Tous les articles

SSO avec SAML : Guide de mise en œuvre

Tableau 1. Disponibilité - Anciens plans

Free

Professional

Business

Entreprise

Disponibilité : ancien Enterprise.; Indisponibilité : ancien Free, ancien Professional, ancien Business.;

Tableau 2. Disponibilité

Free

Équipe

Business

Entreprise

Pinnacle

Disponibilité : Enterprise, Pinnacle. Indisponibilité : Free, Team, Business;

Vue d'ensemble

Les propriétaires et les administrateurs de compte ayant la permission de Configurer les paramètres de sécurité avancée permission peuvent activer l'authentification unique (SSO) pour le compte.

Les utilisateurs du plan Enterprise peuvent accéder à Wrike avec leurs identifiants d'entreprise si l'authentification unique basée sur SAML (intégration SSO/SAML) est activée pour leur compte. L'authentification unique (SSO) est l'expression courante pour désigner les différentes techniques qui permettent aux utilisateurs d'accéder à plusieurs applications depuis un seul point d'autorisation, géré par un fournisseur d'identité (IDP). Le langage SAML 2.0 (Security Assertion Markup Language) est un standard reconnu pour l'échange des données d'authentification et d'autorisation prises en charge par Wrike en tant que fournisseur de services (SP). Aucun mot de passe réel n'est transféré vers ni depuis Wrike pendant l'autorisation. Au lieu de cela, Wrike reçoit la confirmation SAML de l'identité de l'utilisateur, qui est valide pour une durée limitée et signée numériquement.

Astuce

Il est possible d'activer les assertions SSO SAML chiffrées si l'IDP le permet. Contactez notre équipe d'assistance si vous souhaitez activer cette option lors de la configuration SAML SSO.

Pour plus de détails sur le fonctionnement du SSO après son activation, veuillez consulter notre page : SAML SSO : Guide de l’utilisateur.

Les avantages d'utiliser l'authentification unique

  • La gestion évolutive des utilisateurs pour les grandes entreprises. Grâce au provisionnement utilisateur juste-à-temps, vous pouvez gagner le temps habituellement consacré à la configuration de votre compte Enterprise et à vos méthodes de gestion. Wrike peut créer un profil d'utilisateur dans votre compte chaque fois qu'un nouvel utilisateur de votre répertoire se connecte à Wrike via SSO — aucune invitation supplémentaire n'est requise. Les employés qui sont supprimés de votre répertoire d'entreprise perdront automatiquement l'accès à l'abonnement Wrike de l'entreprise, mais leurs tâches et leurs historiques d'activité resteront intacts.

  • Un format homogène pour les noms d'utilisateur. L'identité de l'utilisateur est gérée depuis un emplacement central, les noms d'utilisateur Wrike correspondent donc aux noms de votre répertoire.

  • Le respect des recommandations en matière de sécurité interne. Vos administrateurs informatiques ont un meilleur contrôle sur les processus d'authentification. Les utilisateurs ne peuvent pas modifier leur nom ou leur adresse e-mail eux-mêmes. Toutes les politiques de sécurité que vous avez adoptées en interne seront également en vigueur pour Wrike.

  • Une réduction de la fatigue des mots de passe pour les utilisateurs. Une fois qu'un utilisateur se connecte au réseau de l'entreprise, il peut ouvrir Wrike sans avoir à saisir un autre ensemble d'identifiants de connexion.

  • La facilité d'accès possible grâce au SSO permet une adoption fluide de Wrike. Vous pouvez également surveiller l'activité de connexion et utiliser les statistiques SSO collectées pour suivre l'adoption de Wrike.

Les inconvénients de l'authentification unique

Une fois l'intégration SSO/SAML activée, les utilisateurs inclus dans le SSO ne pourront pas :

  • Modifier leurs noms dans Wrike. Les noms et prénoms sont attribués par votre fournisseur d'identité.

  • Apporter des modifications à leur adresse e-mail à partir de leur profil Wrike, comme ajouter des adresses supplémentaires par exemple. En revanche, un administrateur Wrike peut le faire pour lui à condition qu'un utilisateur puisse confirmer la nouvelle adresse. Pour cela, il doit être connecté à Wrike via l'adresse e-mail d'origine et avoir accès à la boîte de réception d'origine pour cliquer sur le lien de confirmation. Dans d'autres cas, les administrateurs devront toujours contacter l'assistance pour modifier les e-mails des utilisateurs. Les e-mails du propriétaire du compte ne peuvent être modifiés qu'avec l'assistance.

  • Activer la validation en deux étapes via Wrike. Si vous souhaitez protéger votre compte avec cette fonctionnalité de sécurité, elle doit être configurée avec votre fournisseur d'identité.

  • Se connecter à Wrike à l'aide d'un mot de passe Wrike. En règle générale, ils seront redirigés vers la page de connexion gérée par votre fournisseur d'identité lorsqu'ils essaieront d'accéder à Wrike dans leur navigateur. Certains outils intégrés ne prennent pas en charge le SSO de manière native (c'est par exemple le cas de l'outil de sauvegarde et des applis API-v2 existantes). Les utilisateurs SSO devront générer des mots de passe à usage uniquepour autoriser ces outils.

Définir le champ d'application de l'authentification unique

La façon dont vous configurez votre SSO dépend de la façon dont vous utilisez (ou prévoyez d'utiliser) Wrike :

  • Le optional mode optionnel : tous les membres du compte pourront se connecter en utilisant un mot de passe ou une connexion via un IDP. Cette option est configurée par défaut et est utile pour tester la nouvelle intégration SSO. Nous vous recommandons de commencer par cette option pour vous assurer que tout fonctionne correctement avant d'appliquer le SSO pour l'ensemble du compte.

    Note

    Avec le mode facultatif, les utilisateurs sont guidés sur la page login.wrike.com/login pour suivre le même processus de connexion que si le SSO avec le SAML n'était pas configuré pour le compte.

    Pour parcourir le flux d'authentification unique avec le langage SAML, utilisez la page login.wrike.com/sso dans un navigateur. Veuillez noter que l'application de bureau Wrike et les applications mobiles utilisent uniquement la page de connexion Wrike standard (login.wrike.com/login/) et, en mode facultatif, la connexion via celles-ci mènera les utilisateurs uniquement au flux de connexion standard (avec un mot de passe Wrike).

  • Si seuls les employés de l'entreprise utilisent Wrike : le SSO peut être activé pour tous les utilisateurs du compte.

  • Si Wrike est utilisé à la fois par les employés et des personnes extérieures à l'entreprise : le SSO peut être activé pour les utilisateurs en fonction de leur domaine de messagerie.

    Note

    Dans ce cas, vous devez ajouter et approuver des domaines d’e-mail à partir de l’onglet Sécurité de la section Gestion du compte avant d’activer le SAML SSO. Les domaines de messagerie doivent appartenir à l'entreprise pour être approuvés.

    Les utilisateurs possédant des e-mails avec des domaines de messagerie approuvés peuvent se connecter à Wrike via le SSO, et les utilisateurs avec des e-mails sans domaines de messagerie approuvés se connecteront via un nom d'utilisateur et un mot de passe Wrike. Il est possible d'activer la vérification en 2 étapes pour apporter une option de connexion plus sécurisée pour les utilisateurs sans domaines approuvés.

    Si vous souhaitez ajouter des domaines approuvés supplémentaires après l'activation du SSO, un administrateur devra suivre le même processus que décrit plus haut.

    Dans la plupart des cas, le processus d'approbation nécessite l'aide de votre équipe informatique, car les enregistrements DNS (Domain Name System) des domaines doivent être mis à jour. Nous vous recommandons d'ajouter des domaines approuvés avant d'activer SAML, afin qu'ils s'appliquent immédiatement une fois le SAML activé.

Conditions préalables à l'activation de l'authentification unique

Avant d'activer l'authentification unique, il est important de vérifier que :

  • L'adresse e-mail associée au compte Wrike de chaque utilisateur correspond à son adresse e-mail dans le répertoire de l'entreprise.

  • L'authentification unique n'est pas encore activée pour le compte. Pour vérifier cela :

    • Cliquez sur votre image de profil.

    • Sélectionnez Paramètres dans la liste déroulante.

    • Cliquez sur Sécurité dans le panneau de gauche.

    • Dans la page Sécurité, faites défiler jusqu'à la section SSO avec SAML.

    • Vérifiez que l'étiquette Désactivé apparaît à côté de l'entête SSO avec SAML.

De plus, vous devez vérifier la compatibilité :

  • Assurez-vous que votre fournisseur d'identité ou d'authentification unique prend en charge l'authentification fédérée avec SAML 2.0. La liste des solutions d'authentification unique compatibles comprend, sans s'y limiter : Okta, OneLogin, PingFederate, Microsoft AD FS et Google Apps. Si vous utilisez les services de gestion d’identité fournis par Okta, vous pouvez ajouter Wrike à votre liste d’applications en suivant ces instructions.

  • Pour configurer une authentification unique basée sur SAML personnalisée pour votre compte, veuillez consulter notre fichier de métadonnées pour les paramètres et options standard utilisés par Wrike. Vous devez inclure les attributs d'utilisateur suivants : Prénom ; Nom de Famille ; ID du nom (cela doit être une adresse e-mail).

Activer l'authentification unique

  1. Cliquez sur votre image de profil.

  2. Sélectionnez Paramètres dans la liste déroulante.

  3. Cliquez sur Sécurité dans le panneau de gauche.

  4. Dans la page Sécurité, faites défiler jusqu'à la section SSO avec SAML.

  5. Cliquez sur le bouton Configurer le SSO avec SAML.

  6. Dans la fenêtre qui s'ouvre, configurez votre fournisseur d'identité avec les métadonnées Wrike et cliquez sur Continuer.

  7. Ensuite, il vous sera demandé de spécifier les métadonnées de votre fournisseur. Vous pouvez sélectionner l'une des deux options suivantes :

    • Saisir un lien pour fournir le XML

    • Saisissez le XML comme texte.

  8. Cliquez sur Suivant .

  9. Vérifiez que vous avez choisi les bons paramètres et validez votre décision en cliquant sur le bouton Continuer et activer SAML.

  10. Un e-mail vous sera envoyé avec le code pour confirmer la mise en œuvre de l'authentification unique.

  11. Saisissez le code de l'e-mail dans la fenêtre contextuelle qui s'ouvre.

  12. Cliquez sur Confirmer.

  13. (Facultatif) Testez les nouveaux paramètres du compte.

  14. Cliquez sur le bouton Enregistrer les paramètres SAML.

Nous vous recommandons d'effectuer des tests d'acceptation par les utilisateurs et de tester différents cas d'utilisation immédiatement après l'activation de l'authentification unique. Vous trouverez plus d’informations sur l’utilisation du SSO après son activation sur notre page Authentification unique via SAML.

Note

Les éléments de travail (comme les tâches, dossiers, projets, espaces, et types d'éléments personnalisés) ne sont pas automatiquement partagés avec les nouveaux utilisateurs qui rejoignent votre compte via SSO. La connexion avec SAML SSO ne modifie pas les paramètres de partage existants—les éléments restent partagés avec les mêmes personnes qu'auparavant.

Les groupes d'utilisateurs de l'annuaire Active Directory de votre entreprise ne se transfèrent pas automatiquement vers Wrike, mais vous pouvez créer des groupes d'utilisateurs directement dans Wrike.

En savoir plus sur le partage des tâches, des dossiers et des projets sur nos pages d'aide.

Ajouter des domaines de messagerie approuvés

Note

Pour ajouter des domaines de messagerie approuvés vous pouvez avoir besoin de l'assistance de votre équipe informatique.

  1. Cliquez sur votre image de profil dans le coin supérieur droit de l’espace de travail Wrike.

  2. Sélectionnez Paramètres dans la liste déroulante.

  3. Cliquez sur Sécurité dans le panneau de gauche.

  4. Faites défiler jusqu'à la section Domaines approuvés.

  5. Cliquez sur Ajouter un domaine et saisissez le domaine de messagerie approprié.

  6. Cliquez sur Ajouter.

  7. La fenêtre contextuelle apparaît avec des instructions sur l'approbation des domaines.

    Note

    Lorsque des domaines sont ajoutés aux paramètres dans Wrike, le mode facultatif du protocole SSO devient indisponible ou grisé. Cela est dû au fait que l'ajout de domaines approuvés impose l'utilisation de l'authentification unique avec SAML aux utilisateurs avec ces domaines, et que le système ne permet pas de mode facultatif dans cette configuration. Le mode facultatif est uniquement disponible lorsqu'aucun domaine approuvé n'est ajouté au compte.

  8. Suivez les instructions. L'approbation des domaines peut prendre jusqu'à 24 heures et peut nécessiter l'assistance de votre équipe informatique.

  9. Cliquez sur Enregistrer les modifications.

  10. L'e-mail avec le code de confirmation sera envoyé à votre adresse e-mail principale.

  11. Copiez le code de votre e-mail et collez-le dans la fenêtre contextuelle qui apparaît.

  12. Cliquez sur Confirmer.

Autoriser les utilisateurs à rejoindre plusieurs comptes avec SAML intégré

Les équipes de grandes entreprises utilisant plusieurs comptes Wrike avec une authentification unique basée sur SAML via le même fournisseur d'identité peuvent intégrer tous leurs comptes dans un seul réseau. Les utilisateurs peuvent donc être invités aux comptes Wrike connectés ou les rejoindre en utilisant leurs identifiants d'entreprise via le fournisseur d'identité.

Remarque : plusieurs conditions préalables sont requises pour la mise en œuvre de ce dispositif et il ne peut être activé que par le service client Wrike. Veuillez contacter l'assistance clientèle de Wrike pour plus d'informations.

Et après ?

Haut

Articles associés