Introduction à l’authentification unique (SSO)

Les commandes d’authentification unique (SSO) permettent l’accès à de multiples systèmes logiciels reliés, mais indépendants. L’utilisateur peut ainsi se connecter au réseau de l’entreprise une première fois et ensuite accéder à tous les systèmes sans devoir se connecter de nouveau à chacun d’eux. Pour obtenir de plus amples informations générales sur les SSO, consultez l’article Wikipédia sur l’authentification unique.

Le système Emburse Enterprise prend en charge SSO au moyen du protocole SAML, une méthode standard qui facilite l’échange de messages d’authentification contenus dans les documents XML entre le fournisseur d’identité (Identity Provider, IdP), le fournisseur de service (Service Provider, SP) et l’utilisateur. L’authentification permet à l’utilisateur d’accéder à de multiples portails de logiciels à l’extérieur du point d’accès Intranet d’une organisation sans devoir se connecter à nouveau.

Actuellement, Emburse Enterprise fournit un service SAML initié par l’IdP et le SP, y compris les versions 1.1 et 2.0 de SAML. Dans le cas de SAML 2.0, nous prenons aussi en charge le cryptage de l’assertion de l’IdP dans la réponse d’authentification SAML, ainsi que l’attribution d’un certificat X.509. La capacité de cryptage de l’assertion IDP permet de remédier au problème que pose l’usurpation de l’identité des utilisateurs autorisés par des utilisateurs non autorisés lorsque le message d’assertion IdP est intercepté. Pour de plus amples renseignements sur le protocole SAML 2.0 en général, consultez l’article Wikipédia SAML 2.0.

Configuration de SSO avec Emburse Enterprise

Étape 1 : Ouvrir un ticket d’assistance

Pour commencer à utiliser un service d’authentification SAML pour Emburse Enterprise, veuillez envoyer un ticket d’assistance. Assurez-vous d’y inclure les informations suivantes :

• Nom du fournisseur d’identité (p. ex., Okta, Microsoft ADFS, OneLogin, Azure Active Directory)

• Métadonnées SSO du fournisseur d’identité

• Les métadonnées sont couramment fournies sous forme de fichier XML au sein de vos paramètres de fournisseur d’identité.

• Les métadonnées doivent minimalement contenir le certificat X.509 et l’URL de redirection de l’IdP de SAML.

Étape 2 : Valider les paramètres du pare-feu

Dans votre ticket d’assistance, vous pouvez demander les noms d’hôte de production et, le cas échéant, d’hôte AQ/UAT à partir desquels les messages d’Emburse Enterprise seront émis. Assurez-vous que le pare-feu de votre organisation leur autorise l’accès.

Étape 3 : Terminez la configuration au sein des paramètres du fournisseur d’identité

1. Sur le serveur du fournisseur d’identité, établissez une connexion avec le système Emburse Enterprise. Votre interlocuteur du Service d’assistance vous communiquera les informations suivantes :

• ID de l’entité

• Assertion Consumer Service (URL de réponse)

2. Ajouter un attribut d’authentification : E-mail, ID unique ou nom d’utilisateur.

3. Assurez-vous que l’application de SSO nouvellement créée est attribuée aux bons utilisateurs.

Détails de configuration supplémentaires pour les fournisseurs d’identité communs

Microsoft Azure Active Directory (AD)

• Créez une nouvelle application personnalisée de SSO à l’aide du guide de configuration Azure AD.

• Identifiant (ID de l’entité) et URL de réponse (les valeurs seront fournies par Emburse Enterprise).

• Pour les attributs & les revendications des utilisateurs : L’attribut sélectionné doit correspondre à l’adresse électronique « AdresseE-mail », l’ID unique de l’employé « IDEmployé » ou nom d’utilisateur « NomUtilisateur » dans les profils de vos utilisateurs Emburse Enterprise.

• Par exemple, si vous choisissez « user.userprincipalname », cette valeur doit correspondre à l’adresse électronique, à l’ID unique de l’employé ou au nom d’utilisateur dans Emburse Enterprise.

Microsoft Active Directory Federation Services (ADFS)

• Créer une nouvelle application personnalisée SSO SAML

• Renseignez les identifiants d’une partie identificatrice (les valeurs seront fournies par Emburse Enterprise).

• Ajoutez les terminaux d’assertion de client SAML (les valeurs seront fournies par Emburse Enterprise).

• Ajoutez des règles de réclamation : Envoyez les attributs d’utilisateur comme IDNom (type sortant).

• Vérifiez que la valeur de l’attribut sélectionné dans vos règles de réclamation correspond à l’adresse électronique « AdresseE-mail », à l’ID unique de l’employé « IDEmployé » ou au nom d’utilisateur « NomUtilisateur » dans les profils de vos utilisateurs Emburse Enterprise.

• Par exemple, adresse électronique dans ADFS = Adresse électronique dans Emburse Enterprise.

Okta

• Configurer une nouvelle application personnalisée SAML

• Renseignez l’URL ACS et l’ID de l’entité (les valeurs seront fournies par Emburse Enterprise).

• Précisez le format de IDNom (soit AdresseE-mail ou non précisé).

• Vérifiez que la valeur de l’attribut sélectionné correspond à l’adresse électronique « AdresseE-mail », à l’ID unique de l’employé « IDEmployé » ou au nom d’utilisateur « NomUtilisateur » dans les profils de vos utilisateurs Emburse Enterprise.

• Par exemple, adresse électronique dans Okta = adresse électronique dans Emburse Enterprise.

OneLogin

• Configurer une nouvelle application personnalisée SAML

• Ajoutez l’IDClient, l’emplacement et l’environnement (les valeurs seront fournies par Emburse Enterprise).

• Précisez les paramètres des attributs, p. ex., IDNom (non précisé).

• Vérifiez que la valeur de l’attribut sélectionné correspond à l’adresse électronique « AdresseE-mail », à l’ID unique de l’employé « IDEmployé » ou au nom d’utilisateur « NomUtilisateur » dans les profils de vos utilisateurs Emburse Enterprise.

• Par exemple : Adresse électronique dans OneLogin = Adresse électronique dans Emburse Enterprise.

Workspace ONE

• Créer une nouvelle application SSO SAML

• Précisez l’URL d’authentification unique, l’URL du destinataire et l’ID de l’application (les valeurs seront fournies par Emburse Enterprise).

• Propriétés avancées : Inclure la signature d’assertion = Oui.

• Sign assertion = Non

• Sign assertion = Oui

• Vérifiez que la valeur de l’attribut sélectionné correspond à l’adresse électronique « AdresseE-mail », à l’ID unique de l’employé « IDEmployé » ou au nom d’utilisateur « NomUtilisateur » dans les profils de vos utilisateurs Emburse Enterprise.

Shibboleth

• Créer une nouvelle application SSO SAML

• Renseignez l’ID de l’entité et l’URL ACS (les valeurs seront fournies par Emburse Enterprise).

• Précisez que la valeur IDNom devrait correspondre au profil CR.

• Vérifiez que la valeur de l’attribut IDNom sélectionné correspond à l’adresse électronique « AdresseE-mail », à l’ID unique de l’employé « IDEmployé » ou au nom d’utilisateur « NomUtilisateur » dans les profils de vos utilisateurs Emburse Enterprise.

• Par exemple, IDEmployé dans Shibboleth = IDUnique dans Emburse Enterprise.

• Veuillez fournir le facteur d’authentification pour IDNom.

• Par exemple, urn:oid:0.9.2342.19200300.100.1.3 (ce n’est pas nécessaire si le format IDNom n’est pas précisé).

Étapes de test et de validation

1. Configuration de confirmation des comptes d’utilisateurs

1. Assurez-vous que les utilisateurs qui testeront SSO possèdent des comptes auprès d’Emburse Enterprise et de votre fournisseur d’identité.

2. Assurez-vous qu’au sein des paramètres de votre fournisseur d’identité, l’application d’authentification nouvellement configurée d’Emburse Enterprise est attribuée aux utilisateurs qui la testeront.

2. Demande d’activation de connexion par SSO à des fins de tests de validation

Après avoir terminé les étapes de la configuration, contactez Emburse Enterprise via votre ticket d’assistance SSO d’origine afin de demander à ce que la connexion SSO soit activée pour les tests.

Lorsque la connexion par SSO aura été activée à des fins de test, l’écran de connexion manuelle d’Emburse Enterprise demeurera fonctionnel pour ne pas affecter les accès des utilisateurs existants.

Remarque : la connexion par SSO de test est automatiquement désactivée après quelques jours.

Si la fenêtre de test expire avant que vous n’ayez validé la configuration, contactez Emburse Enterprise à l’aide de votre ticket d’assistance SSO pour que la connexion de test soit rétablie.

3. Validation de la configuration en testant le lien de connexion par SSO

Demandez à vos utilisateurs de test d’utiliser une URL de connexion SSO pour l’application Emburse Enterprise sur leur navigateur Web d’ordinateur de bureau. L’URL de connexion SSO est différente de l’URL générique qui redirige les utilisateurs vers la page de connexion manuelle d’Emburse Enterprise.

Les SSO peuvent être testés avec l’un de deux liens de connexion :

• Pour le SSO initié par SP, vous pouvez utiliser l’URL de connexion fournie par votre fournisseur d’identité. Selon votre fournisseur d’identité, cette option peut s’afficher sur un tableau de bord Intranet dans vos autres applications SaaS.

• Pour la SSO initiée par le SP, Emburse Enterprise vous fournira une URL de connexion SSO spéciale.

Remarque : l’utilisation d’un navigateur d’ordinateur de bureau est recommandée lors de la validation de la configuration des SSO.

La connexion SSO est valide si vos utilisateurs de test sont connectés à l’application Emburse Enterprise après avoir cliqué sur le lien de connexion SSO.

La validation de SSO sur un ordinateur de bureau devrait faire en sorte que le SSO fonctionnera aussi sur iOS et Android, car le protocole d’authentification sous-jacent et les serveurs impliqués sont les mêmes.

4. Demande d’activation complète des SSO et étape finale

Après avoir vérifié que vos utilisateurs de test sont bien authentifiés dans Emburse Enterprise à l’aide de SSO, veuillez prévenir Emburse Enterprise par le biais de votre ticket d’assistance afin de commencer à coordonner l’activation SSO pour votre entreprise.

Veuillez noter qu’une fois les SSO complètement activés :

• L’écran de connexion manuelle d’Emburse Enterprise sera désactivé et toutes les demandes de connexion seront gérées exclusivement par SSO.
• Vos utilisateurs pourront se resservir de l’URL de connexion SSO appliquée pendant la validation et les tests pour se connecter à Emburse Enterprise par SSO.
• Vos utilisateurs devront désinstaller et réinstaller l’application mobile Emburse Enterprise sur leurs appareils (iOS et Android).
• Les administrateurs pourront mettre à jour le certificat SSO de votre organisation via l’écran d’administration de l’authentification unique .

Emburse Enterprise peut activer et désactiver SSO selon les besoins. D’autant que la configuration ait déjà été testée et validée, l’activation et la désactivation de SSO ne devraient pas exiger de changement à la configuration sous-jacente.

Veuillez nous contacter via le Service d’assistance pour toute demande d’activation ou de désactivation de SSO.

Message d’erreur « IDUtilisateur, IDEntreprise ou Mot de passe incorrect »

Après que les utilisateurs ont cliqué sur l’URL de connexion SSO, un écran de connexion Emburse Enterprise s’affiche avec le message d’erreur « IDUtilisateur, IDEntreprise ou Mot de passe incorrect ».

Cause 1 : L’utilisateur correspondant est introuvable dans Emburse Enterprise

1. Vérifiez que la personne possède un compte utilisateur dans Emburse Enterprise et que celui-ci est configuré sur « Actif » ou « En attente ».

2. Confirmez que votre fournisseur d’identité est configuré pour transmettre un attribut qui correspond à l’adresse électronique « AdresseE-mail », à l’ID unique de l’employé « IDEmployé » ou au nom d’utilisateur « NomUtilisateur » dans Emburse Enterprise.

• Si l’adresse e-mail comprend des caractères étrangers ou des lettres avec des accents, essayez plutôt d’utiliser l’ID de l’employé si cela est possible.

• Un changement de configuration d’Emburse Enterprise pourrait être requis pour prendre en charge l’authentification par nom d’utilisateur. Faites-nous savoir si vous transmettez cette valeur pour qu’Emburse Enterprise puisse mettre à jour sa configuration de façon appropriée.

3. Assurez-vous qu’un seul attribut soit transmis au fournisseur d’identité.

• Seul l’un des trois éléments suivants est nécessaire : l’adresse électronique « AdresseE-mail », l’ID unique de l’employé « IDEmployé » ou le nom d’utilisateur « NomUtilisateur » qui correspond à celui du profil d’utilisateur d’Emburse Enterprise.

• Le champ IDNom peut être utilisé pour n’importe laquelle des trois options.

Cause 2 : Incompatibilité du certificat — « Accès restreint. L’utilisateur n’existe pas. Veuillez contacter votre administrateur pour configurer un compte utilisateur Emburse Enterprise. »

Mettez à jour le certificat X.509 à l’aide de l’écran Administration de l’authentification unique d’Emburse Enterprise :

1. Dans Emburse Enterprise, ouvrez les paramètres administrateur et sélectionnez SÉCURITÉ > AUTHENTIFICATION UNIQUE.

2. Faites défiler la page jusqu’à votre certificat de sécurité et cliquez sur METTRE À JOUR.

3. Saisissez votre clé de certificat X.509.

4. S’il n’y a pas de correspondance, assurez-vous qu’il n’y a pas de saut de ligne ou d’espaces supplémentaires.

5. Cliquez sur ENREGISTRER.

Si vous n’avez pas accès à cet écran, un utilisateur administrateur de votre organisation pourra faire la mise à jour pour vous. Sinon, contactez le Service d’assistance et fournissez une version actuelle de votre fichier XML de métadonnées SSO, qui comprend généralement le certificat X.509.

Erreur de fournisseur d’identité

Ce type d’erreur survient sur une page Web qui n’est pas hébergée par Emburse Enterprise, c.-à-d. une page hébergée par votre fournisseur d’identité. Lorsque ceci arrive, l’URL dans la barre d’adresse ne comprend pas « chromeriver.com ».

Cause 1 : Configuration incorrecte au sein des paramètres du fournisseur d’identité

• Assurez-vous que l’URL ACS (URL de redirection) et que l’IDEntité sont configurées correctement.

• Retirez tout espace ou toute barre au début ou à la fin des URL ci-dessus.

• Essayez de modifier l’IDEntité ou l’URL de réponse dans les paramètres SSO du fournisseur d’identité à l’aide de l’URL affichée dans le message d’erreur.

• Dans l’exemple ci-dessus, vous utiliseriez http://www.chromeriver.com comme IDEntité ou URL de réponse.

• Reconfigurez manuellement l’application SSO au sein de votre fournisseur d’identité comme une application SSO SAML personnalisée plutôt que d’utiliser une application modèle SSO préconfiguré.

Cause 2 : Paramètres réseau

• Vérifiez toutes les exigences spéciales de réseau auprès de votre équipe des TI ou sysadmin.

• Par exemple, votre réseau pourrait nécessiter des autorisations VPN ou de pare-feu pour que le SSO fonctionne correctement.

Cause 3 : Rôles d’utilisateur et accès

• Assurez-vous que vos utilisateurs ont l’accès nécessaire à l’application SSO d'Emburse Enterprise au sein de vos paramètres de fournisseur d’identité.

Message « Erreur système 500 »

Cause : URL d’IdP non valide

• Ouvrez un ticket d’assistance pour vérifier que l’URL IdP configurée dans le système Emburse Enterprise est valide et commence par « http:// »

Erreur de navigateur « Ce site ne peut pas être atteint »

Cause : URL de connexion initiée par SP non valide

• Ouvrez un ticket d’assistance pour vérifier que l’URL de connexion initiée par le SP est valide.

Certificat d’authentification pour l’application mobile Chrome River.

L’ancienne application Chrome River prend en charge l’authentification par certificat, ce qui permet aux utilisateurs de s’authentifier avec leurs identifiants SSO et dans l’application Chrome River à l’aide d’un certificat de fournisseur d’identité (Identity Provider, IdP) ou de fournisseur de service (Service Provider, SP) fourni par votre gestion des appareils mobiles plutôt que de saisir leurs identifiants SSO.

Votre organisation devra travailler avec votre gestion des appareils mobiles et votre IdP pour

1. installer un certificat IdP sur les appareils des utilisateurs.

2. Configurez votre IdP pour accepter le certificat à l’aide d’un navigateur Web.

Une fois ces deux critères respectés, les utilisateurs pourront ouvrir une session dans l’application Emburse Enterprise à l’aide du certificat.

SSO pour l’application mobile Chrome River

Une fois que vous avez configuré SSO pour Emburse Enterprise en suivant les étapes ci-dessus, vous pouvez le configurer pour l’application Chrome River.

SP vs IdP

La SSO initiée par le SP est la manière recommandée d’implémenter la SSO pour l’application mobile Chrome River. Seuls les clients qui configurent un accès initié par SP (ou qui utilisent une connexion non-SSO) pourront profiter de l’expérience utilisateur et de la sécurité améliorées de l’application mobile Chrome River.

Pour les clients avec une configuration mobile initiée par l'IDP, la durée de la session Web des utilisateurs sera identique à celle que votre entreprise a configurée pour l’accès à Emburse Enterprise via un navigateur Web. Cela signifie que les utilisateurs devront se connecter plus fréquemment.

Pour faire passer la configuration de votre entreprise d'IdP au SP, ouvrez un ticket d'assistance.

Pour plus de détails sur la connexion à l’application mobile Chrome River, cliquez ici.

Connexion et durée de la session

La durée de la session d’un utilisateur dans l’application mobile Chrome River dépend de la manière dont votre entreprise en a configuré l’accès.

Connexion standard ou SSO initiée par le fournisseur d’accès

Si votre entreprise utilise la connexion standard Emburse Enterprise ou la connexion SSO (authentification unique) initiée par le SP pour l’application mobile Chrome River, vous resterez connecté pendant au moins 30 jours. La session sera prolongée de 30 jours chaque fois qu’ils utiliseront l’application, jusqu’à un maximum de 90 jours.

Si l’application reste inactive pendant 15 minutes, les utilisateurs devront la déverrouiller à l’aide de la biométrie ou du code NIP de leur appareil, mais ils ne seront pas obligés de se reconnecter.

les utilisateurs qui n’ont pas de méthode de sécurité configurée sur leurs appareils ne pourront pas rester connectés à l’aide de la session de 30 jours, car l’appareil ne sera pas considéré comme sécurisé. Les utilisateurs seront complètement déconnectés après 15 minutes d’inactivité.<></>

SSO initiée par IDP 

Si votre entreprise utilise la connexion SSO initiée par l’IdP, la durée de la session sur l’application mobile Chrome River sera identique à celle que votre entreprise a définie pour l’accès à Emburse Enterprise via le navigateur Web. Par défaut, cette durée est de 1 heure, la durée maximale configurable de la session étant de 12 heures.

SSO pour l’application mobile Emburse Enterprise

Une fois que vous avez configuré SSO pour Emburse Enterprise en suivant les étapes ci-dessus, vous pouvez la configurer pour l’application mobile Emburse Enterprise. L’application peut lire différentes configurations SSO et gérer plusieurs IdP. Lorsqu’un utilisateur saisit son adresse électronique dans l’application Emburse Enterprise Mobile, il reçoit une liste de domaines IdP pour effectuer un choix. Une fois que l’utilisateur a sélectionné un domaine, la page de connexion pour cette SSO/IdP apparaîtra pour permettre à l’utilisateur de se connecter avec ses identifiants.

SP vs IdP

L’initiation par le SP est le moyen recommandé de mettre en œuvre SSO pour l’application Emburse Enterprise Mobile, mais votre entreprise peut être en mesure d’utiliser une configuration mobile initiée par l'IDP. Vous devrez tester si votre configuration initiée par l'IDP fonctionne avec Emburse Enterprise Mobile pendant votre mise en œuvre de la SSO. Si cela ne fonctionne pas, votre entreprise peut configurer une intégration supplémentaire initiée par le SP pour l’application Emburse Enterprise Mobile ou utiliser l’initiation par le SP à la fois sur le Web et sur les appareils mobiles.

Pour obtenir des informations détaillées sur la connexion à Emburse Enterprise Mobile, cliquez ici.

Connexion et durée de la session

Les utilisateurs resteront connectés pendant au moins 30 jours. La session sera prolongée de 30 jours chaque fois qu’ils utiliseront l’application, jusqu’à un maximum de 90 jours.

Si l’application reste inactive pendant 15 minutes, les utilisateurs devront la déverrouiller à l’aide de la biométrie ou du code NIP de leur appareil, mais ils ne seront pas obligés de se reconnecter.

Authentification par courriel pour l’application Emburse Enterprise Mobile

Les clients qui ont mis en place des politiques de gestion des appareils mobiles qui rendent difficile la connexion des appareils personnels à l’application Emburse Enterprise Mobile via SSO peuvent choisir de demander aux utilisateurs de se connecter à l’aide de l’authentification par courriel.

Si vous activez cette option pour votre entreprise, les utilisateurs saisiront leur adresse e-mail et recevront un code d’accès à usage unique (One-Time Passcode ou OTP) qu’ils devront saisir dans l’application mobile pour se connecter. Les utilisateurs restent connectés à l’application Emburse Enterprise Mobile avec toutes les fonctionnalités de capture de reçus pour une durée de session de 30 à 90 jours similaire à la connexion SSO.

Notez que l’authentification par e-mail doit être activée pour tous les utilisateurs de votre entreprise. Il n’est pas possible de l’activer pour certains utilisateurs uniquement et de permettre à d’autres utilisateurs de continuer à se connecter via SSO. En outre, les utilisateurs n’auront accès qu’aux fonctionnalités liées à la capture de reçus de l’application Emburse Enterprise Mobile, et non aux fonctionnalités liées aux notes de frais, aux rapports de préapprobation et aux capacités d’approbation qui seront ajoutées à Emburse Enterprise Mobile dans les versions futures.

Si vous souhaitez profiter de cette amélioration, veuillez ouvrir un ticket d’assistance.

Annuler l’autorisation pour l’application Chrome River ou la session Emburse Enterprise Mobile après le départ d’un utilisateur

Si un utilisateur a une session mobile active, mais qu’il a quitté votre entreprise, sa session mobile sera annulée et il sera déconnecté dès que son dossier personnel Emburse Enterprise sera mis à jour et passera au statut Supprimé ou Parti via l’écran Administration du personnel, le flux de données de la personne ou l’API de la personne. Pour plus d’informations, voir l’écran d’administration du personnel.