Configuration de l’authentification unique pour les utilisateurs et utilisatrices Workfront Proof
Si vous disposez de la formule Select ou Premium, vous pouvez fournir une fonctionnalité d’authentification unique (SSO) qui vous permet d’utiliser le nom d’utilisateur ou d’utilisatrice et le mot de passe de votre organisation pour accéder à votre compte Workfront Proof.
Cela signifie que vous vous authentifierez avec votre propre système de connexion, et non pas avec la page de connexion Workfront Proof.
Activation de l’authentification unique dans Workfront Proof
La fonctionnalité d’authentification unique peut être activée sur l’onglet Authentification unique de vos Paramètres du compte, et s’appliquera à tous les utilisateurs et utilisatrices de votre compte Workfront Proof. Consultez les Paramètres du compte pour en savoir plus.
ID d’entité
En tant que fournisseur, nous avons publié notre ID d’entité ici :
https://yoursubdomain.proofhq.com/saml/module.php/saml/sp/metadata.php/phq (où « yoursubdomain » est le sous-domaine de votre compte)
Workfront Proof requiert l’adresse e-mail de l’utilisateur ou de l’utilisatrice comme identifiant unique, qui peut être transmis comme l’un des attributs suivants :
- urn:mace:dir:attribute-def:emailAddress
- http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
- http://schemas.xmlsoap.org/claims/EmailAddress
- urn:oid:0.9.2342.19200300.100.1.3
- http://axschema.org/contact/email
- openid.sreg.email
- emailAddress
Pour configurer l’authentification unique :
-
Ouvrez l’onglet Authentification unique (1).
-
Saisissez l’URL d’authentifiation unique (2).
Il s’agit du lien vers votre serveur d’authentification unique (par exemple : https://sso.mycompany.com/opensso). -
Saisissez l’URL de connexion (3).
Il s’agit de l’URL qui sera appelée pour rediriger les utilisateurs et utilisatrices vers votre fournisseur d’identité. -
Il ne s’agit pas d’une URL réelle que vous saisissez dans le navigateur, mais plutôt d’un point d’entrée qui traite les informations que nous lui envoyons afin de présenter l’écran de connexion.
Saisissez l’URL de déconnexion (4).
Il s’agit de l’URL à laquelle vous revenez après votre déconnexion, par exemple.
https://www.yourcompany.com/services/logout.asp
-
Saisissez l’empreinte du certificat (5).
-
L’empreinte SHA1 du certificat SAML fourni par votre fournisseur d’identité SAML.
-
Veillez à inclure les informations clés en définissant ce qui suit sur votre fournisseur d’identité.
-
Définissez SSO sur Activée (6).
Une fois l’authentification unique activée, vous et les autres utilisateurs et utilisatrices de votre compte vous connectez à l’aide de votre propre mécanisme d’authentification. Cela signifie que lorsque les utilisateurs et utilisatrices accèdent à votre écran de connexion au compte Workfront Proof (par exemple, yourcompany.proofhq.com/login), il leur sera demandé d’ouvrir la fenêtre de transfert de votre propre page de connexion à l’authentification. -
(Facultatif) Activez Allouer automatiquement les utilisateurs et utilisatrices (7).
Une fois cette option activée, les comptes d’utilisateurs sont automatiquement créés pour les personnes qui n’ont pas leur propre profil Workfront Proof, mais qui accèdent à votre compte Workfront Proof à l’aide de leurs identifiants d’authentification unique. Cette action sera effectuée uniquement si la limite d’utilisateur et d’utilisatrice n’est pas encore atteinte pour votre compte. -
Les autorisations de profil Manager sont attribuées par défaut aux nouveaux utilisateurs et nouvelles utilisatrices alloués. Pour en savoir plus, voir Profils d’autorisations ds épreuves dans Workfront Proof.
Activation de l’authentification unique pour les comptes satellites
Lorsque des comptes satellites sont connectés à votre compte hub, vous pouvez les administrer au niveau du compte hub.
L’authentification unique est une fonctionnalité Select et Premium, et peut donc être activée uniquement sur les satellites des formules Select et Premium.
-
Cliquez sur Paramètres > Paramètres du compte (1).
-
Cliquez sur le compte satellite dans le menu déroulant (2).
-
Ouvrez l’onglet Authentification unique (3).
-
Vous pouvez maintenant modifier la configuration de l’authentification unique (4).
-
Vous disposez ici de deux méthodes (5) de configuration : -
Héritée : authentification unique avec la configuration extraite de votre compte hub.
Si une personne accède à Workfront Proof par le biais de la page de connexion par défaut (https://www.proofhq.com/login) il y aura deux niveaux d’autorisation : d’abord, la personne est invitée à se connecter à l’aide des données d’accès Workfront Proof (adresse e-mail et mot de passe), puis elle est transférée via une fenêtre d’authentification unique vers la page de connexion via authentification unique.
Par conséquent, avec le service d’authentification unique activé, nous vous recommandons de vous connecter par l’intermédiaire de votre propre sous-domaine/domaine Workfront Proof.note note NOTE Pour le moment, lorsque l’authentification unique est activée sur votre compte Workfront Proof, vous ne pouvez pas vous connecter à l’application iPhone avec ces informations d’identification. -
Manuelle (par défaut) : authentification unique avec une configuration différente (pointant par exemple vers un autre fournisseur d’identité).
note note NOTE Si le compte satellite hérite de la configuration d’authentification unique du compte hub, l’écran de connexion sera celui du compte hub. Lorsque la personne du compte satellite renseigne ses détails de connexion via authentification unique sur cette page, elle est redirigée vers le compte satellite. -
Cliquez sur Enregistrer (6).
-
Paramètres d’authentification unique hérités d’un compte hub
Lorsque vous choisissez d’hériter des paramètres de votre compte hub, vous remarquerez que tous les champs sont désormais renseignés avec les données de votre compte hub (7) et que l’authentification unique est automatiquement activée/désactivée (8) comme sur votre compte principal. Il n’existe plus de liens de modification dans les champs, car l’ensemble de la configuration d’authentification unique pour le compte satellite est maintenant définie et gérée à partir de votre compte hub.
Dans votre compte hub (9), le champ Utilisation de l’authentification unique indique que cette configuration est utilisée par les comptes satellites (10).
Authentification unique configurée manuellement
Si vous avez choisi la configuration d’authentification unique manuelle pour un compte satellite (1), vous devez saisir manuellement les données de l’authentification unique.
-
Cliquez sur Paramètres > Paramètres du compte (1).
-
Ouvrez l’onglet Authentification unique.
-
Cliquez sur Modifier, renseignez le champ, puis cliquez sur Enregistrer (2).
-
Sur la ligne SSO, cliquez sur Activé (3).
Connexion via authentification unique
-
Cliquez sur Paramètres > Paramètres du compte (1).
-
Ouvrez l’onglet Authentification unique.
-
Assurez-vous que votre domaine/sous-domaine Workfront Proof (1) est configuré et que vos utilisateurs et utilisatrices accèdent à votre compte Workfront Proof par le biais de ce domaine/sous-domaine personnalisé.
Lorsque l’authentification unique est activée, l’URL de connexion au sous-domaine (yourcompany.proofhq.com/login, par exemple) affiche un écran de transfert (2) qui vous permet d’accéder directement à votre page de connexion via authentification unique.
-
Si un utilisateur ou une utilisatrice accède à Workfront Proof par le biais de la page de connexion par défaut (https://www.proofhq.com/login) il y aura deux niveaux d’autorisation. D’abord, la personne doit se connecter à l’aide des données d’accès Workfront Proof (adresse e-mail et mot de passe). Ensuite, elle est transférée via une fenêtre d’authentification unique (2) vers la page de connexion via authentification unique.
Par conséquent, avec le service d’authentification unique activé, nous vous recommandons de vous connecter par l’intermédiaire de votre propre sous-domaine/domaine Workfront Proof. -
Pour le moment, lorsque l’authentification unique est activée sur votre compte Workfront Proof, vous ne pouvez pas vous connecter à l’application iPhone avec ces informations d’identification.
À propos de l’ajout d’un nouvel utilisateur ou d’une nouvelle utilisatrice
Lorsque la fonctionnalité d’authentification unique est activée sur votre compte Workfront Proof, les nouveaux utilisateurs et utilisatrices ne reçoivent aucun e-mail de confirmation, car leurs comptes sont automatiquement activés et prêts à l’emploi.
À partir de votre page de connexion Workfront Proof, après avoir cliqué sur le bouton Connexion, les utilisateurs et utilisatrices sont redirigés vers votre page de connexion via authentification unique et invités à saisir leurs informations d’identification de connexion via authentification unique.
Services de fédération Active Directory (AD FS)
Les services de fédération Active Directory (AD FS) constituent un composant logiciel Microsoft qui peut être installé sur les systèmes d’exploitation Windows Server afin de fournir aux utilisateurs et utilisatrices un accès via authentification unique aux systèmes et applications situés au-delà des limites organisationnelles. Pour plus d’informations, voir « Services de fédération Active Directory » sur le site web de Microsoft Developer Network.
Le système Workfront Proof prend en charge SAML 2.0 et n’est compatible qu’avec AD FS version 2.0 ou ultérieure.
Voir Authentification unique dans Workfront Proof : configuration AD FS pour obtenir des instructions détaillées.