Tous les articles

SSO avec SAML : Guide de mise en œuvre

Tableau 39. Disponibilité - Anciens plans


Aperçu

Les propriétaires et les administrateurs de compte ayant la permission de Configurer les paramètres de sécurité avancée peuvent activer l'authentification unique (SSO) pour le compte.

Les utilisateurs du plan Enterprise peuvent accéder à Wrike avec leurs identifiants d'entreprise si l'authentification unique basée sur SAML (intégration SSO/SAML) est activée pour leur compte. L'authentification unique (SSO) est le terme général pour les différentes techniques qui permettent à un utilisateur d'accéder à plusieurs applications depuis un seul point d'autorisation, géré par un fournisseur d'identité (IDP). Security Assertion Markup Language (SAML 2.0) est un standard reconnu pour l'échange des données d'authentification et d'autorisation prises en charge par Wrike en tant que fournisseur de services (SP). Aucun mot de passe réel n'est transféré vers ni depuis Wrike pendant l'autorisation. Au lieu de cela, Wrike reçoit la confirmation SAML de l'identité de l'utilisateur, qui est valide pour une durée limitée et signée numériquement.

Pour en savoir plus sur le fonctionnement de l'authentification unique après son activation, veuillez consulter notre page : SSO avec SAML : Guide de l'utilisateur.

Les avantages d'utiliser l'authentification unique

  • La gestion évolutive des utilisateurs pour les grandes entreprises. Avec le provisionnement just-in-time, vous pouvez gagner du temps à la configuration de votre compte d'entreprise et des méthodes de gestion. Wrike peut créer un profil d'utilisateur dans votre compte chaque fois qu'un nouvel utilisateur de votre répertoire se connecte à Wrike via SSO — aucune invitation supplémentaire n'est requise. Les employés qui sont supprimés de votre répertoire d'entreprise perdront automatiquement l'accès à l'abonnement Wrike de l'entreprise, mais leurs tâches et leurs historiques d'activité resteront intacts.

  • Un format homogène pour les noms d'utilisateur. L'identité de l'utilisateur est gérée depuis un emplacement central, les noms d'utilisateur Wrike correspondent donc aux noms de votre répertoire.

  • Le respect des recommandations en matière de sécurité interne. Vos administrateurs informatiques ont un meilleur contrôle sur les processus d'authentification. Les utilisateurs ne peuvent pas modifier leur nom ou leur adresse e-mail eux-mêmes. Toutes les politiques de sécurité que vous avez adoptées en interne seront également en vigueur pour Wrike.

  • Une réduction de la fatigue des mots de passe pour les utilisateurs. Une fois qu'un utilisateur se connecte au réseau de l'entreprise, il peut ouvrir Wrike sans avoir à saisir un autre ensemble d'identifiants de connexion.

  • La facilité d'accès offerte par SSO est un levier pour une adoption harmonieuse de Wrike. Vous pouvez également surveiller l'activité de connexion et utiliser les statistiques SSO collectées pour suivre l'adoption de Wrike.

Les inconvénients de l'authentification unique

Une fois l'intégration SSO/SAML activée, les utilisateurs inclus dans le SSO ne pourront pas :

  • Modifier leurs noms dans Wrike. Les noms et prénoms sont attribués par votre fournisseur d'identité.

  • Apporter des modifications à leur adresse e-mail à partir de leur profil Wrike, comme ajouter des adresses supplémentaires par exemple. Un administrateur Wrike peut cependant le faire pour eux.

  • Activer la validation en deux étapes via Wrike. Si vous souhaitez protéger votre compte avec cette fonctionnalité de sécurité, elle doit être configurée avec votre fournisseur d'identité.

  • Se connecter à Wrike à l'aide d'un mot de passe Wrike. En règle générale, ils seront redirigés vers la page de connexion gérée par votre fournisseur d'identité lorsqu'ils essaieront d'accéder à Wrike dans leur navigateur. Certains outils intégrés ne prennent pas en charge le SSO de manière native (c'est par exemple le cas de l'outil de sauvegarde et des applis API-v2 existantes). Les utilisateurs SSO devront générer des mots de passe à usage unique pour autoriser ces outils. Veuillez noter que la connexion avec les identifiants Microsoft ou les identifiants Google ne sera pas non plus possible.

Définir le champ d'application de l'authentification unique

La façon dont vous configurez votre SSO dépend de la façon dont vous utilisez (ou prévoyez d'utiliser) Wrike. Si :

  • Wrike n'est utilisé que par les employés de l'entreprise : l'authentification unique peut être activée pour tous les utilisateurs du compte.

  • Wrike est utilisé à la fois par les employés et les personnes extérieures à l'entreprise : l'authentification unique peut être activée pour les utilisateurs en fonction de leur domaine de messagerie.

    Remarque

    Dans ce cas, vous devez ajouter et approuver les domaines de messagerie via l'onglet Sécurité de la section Gestion des comptes avant d'activer le SSO avec SAML. Les utilisateurs possédant des e-mails avec des domaines de messagerie approuvés peuvent se connecter à Wrike via le SSO, et les utilisateurs avec des e-mails sans domaines de messagerie approuvés se connecteront via un nom d'utilisateur et un mot de passe Wrike. Les domaines de messagerie doivent appartenir à l'entreprise pour être approuvés.

    Si vous souhaitez ajouter des domaines approuvés supplémentaires après l'activation du SSO, un administrateur devra suivre le même processus que décrit plus haut.

    Dans la plupart des cas, le processus d'approbation nécessite l'aide de votre équipe informatique, car les enregistrements DNS (Domain Name System) des domaines doivent être mis à jour. Nous vous recommandons d'ajouter des domaines approuvés avant d'activer SAML, afin qu'ils s'appliquent immédiatement une fois le SAML activé.

  • Il y a également un mode optionnel : tous les membres du compte pourront se connecter en utilisant un mot de passe ou une connexion via un IDP. Cette option est configurée par défaut et est utile pour tester la nouvelle intégration SSO.

    Remarque

    Avec le mode optionnel, les utilisateurs sont guidés sur la page login.wrike.com/login pour suivre le même processus de connexion que si le SSO avec SAML n'était pas configuré pour le compte.

    Pour parcourir le flux SSO avec SAML, utilisez la page login.wrike.com/sso .

Conditions préalables à l'activation de l'authentification unique

Avant d'activer l'authentification unique, il est important de vérifier que :

  • L'adresse e-mail associée au compte Wrike de chaque utilisateur correspond à son adresse e-mail dans le répertoire de l'entreprise.

  • L'authentification unique n'est pas encore activée pour le compte. Pour vérifier cela :

    • Cliquez sur votre image de profil.

    • Sélectionnez Paramètres dans la liste déroulante.

    • Cliquez sur Sécurité dans le panneau de gauche.

    • Dans la page Sécurité, faites défiler jusqu'à la section SSO avec SAML.

    • Vérifiez que l'étiquette Désactivé apparaît à côté de l'entête SSO avec SAML.

De plus, vous devez vérifier la compatibilité :

  • Assurez-vous que votre fournisseur d'identité ou d'authentification unique prend en charge l'authentification fédérée avec SAML 2.0. La liste des solutions d'authentification unique compatibles comprend, sans s'y limiter : Okta, OneLogin, PingFederate, Microsoft AD FS et Google Apps identity service. Si vous utilisez les services de gestion d'identité fournis par Okta, vous pouvez ajouter Wrike à votre liste d'applications en suivant ces instructions.

  • Pour configurer une authentification unique basée sur SAML personnalisée pour votre compte, veuillez consulter notre fichier de métadonnées pour les paramètres et options standard utilisés par Wrike. Vous devez inclure les attributs d'utilisateur suivants : Prénom, Nom de Famille, ID du nom (cela doit être une adresse e-mail).

Activer l'authentification unique

  1. Cliquez sur votre image de profil.

  2. Sélectionnez Paramètres dans la liste déroulante.

  3. Cliquez sur Sécurité dans le panneau de gauche.

  4. Dans la page Sécurité, faites défiler jusqu'à la section SSO avec SAML.

  5. Cliquez sur le bouton Configurer le SSO avec SAML.

  6. Dans la fenêtre qui s'ouvre, configurez votre fournisseur d'identité avec les métadonnées Wrike et cliquez sur Continuer.

  7. Ensuite, il vous sera demandé de spécifier les métadonnées de votre fournisseur. Vous pouvez sélectionner l'une des deux options suivantes :

    • Saisir un lien pour fournir le XML

    • Saisissez le XML comme texte.

  8. Cliquez sur Oui.

  9. Vérifiez que vous avez choisi les bons paramètres et validez votre décision en cliquant sur le bouton Continuer et activer SAML .

  10. Un e-mail vous sera envoyé avec le code pour confirmer la mise en œuvre de l'authentification unique.

  11. Saisissez le code de l'e-mail dans la fenêtre contextuelle qui s'ouvre.

  12. Cliquer sur Confirmer.

  13. (Facultatif) Testez les nouveaux paramètres du compte.

  14. Cliquez sur le bouton Enregistrer les paramètres SAML.

Nous vous recommandons d'effectuer des tests d'acceptation par les utilisateurs et de tester différents cas d'utilisation immédiatement après l'activation de l'authentification unique. Vous trouverez plus d'informations sur l'utilisation de l'authentification unique après son activation sur notre page Authentification unique basée sur SAML .

Remarque

Les tâches, les dossiers et les projets ne sont pas automatiquement partagés entre les utilisateurs SSO. Pour en savoir plus sur le partage des tâches, des dossiers et des projets, consultez nos pages d'aide. En outre, les groupes d'utilisateurs internes ne sont pas automatiquement transférés vers Wrike, mais vous pouvez facilement créer groupe d'utilisateurs dans Wrike.

Ajouter des domaines de messagerie approuvés

Remarque

Pour ajouter des domaines de messagerie approuvés vous pouvez avoir besoin de l'assistance de votre équipe informatique.

  1. Cliquez sur votre image de profil dans le coin supérieur droit de l’espace de travail Wrike.

  2. Sélectionnez Paramètres dans la liste déroulante.

  3. Cliquez sur Sécurité dans le panneau de gauche.

  4. Faites défiler jusqu'à la section Domaines approuvés.

  5. Cliquez sur Ajouter un domaine et saisissez le domaine de messagerie approprié.

  6. Cliquez sur Ajouter.

  7. La fenêtre contextuelle apparaît avec des instructions sur l'approbation des domaines.

  8. Suivez les instructions. L'approbation des domaines peut prendre jusqu'à 24 heures et peut nécessiter l'assistance de votre équipe informatique.

  9. Cliquez sur Enregistrer les paramètres.

  10. L'e-mail avec le code de confirmation sera envoyé à votre adresse e-mail principale.

  11. Copiez le code de votre e-mail et collez-le dans la fenêtre contextuelle qui apparaît.

  12. Cliquez sur Confirmer.

Autoriser les utilisateurs à rejoindre plusieurs comptes avec SAML intégré

Les équipes de grandes entreprises utilisant plusieurs comptes Wrike avec une authentification unique basée sur SAML via le même fournisseur d'identité peuvent intégrer tous leurs comptes dans un seul réseau. Les utilisateurs peuvent donc être invités aux comptes Wrike connectés ou les rejoindre en utilisant leurs identifiants d'entreprise via le fournisseur d'identité.

Remarque: Il existe plusieurs conditions préalables à la mise en œuvre de ce schéma, et il ne peut être activé que par le support client de Wrike. Veuillez contacter l'assistance clientèle de Wrike pour plus d'informations.

Haut de la page