unique (SSO)

  • Mis à jour
  • Mis à jour
Avatar
Written by Charissa F.
  • Mis à jour

L'authentification unique (SSO) vous permet d'utiliser un fournisseur d'identité unique (IdP) pour gérer l'accès des conducteurs et des administrateurs aux ressources Samsara. Contrairement à l'authentification standard, les utilisateurs n'ont pas besoin de mémoriser un mot de passe distinct pour se connecter manuellement à Samsara et peuvent utiliser leur connexion professionnelle.

Parce que les administrateurs IT gèrent des informations de connexion sensibles via un système IdP, l'utilisation du SSO réduit l'empreinte de risque de sécurité. Vous pouvez gérer l'identité fédérée en utilisant soit l'authentification Google, soit un fournisseur SSO tiers (par exemple, Okta ou Azure).

Pour configurer le SSO, vous pouvez créer une configuration SSO pour les conducteurs et les administrateurs en fonction des métadonnées associées à Samsara et à l’IdP. Si vous avez l’intention d’utiliser le SSO pour les conducteurs et les administrateurs, veillez à configurer des applications distinctes pour chaque cas d’utilisation dans l’IdP.

Note

Périodiquement, vous devrez renouveler le certificat X.509. Pour éviter toute interruption d'accès due à un certificat expiré, il est recommandé de générer et de remplacer le certificat avant son expiration. Pour plus d'informations, voir Renouveler un certificat X.509.

Configurer l’authentification SSO pour les conducteurs

Si vous souhaitez que vos conducteurs utilisent l’authentification SSO pour se connecter à l’application Samsara Driver, vous pouvez échanger des métadonnées avec l'IdP. Dans votre IdP, configurez une configuration distincte pour les conducteurs et n’utilisez pas la même configuration IdP que celle utilisée pour les administrateurs.

  1. Vérifier les domaines pour l'authentification SSO sécurisée.

    Vous devez effectuer la vérification des domaines avant d’activer l’authentification SSO. Seuls les utilisateurs avec des domaines vérifiés pourront accéder à l’organisation.

  2. Sélectionnez l'icône Paramètres (gear icon) en bas du menu Flotte pour afficher les paramètres du tableau de bord.

  3. Dans Organisation, sélectionnez Authentification unique.

  4. Dans la section Authentification unique (SSO) pour la connexion des conducteurs, cliquez sur Ajouter.

  5. Cliquez sur Copier à côté de l’URL des métadonnées Samsara pour enregistrer l’URL à utiliser par votre fournisseur d’identité. Envoyez cette URL à l’administrateur de votre IdP.

    Si l'IdP ne peut pas accepter l'URL des métadonnées, vous pouvez développer les détails pour récupérer l'ID d'entité du fournisseur de services, l'URL de retour/ACS, et l'attribut SAML pour le nom d'utilisateur du conducteur.

    • Nom : nom_utilisateur_conducteur

    • Namespace: https://cloud.samsara.com/saml/attributes

    • Attribut source

    Ces informations peuvent également être utilisées pour définir la configuration SSO avec votre IdP.

  6. Récupérez les métadonnées de l'IdP.

    Vous pouvez fournir une URL de métadonnées ou mettre à jour un fichier de métadonnées fourni par l’IdP.

  7. Enregistrez vos modifications une fois terminé.

  8. Définir le type d'authentification pour les utilisateurs.

Configurer l’authentification SSO pour les administrateurs Samsara

Si vous souhaitez que d’autres administrateurs utilisent le SSO pour se connecter au tableau de bord Samsara, vous pouvez échanger des métadonnées avec le fournisseur d’identité (IdP). Dans votre IdP, configurez une configuration distincte pour les administrateurs et n’utilisez pas la même configuration IdP que celle des conducteurs.

  1. Vérifier les domaines pour l'authentification SSO sécurisée.

    Vous devez effectuer la vérification des domaines avant d’activer l’authentification SSO. Seuls les utilisateurs avec des domaines vérifiés pourront accéder à l’organisation.

  2. Sélectionnez l'icône Paramètres (gear icon) en bas du menu Flotte pour afficher les paramètres du tableau de bord.

  3. Dans Organisation, sélectionnez Authentification unique.

  4. Dans la section Authentification unique (SSO) pour la connexion utilisateur, cliquez sur Ajouter.

  5. Cliquez sur Copier à côté de l’URL des métadonnées Samsara pour enregistrer l’URL à utiliser par votre fournisseur d’identité. Envoyez cette URL à l’administrateur de votre IdP.

    Si l'IdP ne peut pas accepter l'URL des métadonnées, vous pouvez développer les détails pour récupérer l'ID de l'entité du fournisseur de services, l'URL de Post-back/ACS, et les attributs SAML. Ces informations peuvent également être utilisées pour définir la configuration SSO avec votre IdP.

  6. Récupérez les métadonnées de l'IdP.

    Vous pouvez fournir une URL de métadonnées ou mettre à jour un fichier de métadonnées fourni par l’IdP.

  7. Enregistrez vos modifications une fois terminé.

Migrer vers la nouvelle expérience SSO

Note

Pour faciliter un retour rapide en cas de problème lors de la migration, nous vous recommandons de créer une nouvelle application SAML.

Ne mettez pas à jour l'application Samsara existante dans votre IdP.

Si vous avez configuré le SSO en utilisant l'expérience SAML disponible avant le 20 novembre 2024, vous devez migrer vers les nouveaux paramètres SSO.

Suivez le flux de travail ci-dessous pour compléter le processus de migration et de conversion.

  1. Sélectionnez l'icône Paramètres (gear icon) en bas du menu Flotte pour afficher les paramètres du tableau de bord.

  2. Dans Organisation, sélectionnez Authentification unique.

  3. Cliquez sur Migrer.

    migrate_button.png

  4. Partagez les champs SAML avec votre administrateur IdP et demandez à l'administrateur IdP d'effectuer les étapes pour configurer le SSO pour les administrateurs et les paramètres des conducteurs.

    saml_field_share.png

  5. Lorsque l'administrateur IdP effectue les étapes pour obtenir les métadonnées pour la configuration SSO, entrez l'URL des métadonnées ou chargez le fichier XML de métadonnées exporté depuis votre IdP dans Samsara.

    input_idp_metadata.png

  6. Enregistrez vos modifications.

  7. Testez la connexion Samsara.

    Si vous rencontrez des problèmes lorsque vous vous connectez à Samsara, contactez l'assistance Samsara.

  8. Définir le type d'authentification pour les utilisateurs.

Définir le type d'authentification pour les utilisateurs

Si votre organisation a des utilisateurs utilisant actuellement l'authentification de base, vous devez également convertir le type de compte pour permettre à ces utilisateurs d'utiliser le SSO. Vous pouvez choisir parmi l'une des trois méthodes pour cette conversion : en utilisant l'URL directe (décrite plus loin dans ce document), une méthode API où les administrateurs mettent à jour les types d'authentification des utilisateurs de manière programmatique, ou un import en bloc en utilisant une méthode CSV via la page Utilisateurs et rôles.

Convertir les utilisateurs existants qui se connectent en utilisant l'authentification de base pour utiliser le SSO en utilisant l'une des méthodes suivantes :

  • Connexion directe. Demandez aux utilisateurs de se connecter à l'IdP ou d'utiliser l'URL SSO directe de Samsara.

    • https://cloud.samsara.com/signin/<orgid>

    • https://cloud.eu.samsara.com/signin/<orgid>

    <orgid> est l'ID unique pour votre organisation. Cette connexion convertira la méthode d'authentification d'un utilisateur de l'authentification de base à l'authentification unique.

    Après que l'utilisateur se connecte, le compte est automatiquement converti pour utiliser le SSO pour les futures tentatives d'authentification.

  • API Samsara. Utilisez l'API Samsara pour mettre à jour le type d'authentification utilisateur de Basic à SAML. Consultez la documentation de l'API pour le point de terminaison et les paramètres requis.

  • Importation en bloc : Depuis le tableau de bord Samsara, vous pouvez mettre à jour le type d'authentification pour vos utilisateurs en modifiant et en important un fichier CSV (voir Modifier les administrateurs en bloc). Pour ce faire, vous changez le authType de Basic à SAML pour les utilisateurs, puis importez le fichier CSV.

Choisissez la méthode qui correspond le mieux à votre flux de travail organisationnel pour garantir une transition fluide vers le SSO pour tous les utilisateurs.

Intégrez Microsoft Entra comme votre IdP

Samsara prend en charge l'intégration avec Microsoft Entra (anciennement connu sous le nom d'Azure). Pour obtenir des instructions sur l’intégration d’Azure en tant que fournisseur d’identité, consultez le Didacticiel: Intégration de l'authentification unique (SSO) de Microsoft Entra avec Samsara.

  1. Vérifier les domaines pour l'authentification SSO sécurisée.

    Vous devez effectuer la vérification des domaines avant d’activer l’authentification SSO. Seuls les utilisateurs avec des domaines vérifiés pourront accéder à l’organisation.

  2. Configurez vos options SSO souhaitées:

  3. Dans Microsoft Entra, configurez une nouvelle application SAML pour Samsara.

    1. Naviguez vers Identité > Application > Applications d'entreprise.

    2. Sélectionnez + Nouvelle application.

    3. + Créez votre propre application.

      1. Entrez le nom de l'application Samsara.

      2. Sélectionnez Intégrez toute autre application que vous ne trouvez pas dans la galerie.

      3. Créez l'application.

    4. Attribuez des utilisateurs et des groupes.

      1. Cliquez su + Ajouter utilisateur/groupe.

      2. Sous Utilisateurs, cliquez sur Aucun sélectionné.

      3. Sélectionnez les utilisateurs que vous souhaitez ajouter, puis cliquez sur Sélectionner.

      4. Cliquez Attribuer.

    5. Configurer SAML.

      1. Dans la navigation latérale, sélectionnez Aperçu.

      2. Sélectionnez Commencer dans la boîte de paramètres de l'authentification unique.

      3. Cliquez sur SAML.

      4. Sélectionnez Modifier dans la Configuration SAML de base pour ajouter les champs SAML fournis par votre administrateur Samsara.

        Copiez le lien de ID de l'entité du fournisseur de services dans le champ Identifiant (ID de l'entité).

        Copiez le lien de URL de post-retour/ACS dans le champ URL de réponse (URL du service consommateur d'assertion).

      5. Enregistrez vos modifications.

    6. Ajouter des revendications pour deux attributs Samsara: e-mail et nom.

      Les revendications sont utilisées pour affirmer certaines propriétés ou caractéristiques de l'utilisateur lors du processus d'authentification. Vous devrez définir des revendications pour l'e-mail de l'utilisateur et le nom de l'utilisateur. Pour chaque revendication, vous définirez les informations suivantes :

      • Nom: e-mail ou nom

      • Namespace: https://cloud.samsara.com/saml/attributes

      • Attribut source

      sso-entra-idp-manage-claim.png

      Pour définir la revendication, sélectionnez Modifier dans la section Attributs et revendications et Ajouter une nouvelle revendication pour chacun des attributs utilisateur de Samsara.

      • Attribut nom : Nous vous recommandons de configurer l'attribut Source pour nom à la valeur que vous souhaitez mapper au nom de Samsara. Par exemple, vous pouvez utiliser user.displayname comme votre attribut source.

      • Attribut e-mail : Nous vous recommandons de configurer l'attribut Source pour e-mail à la valeur que vous souhaitez mapper au nom de Samsara. Par exemple, vous pouvez utiliser user.mail comme votre attribut source.

      Ensuite, Enregistrez vos modifications.

    7. Dans les Certificats SAML, copiez et partagez l'Url des métadonnées de fédération de l'application ou téléchargez le fichier XML des Métadonnées de Fédération et partagez-le avec votre Administrateur Samsara.

  4. Échangez les informations de métadonnées de Samsara avec l'IdP pour compléter la configuration.

Intégrez Okta en tant que votre IdP dans Samsara

Si vous utilisez Okta comme votre IdP, vous pouvez configurer l'authentification dans Samsara pour utiliser vos comptes utilisateurs Okta. Pour terminer la configuration, vous aurez besoin d'accéder à la fois au tableau de bord Samsara et à votre console d'administration Okta.

  1. Vérifier les domaines pour l'authentification SSO sécurisée.

    Vous devez effectuer la vérification des domaines avant d’activer l’authentification SSO. Seuls les utilisateurs avec des domaines vérifiés pourront accéder à l’organisation.

  2. Configurez vos options SSO souhaitées:

  3. Dans votre console d'administration Okta, commencez à configurer une intégration d'application interne qui utilise SAML 2.0 comme méthode de connexion.

    Pour des instructions complètes, consultez la Documentation Okta.

    okta-sso-app-settings.png

    Lors de la configuration, vous devrez :

    • Configurez les informations suivantes:

      • URL d'authentification unique : Copiez l'URL Post-back/ACS (Service de Consommation d'Assertion) des paramètres de connexion SSO dans le tableau de bord Samsara.

      • URI de l'audience : Copiez l'ID de l'entité du fournisseur de services à partir des paramètres de connexion SSO dans le tableau de bord Samsara.

    • Configurez les attributs SAML.

      Nom

      Valeur

      https://cloud.samsara.com/saml/attributes/email

      user.email

      https://cloud.samsara.com/saml/attributes/name

      user.firstName+" "+user.lastName

      Note

      Lorsque vous utilisez le nom comme attribut, la liste déroulante ne fournit pas la possibilité de spécifier le nom complet comme valeur. Dans ce cas, utilisez l'expression régulière pour présenter le nom de l'espace prénom.

      Si nécessaire, vous pouvez également utiliser d'autres attributs SAML.

  4. Échangez les informations de métadonnées de Samsara avec l'IdP pour compléter la configuration.

Autres IdP

Bien que Samsara prenne officiellement en charge Microsoft Entra et Okta en tant que fournisseurs d'identité, vous pouvez également utiliser de nombreux autres fournisseurs d'identité qui prennent en charge le protocole SAML 2.0. Comme les autres fournisseurs d'identité n'ont pas encore été testés, Samsara ne peut pas garantir une compatibilité totale à ce stade. Pour tester un fournisseur d'identité par vous-même, créez une connexion SAML à partir du tableau de bord Samsara.

  1. Vérifier les domaines pour l'authentification SSO sécurisée.

    Vous devez effectuer la vérification des domaines avant d’activer l’authentification SSO. Seuls les utilisateurs avec des domaines vérifiés pourront accéder à l’organisation.

  2. Configurez vos options SSO souhaitées:

    Samsara recommande que vous importiez la configuration SAML des métadonnées Samsara au lieu d'une configuration manuelle, si vous êtes en mesure de le faire pour votre IdP.

  3. Configurez les attributs SAML.

    Nom

    Valeur

    https://cloud.samsara.com/saml/attributes/email

    E-mail de l'utilisateur

    https://cloud.samsara.com/saml/attributes/name

    Nom d'utilisateur

  4. Ajouter l'administrateur Samsara en tant qu'utilisateur à la nouvelle application.

  5. Échangez les informations de métadonnées de Samsara avec l'IdP pour compléter la configuration.

Approvisionnement JIT Samsara

Le provisionnement Just-in-Time (JIT) utilise le protocole SAML pour automatiser la création de comptes utilisateurs pour diverses applications web. Il fonctionne en transmettant les informations utilisateur d'un fournisseur d'identité (IdP), tel que Okta ou Microsoft Entra. Lorsqu'un nouvel utilisateur se connecte à une application autorisée pour la première fois, comme le tableau de bord Samsara, l'IdP envoie les détails nécessaires à l'application, créant automatiquement le compte de l'utilisateur—éliminant ainsi le besoin d'une intervention manuelle de l'administrateur.

Samsara prend en charge le provisionnement JIT pour deux types de comptes :

  • Utilisateurs du tableau de bord Samsara : Lorsqu'un nouvel administrateur se connecte pour la première fois en utilisant l'authentification unique (SSO) via votre IdP, le tableau de bord Samsara provisionne automatiquement un compte avec le rôle le moins privilégié—le rôle de maintenance. Ce compte se voit accorder l'accès par filtre à l'entièreté de l'organisation par défaut. Si l'administrateur nécessite un rôle différent ou un accès spécifique par filtre, il est recommandé d'ajouter ou mettre à jour l'administrateur via CSV avec le rôle approprié et l'accès par filtre.

  • Conducteurs : Samsara prend également en charge le provisionnement JIT pour le SSO des conducteus. Lorsqu'un conducteur se connecte pour la première fois en utilisant SSO, son compte est automatiquement créé dans le tableau de bord. Le système associe le nom d'utilisateur du conducteur à la valeur de l'attribut driver_username dans votre IdP, garantissant un accès transparent sans provisionnement manuel.

Lors de la mise en œuvre du provisionnement JIT avec SSO, soyez conscient que le provisionnement peut ne pas fonctionner comme prévu si le courriel d'un utilisateur est associé à plusieurs organisations. Le provisionnement JIT crée ou met à jour généralement des comptes utilisateurs en se basant sur des identifiants de courriel uniques. Si un courriel est lié à plusieurs organisations, des conflits peuvent survenir, entraînant des erreurs de provisionnement ou des problèmes d'accès.

Pour éviter ces problèmes, assurez-vous que l'adresse de courriel de chaque utilisateur est unique au sein du domaine de votre organisation. Si les utilisateurs ont besoin d'accéder à plusieurs organisations, envisagez d'utiliser des alias de courriel distincts ou de coordonner avec votre IdP pour gérer efficacement l'accès multi-organisation.

Supprimer une configuration SSO

Si vous devez supprimer une configuration SSO existante de votre tableau de bord Samsara, veuillez contacter l'assistance Samsara pour obtenir de l'aide.

Actuellement, le tableau de bord ne prend pas en charge la suppression en libre-service des configurations SSO afin d'assurer la sécurité et l'intégrité de l'authentification de votre organisation. Notre équipe d'assistance vous guidera à travers le processus pour supprimer en toute sécurité la configuration SSO, si nécessaire.

Commentaires

Cet article vous a-t-il été utile ?
Utilisateurs qui ont trouvé cela utile : 7 sur 9
Voulez-vous nous en dire plus ? Nous voulons tout entendre !
Have more questions? Submit a request
Retour en haut

Commentaires

0 commentaire

Cet article n'accepte pas de commentaires.

Articles associés

Articles dans cette section

©2024 Samsara Inc.

Nous contacter par chat