Configurer un SSO d’instance

Le Single Sign-On (SSO) permet aux utilisateurs de se connecter à Reemo en utilisant leurs identifiants existants de l’entreprise, sans avoir à gérer de mots de passe supplémentaires.

Cette intégration améliore à la fois la sécurité et la simplicité d’utilisation, tout en permettant aux administrateurs d’appliquer leurs politiques d’authentification et de conformité de manière centralisée.

Reemo prend en charge plusieurs méthodes d’intégration SSO:

  • Le SAML (Security Assertion Markup Language) est un standard ouvert qui permet à un fournisseur de services (ici Reemo) de faire confiance à un fournisseur d’identité pour authentifier les utilisateurs. C’est la méthode la plus courante pour le SSO dans les applications web.

    Exemples de fournisseurs : Microsoft Entra ID (Azure AD), Okta, Google Workspace, Auth0.

  • Le LDAP (Lightweight Directory Access Protocol) est un protocole permettant d’interroger et de modifier des services d’annuaire. Il est souvent utilisé pour l’authentification centralisée en se connectant à un annuaire d’entreprise existant.

    Exemples de fournisseurs : Microsoft Active Directory, OpenLDAP.

Chaque méthode nécessite une configuration spécifique côté Reemo et côté fournisseur d’identité. Pour cela rendez-vous dans le menu SSO Connectors de votre instance.

Guides de création

contacts
Configurer via LDAP
Configurer un connecteur SSO lié à un annuaire LDAP
../guides/ldap.html
graph_4
SAML avec Microsoft Entra ID
Configurer un connecteur SSO SAML sur Microsoft Entra ID
../guides/saml-azure.html
communities
SAML avec Okta
Configurer un connecteur SSO SAML sur Okta
../guides/saml-okta.html

Options avancées

Lors de la configuration d’un connecteur SSO, des options avancées permettent d’automatiser la gestion des utilisateurs et leur rattachement aux bonnes ressources:

Just In Time Provisioning

En activant Just In Time Provisioning, les utilisateurs issus du serveur SAML sont automatiquement créés dans Reemo lors de leur première connexion réussie, même s’ils n’ont pas été ajoutés manuellement par un administrateur.
Cela simplifie considérablement le déploiement, puisqu’aucune action préalable n’est nécessaire pour provisionner les comptes.

Note

En activant le JIT, vous serez invité à choisir à quelle organisation les utilisateurs seront rattachés. Assurez vous d’avoir créé l’organisation correspondante en amont. Vous pouvez revenir éditer votre connecteur SSO à tout moment.

Mapping automatique de collections

La section Extra Mapping permet de définir des règles pour associer automatiquement des utilisateurs à des collections de conteneurs, en fonction des attributs renvoyés par le fournisseur d’identité SAML.

  • Champ SAML à mapper : nom de l’attribut (par exemple department, group, etc.).

  • Type de correspondance : choix du mode d’évaluation (exemple : REGEX pour appliquer une expression régulière).

  • Valeur attendue : la valeur ou le motif qui, lorsqu’il est présent dans l’attribut, déclenche l’association à la collection choisie (ex. internet).

Cela permet d’automatiser l’accès : un utilisateur dont le champ SAML correspond à la règle définie sera automatiquement ajouté à la collection concernée.

Exemple : Si l’attribut SAML department correspond à la valeur internet, alors l’utilisateur sera automatiquement ajouté à la collection Internet Navigation si cette collection a internet comme identifier.