Utilisation de la SSO et configuration du SAML avec Payhawk

Prev Next

L'authentification unique (Single Sign-On, SSO) est une méthode d'authentification qui permet aux utilisateurs de s'identifier en toute sécurité auprès de plusieurs applications et sites Web à l'aide d'un seul ensemble d'informations d'identification.

Le Security Assertion Markup Language (SAML) facilite l'authentification sécurisée et l'autorisation d’échange de données. Le SAML est la norme par laquelle les fournisseurs de services (SP) et les fournisseurs d'identité (IdP) communiquent entre eux pour vérifier les informations d'identification.

  • Pour toute assistance dont vous pourriez avoir besoin lors de la configuration initiale de la SSO, contactez votre responsable de la mise en œuvre.

  • Pour toute modification ultérieure des domaines - y compris l'ajout de nouveaux domaines à votre compte - contactez le service d'assistance de Payhawk à l'adresse support@payhawk.com.

Une vue d'ensemble du processus d'intégration SAML

À un niveau élevé, pour intégrer Payhawk à votre IdP en utilisant le SAML, vous devez activer la norme de la manière suivante :

  1. Créez une application SAML dans votre IdP qui sera utilisée avec Payhawk.

  2. Attribuez l'application SAML à vos utilisateurs et groupes.

  3. Contactez votre responsable de la mise en œuvre chez Payhawk et fournissez les détails suivants :

    • Le fichier de métadonnées XML de votre IdP SAML qui a été téléchargé lors de la création de l'application SAML.

    • Le(s) domaine(s) qui sera(ont) utilisé(s) pour l'authentification.

    • Le mappage d'attributs que vous utilisez pour la reconnaissance du compte de l'utilisateur. Habituellement, l'attribut représente les informations de l'utilisateur qui sont envoyées du système SSO au système Payhawk, telles que l'adresse e-mail, le nom ou le rôle de l'utilisateur.

      Section des attributs utilisateur affichant les champs d'e-mail pour le fournisseur de services et JumpCloud.

  4. Une fois que Payhawk a terminé la configuration, testez l'authentification.

Les sections suivantes présentent les étapes de configuration d'Okta, d'Azure et de Google, qui sont parmi les IdP les plus courants. Mais vous pouvez appliquer le même processus à tout autre IdP de votre choix qui prend en charge SAML v2.

Une fois activé, SAML ne prend pas en charge l'authentification initiée par le fournisseur d'identité. Par conséquent, s'ils ne sont pas encore authentifiés, vos utilisateurs devront ouvrir le portail Payhawk et saisir leur adresse e-mail dans la boîte de réception.

Configuration du SAML dans Okta : identité

Pour créer une application SAML dans Okta Identity Engine et activer la SSO pour vos utilisateurs, procédez comme suit :

  1. Accédez à la console Okta Developer et connectez-vous en tant qu'administrateur.

    Pour plus d'informations sur la console, consultez Console d'administration et tableau de bord repensés d'Okta.

  2. Dans le menu de navigation, développez Applications et sélectionnez Applications.

  3. Cliquez sur Créer une intégration d’application.

  4. Dans le menu Créer une intégration d’application, sélectionnez SAML 2.0 comme méthode de connexion.

  5. Cliquez sur Suivant.

    Pour plus d'informations, consultez la section Préparer votre intégration dans le guide Intégration de l'Authentification Unique (SSO) sur le site Web Okta Developer.

The Create a new app integration dialog in Okta Identity Engine with the SAML 2.0 option checked.

Vous devez maintenant configurer l'intégration SAML pour votre application Okta :

  1. Sur la page Créer une intégration SAML, sous Paramètres généraux, saisissez Payhawk comme nom de votre application.

  2. (Facultatif) Téléchargez un logo et choisissez les paramètres de visibilité de votre application.

  3. Cliquez sur Suivant.

  4. Sous GÉNÉRAL, pour une URL d’authentification unique, saisissez : https://id.payhawk.com/saml2/idpresponse

  5. Pour URI d’audience (ID d’entité SP), saisissez : urn:amazon:cognito:sp:eu-central-1_mcW4Iwl7p

  6. Laissez État relais par défaut vide.

  7. Sous DÉCLARATIONS D'ATTRIBUT, ajoutez une instruction avec les informations suivantes :

    • Pour Nom, saisissez l'e-mail du nom de l'attribut SAML.

    • Pour Valeur, saisissez user.email.

  8. Laissez les valeurs par défaut des autres paramètres de la page ou définissez-les selon vos préférences.

  9. Cliquez sur Suivant > Terminer.

  10. Une fois l'application SAML configurée, attribuez l'accès aux personnes et aux groupes.

  11. Téléchargez les métadonnées IdP sous forme de fichier XML et envoyez-les au responsable de la mise en œuvre (IM) qui l’appliquera du côté de Payhawk.

Configuration du SAML dans Microsoft Entra (Azure Active Directory)

Pour créer une application SAML dans Microsoft Entra et activer la SSO pour vos utilisateurs, procédez comme suit :

  1. Ouvrez entra.microsoft.com

  2. Accédez à Applications d'entreprise.

  3. Cliquez sur Nouvelle application > Créez votre propre application.

  4. Quel est le nom de votre application ? Saisissez : Payhawk

  5. Sélectionnez : Intégrer toute autre application que vous ne trouvez pas dans la galerie (hors galerie)

  6. Sur la page de candidature, cliquez sur Démarrage > Authentification unique > SAML

  7. Dans le volet Configuration du SAML de base, saisissez les informations suivantes pour configurer l'application Payhawk :

    • Pour Identifiant (ID d’entité), saisissez : urn:amazon:cognito:sp:eu-central-1_mcW4Iwl7p

    • Pour URL de réponse, saisissez : https://id.payhawk.com/saml2/idpresponse

    • Pour le mappage des attributs d'e-mail, saisissez [l'adresse e-mail que vous avez utilisée pour inviter l'utilisateur à rejoindre Payhawk] → e-mail.

    • Laissez tout ce qui est facultatif vide.

  8. Pour l'Identifiant utilisateur unique (UPN), utilisez user.userprincipalname ou user.email, qui correspondent à l'adresse e-mail que vous avez utilisée pour inviter l'utilisateur à rejoindre Payhawk, car les utilisateurs utilisent leur UPN pour se connecter.

  9. Téléchargez le fichier XML des métadonnées de la fédération et envoyez-le au responsable de la mise en œuvre (IM) qui l'appliquera du côté de Payhawk.

Configuration du SAML dans Google Workspace (GSuite)

Pour créer une application SAML dans Google Workspace et activer la SSO pour vos utilisateurs, procédez comme suit :

  1. Ouvrez Google Workspace en tant qu'administrateur.

  2. Naviguez jusqu'à Applications > Applications Web et mobiles.

  3. Créez une nouvelle application SAML.

  4. Sélectionnez Payhawk comme nom d’application.

  5. Téléchargez le fichier de métadonnées.

  6. Remplissez les champs de la manière suivante :

    • Pour URL ACS, saisissez : https://id.payhawk.com/saml2/idpresponse

    • Pour ID d’entité, saisissez : urn:amazon:cognito:sp:eu-central-1_mcW4Iwl7p

    • Pour le format ID de nom, saisissez E-MAIL.

    • Pour ID de nom , saisissez Informations de base > E-mail principal.

  7. Cliquez sur Continuer.

  8. En tant que Mappage d'attributs, ajoutez E-mail principal > e-mail.

  9. Cliquez sur Terminer.

  10. Dans Applications Web et mobiles, sélectionnez votre nouvelle application Payhawk et activez-la pour tous les utilisateurs censés l'utiliser.

  11. Téléchargez les métadonnées IdP sous forme de fichier XML et envoyez-les au responsable de la mise en œuvre (IM) qui l’appliquera du côté de Payhawk.

Configuration de SAML dans JumpCloud

Payhawk prend en charge JumpCloud en tant que fournisseur d'identité (IdP) pour l'authentification unique (SSO) via SAML. Vous trouverez ci-dessous un guide détaillé sur la configuration de JumpCloud SAML SSO, ainsi que des informations sur le comportement de connexion et la transition depuis d'autres IdP.

Pour créer une application SAML dans JumpCloud et activer l'authentification unique (SSO) pour vos utilisateurs, suivez les étapes ci-dessous :

  1. Ouvrez la Console d'administration JumpCloud et créez une nouvelle application SAML nommée Payhawk.

  2. Configurez les paramètres clés suivants :

    • ID d'entité IdP et ID d'entité SP : utilisez l'ID d'entité SP fourni par Payhawk (par exemple, urn:amazon:cognito:sp:<region>-<identifier>).

    • URL ACS : Saisissez l'URL du Service d’assertion consommateur (ACS) fournie par Payhawk.

    • NameID du sujet SAML : définissez ce champ sur email.

    • Format NameID du sujet SAML : choisissez emailAddress.

    • Déclarez le point de terminaison de redirection : activez ou vérifiez ce paramètre.

    • URL d'IdP : Spécifiez l'URL SSO d'IdP JumpCloud.

    • Mappage d'attributs : Mapper Service Provided Attribute Name = email vers JumpCloud

  3. Téléchargez les métadonnées IdP en tant que fichier XML :

    • Exportez le fichier XML de métadonnées pour cette application SAML.

  4. Partagez les détails de configuration avec Payhawk :

    • Fournissez le XML des métadonnées IdP, vos domaines d'authentification et les détails de mappage des attributs au support Payhawk.

  5. Testez l'authentification :

    • Une fois la configuration effectuée des deux côtés, effectuez un test en saisissant votre adresse e-mail professionnelle sur la page de connexion Payhawk afin de vérifier la redirection SSO.

Migration de Google vers JumpCloud

Si vous passez de Google SSO à JumpCloud, aucune migration n'est nécessaire dans Payhawk, à condition que l'attribut e-mail renvoyé par JumpCloud corresponde à l'adresse e-mail professionnelle précédemment utilisée dans Google SSO.

  • Point important : Payhawk identifie les utilisateurs par adresse e-mail. Pour éviter les doublons de comptes ou la perte d'accès aux cartes, aux dépenses ou aux autorisations, assurez-vous que l'attribut d'e-mail JumpCloud correspond à l'adresse e-mail Payhawk existante.

  • Si l'adresse e-mail est différente, un nouveau compte utilisateur Payhawk sera créé et les données précédentes ne seront pas transférées.

Configuration du SAML dans OneLogin

Pour créer une application SAML dans OneLogin et activer la SSO pour vos utilisateurs, procédez comme suit :

  1. Connectez-vous en tant qu'administrateur dans votre locataire OneLogin.

  2. Accédez à Applications > Ajouter une application et recherchez Payhawk.

  3. Laissez les paramètres tels qu'ils sont dans l'écran initial.

  4. Assurez-vous que dans Configuration le domaine est : payhawk.

  5. Assurez-vous que dans Paramètres, le mappage d’attribut est : e-mail à E-mail, et que l’assertion Inclus dans SAML est cochée.

  6. Enregistrez l'application et activez-la pour tous les utilisateurs qui sont censés l'utiliser.

  7. Téléchargez les métadonnées IdP sous forme de fichier XML en haut à droite (Plus d'actions > Métadonnées SAML) et envoyez-le au responsable de la mise en œuvre (IM) qui l'appliquera du côté de Payhawk.

Comportement après la configuration

Une fois l'authentification unique (SSO) correctement configurée, les utilisateurs doivent accéder à la page de connexion Payhawk et saisir leur adresse e-mail professionnelle. Ils seront ensuite redirigés vers le fournisseur d'identité (IdP) configuré par leur organisation pour s'authentifier. Une fois l'authentification réussie, ils seront redirigés vers Payhawk et pourront accéder à leur compte. Cela garantit une expérience d'authentification unique fluide et sécurisée.

Conseils de dépannage

  • Correspondance des attributs d'e-mail : confirmez toujours que l'attribut d'e-mail de l'utilisateur fourni par le fournisseur d'identité (IdP) correspond à l'adresse e-mail associée à son compte Payhawk afin d'éviter les problèmes de connexion.

  • Test de l'authentification : Testez régulièrement le processus d'authentification unique après les mises à jour de configuration afin de vous assurer que l'authentification via le fournisseur d'identité configuré continue de fonctionner correctement et que les utilisateurs puissent accéder à Payhawk sans interruption.

Ressources utiles