Tous les articles

SSO avec SAML : Guide de mise en œuvre

Tableau 1. Disponibilité - Anciens plans


Aperçu

Les propriétaires et les administrateurs de compte ayant la permission de Configurer les paramètres de sécurité avancée permission peuvent activer l'authentification unique (SSO) pour le compte.

Les utilisateurs du plan Enterprise peuvent accéder à Wrike avec leurs identifiants d'entreprise si l'authentification unique basée sur SAML (intégration SSO/SAML) est activée pour leur compte. L'authentification unique (SSO) est l'expression courante pour désigner les différentes techniques qui permettent aux utilisateurs d'accéder à plusieurs applications depuis un seul point d'autorisation, géré par un fournisseur d'identité (IDP). Le langage SAML 2.0 (Security Assertion Markup Language) est un standard reconnu pour l'échange des données d'authentification et d'autorisation prises en charge par Wrike en tant que fournisseur de services (SP). Aucun mot de passe réel n'est transféré vers ni depuis Wrike pendant l'autorisation. Au lieu de cela, Wrike reçoit la confirmation SAML de l'identité de l'utilisateur, qui est valide pour une durée limitée et signée numériquement.

Conseil

Il est possible d'activer les assertions SSO SAML chiffrées si l'IDP le permet. Contactez notre équipe d'assistance si vous souhaitez activer cette option lors de la configuration SAML SSO.

Pour en savoir plus sur le fonctionnement de l'authentification unique après son activation, veuillez consulter notre page : SSO avec SAML : Guide de l'utilisateur.

Les avantages d'utiliser l'authentification unique

  • La gestion évolutive des utilisateurs pour les grandes entreprises. Avec le provisionnement just-in-time, vous pouvez gagner du temps à la configuration de votre compte d'entreprise et des méthodes de gestion. Wrike peut créer un profil d'utilisateur dans votre compte chaque fois qu'un nouvel utilisateur de votre répertoire se connecte à Wrike via SSO — aucune invitation supplémentaire n'est requise. Les employés qui sont supprimés de votre répertoire d'entreprise perdront automatiquement l'accès à l'abonnement Wrike de l'entreprise, mais leurs tâches et leurs historiques d'activité resteront intacts.

  • Un format homogène pour les noms d'utilisateur. L'identité de l'utilisateur est gérée depuis un emplacement central, les noms d'utilisateur Wrike correspondent donc aux noms de votre répertoire.

  • Le respect des recommandations en matière de sécurité interne. Vos administrateurs informatiques ont un meilleur contrôle sur les processus d'authentification. Les utilisateurs ne peuvent pas modifier leur nom ou leur adresse e-mail eux-mêmes. Toutes les politiques de sécurité que vous avez adoptées en interne seront également en vigueur pour Wrike.

  • Une réduction de la fatigue des mots de passe pour les utilisateurs. Une fois qu'un utilisateur se connecte au réseau de l'entreprise, il peut ouvrir Wrike sans avoir à saisir un autre ensemble d'identifiants de connexion.

  • La facilité d'accès possible grâce au SSO permet une adoption fluide de Wrike. Vous pouvez également surveiller l'activité de connexion et utiliser les statistiques SSO collectées pour suivre l'adoption de Wrike.

Les inconvénients de l'authentification unique

Une fois l'intégration SSO/SAML activée, les utilisateurs inclus dans le SSO ne pourront pas :

  • Modifier leurs noms dans Wrike. Les noms et prénoms sont attribués par votre fournisseur d'identité.

  • Apporter des modifications à leur adresse e-mail à partir de leur profil Wrike, comme ajouter des adresses supplémentaires par exemple. En revanche, un administrateur Wrike peut le faire pour lui à condition qu'un utilisateur puisse confirmer la nouvelle adresse. Pour cela, il doit être connecté à Wrike via l'adresse e-mail d'origine et avoir accès à la boîte de réception d'origine pour cliquer sur le lien de confirmation. Dans d'autres cas, les administrateurs devront contacter l'assistance pour modifier les e-mails des utilisateurs. Les e-mails du propriétaire du compte ne peuvent être modifiés qu'avec l'aide de l'assistance.

  • Activer la validation en deux étapes via Wrike. Si vous souhaitez protéger votre compte avec cette fonctionnalité de sécurité, elle doit être configurée avec votre fournisseur d'identité.

  • Se connecter à Wrike à l'aide d'un mot de passe Wrike. En règle générale, ils seront redirigés vers la page de connexion gérée par votre fournisseur d'identité lorsqu'ils essaieront d'accéder à Wrike dans leur navigateur. Certains outils intégrés ne prennent pas en charge le SSO de manière native (c'est par exemple le cas de l'outil de sauvegarde et des applis API-v2 existantes). Les utilisateurs SSO devront générer des mots de passe à usage uniquepour autoriser ces outils.

Définir le champ d'application de l'authentification unique

La façon dont vous configurez votre SSO dépend de la façon dont vous utilisez (ou prévoyez d'utiliser) Wrike :

  • Le optional mode optionnel : tous les membres du compte pourront se connecter en utilisant un mot de passe ou une connexion via un IDP. Cette option est configurée par défaut et est utile pour tester la nouvelle intégration SSO. Nous vous recommandons de commencer par cette option pour vous assurer que tout fonctionne correctement avant d'appliquer le SSO pour l'ensemble du compte.

    Remarque

    Avec le mode optionnel, les utilisateurs sont guidés sur la page login.wrike.com/login pour suivre le même processus de connexion que si le SSO avec SAML n'était pas configuré pour le compte.

    Pour parcourir le flux SSO avec SAML, utilisez la page login.wrike.com/sso .

  • Si seuls les employés de l'entreprise utilisent Wrike : le SSO peut être activé pour tous les utilisateurs du compte.

  • Si Wrike est utilisé à la fois par les employés et des personnes extérieures à l'entreprise : le SSO peut être activé pour les utilisateurs en fonction de leur domaine de messagerie.

    Remarque

    Dans ce cas, vous devez ajouter et approuver les domaines de messagerie via l'onglet Sécurité de la section Gestion des comptes avant d'activer le SSO avec SAML. Les domaines de messagerie doivent appartenir à l'entreprise pour être approuvés.

    Les utilisateurs possédant des e-mails avec des domaines de messagerie approuvés peuvent se connecter à Wrike via le SSO, et les utilisateurs avec des e-mails sans domaines de messagerie approuvés se connecteront via un nom d'utilisateur et un mot de passe Wrike. Il est possible d'activer la vérification en 2 étapes pour apporter une option de connexion plus sécurisée pour les utilisateurs sans domaines approuvés.

    Si vous souhaitez ajouter des domaines approuvés supplémentaires après l'activation du SSO, un administrateur devra suivre le même processus que décrit plus haut.

    Dans la plupart des cas, le processus d'approbation nécessite l'aide de votre équipe informatique, car les enregistrements DNS (Domain Name System) des domaines doivent être mis à jour. Nous vous recommandons d'ajouter des domaines approuvés avant d'activer SAML, afin qu'ils s'appliquent immédiatement une fois le SAML activé.

Conditions préalables à l'activation de l'authentification unique

Avant d'activer l'authentification unique, il est important de vérifier que :

  • L'adresse e-mail associée au compte Wrike de chaque utilisateur correspond à son adresse e-mail dans le répertoire de l'entreprise.

  • L'authentification unique n'est pas encore activée pour le compte. Pour vérifier cela :

    • Cliquez sur votre image de profil.

    • Sélectionnez Paramètres dans la liste déroulante.

    • Cliquez sur Sécurité dans le panneau de gauche.

    • Dans la page Sécurité, faites défiler jusqu'à la section SSO avec SAML.

    • Vérifiez que l'étiquette Désactivé apparaît à côté de l'entête SSO avec SAML.

De plus, vous devez vérifier la compatibilité :

  • Assurez-vous que votre fournisseur d'identité ou d'authentification unique prend en charge l'authentification fédérée avec SAML 2.0. La liste des solutions d'authentification unique compatibles comprend, sans s'y limiter : Okta, OneLogin, PingFederate, Microsoft AD FS et Google Apps identity service. Si vous utilisez les services de gestion d'identité fournis par Okta, vous pouvez ajouter Wrike à votre liste d'applications en suivant ces instructions.

  • Pour configurer une authentification unique basée sur SAML personnalisée pour votre compte, veuillez consulter notre fichier de métadonnées pour les paramètres et options standard utilisés par Wrike. Vous devez inclure les attributs d'utilisateur suivants : Prénom ; Nom de Famille ; ID du nom (cela doit être une adresse e-mail).

Activer l'authentification unique

  1. Cliquez sur votre image de profil.

  2. Sélectionnez Paramètres dans la liste déroulante.

  3. Cliquez sur Sécurité dans le panneau de gauche.

  4. Dans la page Sécurité, faites défiler jusqu'à la section SSO avec SAML.

  5. Cliquez sur le bouton Configurer le SSO avec SAML.

  6. Dans la fenêtre qui s'ouvre, configurez votre fournisseur d'identité avec les métadonnées Wrike et cliquez sur Continuer.

  7. Ensuite, il vous sera demandé de spécifier les métadonnées de votre fournisseur. Vous pouvez sélectionner l'une des deux options suivantes :

    • Saisir un lien pour fournir le XML

    • Saisissez le XML comme texte.

  8. Cliquez sur Suivant .

  9. Vérifiez que vous avez choisi les bons paramètres et validez votre décision en cliquant sur le bouton Continuer et activer SAML.

  10. Un e-mail vous sera envoyé avec le code pour confirmer la mise en œuvre de l'authentification unique.

  11. Saisissez le code de l'e-mail dans la fenêtre contextuelle qui s'ouvre.

  12. Cliquez sur Confirmer.

  13. (Facultatif) Testez les nouveaux paramètres du compte.

  14. Cliquez sur le bouton Enregistrer les paramètres SAML.

Nous vous recommandons d'effectuer des tests d'acceptation par les utilisateurs et de tester différents cas d'utilisation immédiatement après l'activation de l'authentification unique. Vous trouverez plus d'informations sur l'utilisation de l'authentification unique après son activation sur notre page Authentification unique basée sur SAML.

Remarque

Les tâches, les dossiers et les projets ne sont pas automatiquement partagés entre les utilisateurs SSO. Pour en savoir plus sur le partage des tâches, desdossiers et des projets, consultez nos pages d'aide. En outre, les groupes d'utilisateurs internes ne sont pas automatiquement transférés vers Wrike, mais vous pouvez facilement créer groupe d'utilisateurs dans Wrike.

Ajouter des domaines de messagerie approuvés

Remarque

Pour ajouter des domaines de messagerie approuvés vous pouvez avoir besoin de l'assistance de votre équipe informatique.

  1. Cliquez sur votre image de profil dans le coin supérieur droit de l’espace de travail Wrike.

  2. Sélectionnez Paramètres dans la liste déroulante.

  3. Cliquez sur Sécurité dans le panneau de gauche.

  4. Faites défiler jusqu'à la section Domaines approuvés.

  5. Cliquez sur Ajouter un domaine et saisissez le domaine de messagerie approprié.

  6. Cliquez sur Ajouter.

  7. La fenêtre contextuelle apparaît avec des instructions sur l'approbation des domaines.

  8. Suivez les instructions. L'approbation des domaines peut prendre jusqu'à 24 heures et peut nécessiter l'assistance de votre équipe informatique.

  9. Cliquez sur Enregistrer les modifications.

  10. L'e-mail avec le code de confirmation sera envoyé à votre adresse e-mail principale.

  11. Copiez le code de votre e-mail et collez-le dans la fenêtre contextuelle qui apparaît.

  12. Cliquez sur Confirmer.

Autoriser les utilisateurs à rejoindre plusieurs comptes avec SAML intégré

Les équipes de grandes entreprises utilisant plusieurs comptes Wrike avec une authentification unique basée sur SAML via le même fournisseur d'identité peuvent intégrer tous leurs comptes dans un seul réseau. Les utilisateurs peuvent donc être invités aux comptes Wrike connectés ou les rejoindre en utilisant leurs identifiants d'entreprise via le fournisseur d'identité.

Remarque: Il existe plusieurs conditions préalables à la mise en œuvre de ce schéma, et il ne peut être activé que par le support client de Wrike. Veuillez contacter l'assistance clientèle de Wrike pour plus d'informations.

Haut de la page