Intégration SSO/SAML
Centralisez l'authentification avec Single Sign-On. Intégrez SureMDM à votre fournisseur d'identité (Azure AD, Okta, Google Workspace, etc.).
Avantages du SSO
Le Single Sign-On (SSO) permet aux utilisateurs de se connecter une seule fois pour accéder à toutes les applications de l'entreprise. Moins de mots de passe à gérer, meilleure sécurité grâce au MFA centralisé, et provisionnement/déprovisionnement automatique des comptes.
Protocoles d'authentification supportés
SAML 2.0
Standard d'authentification basé sur XML. Compatible avec la plupart des fournisseurs d'identité d'entreprise.
Azure AD, Okta, OneLogin, Ping Identity
OAuth 2.0 / OpenID Connect
Protocole moderne basé sur les tokens. Idéal pour les applications cloud et mobiles.
Google, Microsoft, Auth0
LDAP / Active Directory
Intégration directe avec l'annuaire d'entreprise on-premise. Synchronisation des utilisateurs et groupes.
Microsoft AD, OpenLDAP
SCIM
Provisionnement automatique des utilisateurs. Création et suppression automatique des comptes.
Azure AD, Okta, OneLogin
Configuration SAML avec Azure AD
Côté Azure AD
- 1.1
Créez une application Enterprise
Azure Portal > Enterprise Applications > New Application > Create your own
- 1.2
Configurez le Single Sign-On SAML
- • Identifier (Entity ID) : https://suremdm.com/saml/<votre-compte>
- • Reply URL : https://suremdm.com/saml/acs
- • Sign-on URL : https://suremdm.com/login
- 1.3
Configurez les attributs
- • email : user.mail
- • firstName : user.givenname
- • lastName : user.surname
- • groups : user.groups (optionnel)
- 1.4
Téléchargez le certificat et les métadonnées
Téléchargez le certificat Base64 et notez le Login URL et Azure AD Identifier
Côté SureMDM
- 1.5
Accédez aux paramètres SSO
Settings > Account > Single Sign-On > SAML
- 1.6
Configurez le fournisseur d'identité
- • SSO URL : Login URL d'Azure AD
- • Entity ID : Azure AD Identifier
- • Certificate : Uploadez le certificat téléchargé
- 1.7
Testez la connexion
Utilisez le bouton "Test Connection" pour valider la configuration
Configuration avec Okta
- 2.1
Créez une application SAML dans Okta
Applications > Create App Integration > SAML 2.0
- 2.2
Configurez les URLs SAML
- • Single sign-on URL : https://suremdm.com/saml/acs
- • Audience URI : https://suremdm.com/saml/<votre-compte>
- • Name ID format : EmailAddress
- 2.3
Configurez les attributs
- • email : user.email
- • firstName : user.firstName
- • lastName : user.lastName
- 2.4
Récupérez les métadonnées Okta
Sign On > View Setup Instructions ou téléchargez le fichier metadata.xml
- 2.5
Importez dans SureMDM
Settings > SSO > Import Metadata XML
Configuration avec Google Workspace
- 3.1
Créez une application SAML dans Google Admin
Admin Console > Apps > Web and mobile apps > Add app > Add custom SAML app
- 3.2
Téléchargez les métadonnées Google
Téléchargez le fichier IDP metadata et le certificat
- 3.3
Configurez les détails du service
- • ACS URL : https://suremdm.com/saml/acs
- • Entity ID : https://suremdm.com/saml/<votre-compte>
- • Name ID : Basic Information > Primary email
- 3.4
Activez l'application pour les utilisateurs
Service status > ON for everyone (ou des groupes spécifiques)
Provisionnement automatique (SCIM)
SCIM (System for Cross-domain Identity Management) permet de synchroniser automatiquement les utilisateurs et groupes depuis votre fournisseur d'identité.
Avantages du provisionnement SCIM
- • Création automatique : Les nouveaux utilisateurs sont créés dans SureMDM
- • Mise à jour : Les changements (nom, email, groupe) sont synchronisés
- • Désactivation : Les comptes supprimés sont automatiquement désactivés
- • Groupes : Synchronisation des groupes pour les assignations de profils
Configuration SCIM
- 4.1
Générez un token SCIM dans SureMDM
Settings > API > SCIM > Generate Token
- 4.2
Configurez le provisionnement dans votre IdP
- • Tenant URL : https://api.suremdm.com/scim/v2
- • Secret Token : Le token généré à l'étape précédente
- 4.3
Mappez les attributs
- • userName : email
- • displayName : displayName
- • emails[type eq "work"].value : mail
- 4.4
Activez le provisionnement
Activez le provisionnement et lancez une synchronisation initiale
SSO sur les appareils mobiles
Android Enterprise
Avec Android Enterprise et Google Workspace, les utilisateurs peuvent s'authentifier avec leur compte Google professionnel lors de l'enrôlement.
iOS avec Apple Business Manager
Apple Business Manager peut être fédéré avec Azure AD ou Google Workspace pour utiliser les identifiants d'entreprise comme Apple ID gérés.
Windows avec Azure AD Join
Les PC Windows peuvent être joints à Azure AD lors de l'installation. L'utilisateur se connecte avec son compte professionnel et le MDM est automatiquement configuré.
Bonnes pratiques
Activez le MFA
Configurez l'authentification multi-facteurs dans votre fournisseur d'identité. Le SSO centralise l'authentification, le MFA la renforce.
Utilisez le provisionnement SCIM
Le provisionnement automatique évite les comptes orphelins et garantit que les utilisateurs ont les bons accès dès leur arrivée.
Testez avec un groupe pilote
Avant d'activer le SSO pour tous, testez avec un petit groupe d'utilisateurs pour valider la configuration.
Gardez un compte admin de secours
Conservez un compte administrateur local en cas de problème avec le SSO. Ce compte ne doit être utilisé qu'en cas d'urgence.
Problèmes courants et solutions
Erreur "Invalid SAML Response"
Solution : Vérifiez que les URLs (ACS, Entity ID) sont identiques des deux côtés. Vérifiez que le certificat est valide et non expiré.
L'utilisateur n'est pas créé automatiquement
Solution : Vérifiez que le provisionnement SCIM est activé. Si JIT (Just-in-Time) provisioning, activez l'option dans SureMDM.
Les groupes ne sont pas synchronisés
Solution : Vérifiez le mapping des groupes dans SCIM. Assurez-vous que les groupes sont inclus dans les claims SAML.
Boucle de redirection infinie
Solution : Vérifiez que l'utilisateur est assigné à l'application dans le fournisseur d'identité. Vérifiez les cookies et le cache du navigateur.