DownloadGLPI ChangelogPricesGLPI Website45-day free trial

Authentification et SSO

Comment configurer Oauth SSO avec Apple ?

Pour utiliser SSO avec Apple depuis GLPI, vous pouvez suivre cette procédure. Un accès à la console développeur Apple est requis. Vous devrez également télécharger le plugin Oauth SSO disponible sur le marketplace.

Comment configurer Oauth SSO avec Entra ?

Pour utiliser SSO avec Entra depuis GLPI, vous pouvez suivre cette procédure. Un accès au Tenant Microsoft 365 est requis. Vous devrez également télécharger le plugin Oauth SSO disponible sur le marketplace.

Comment configurer Oauth SSO avec OKTA ?

Pour utiliser SSO avec OKTA depuis GLPI, vous pouvez suivre cette procédure. Vous aurez besoin d'un accès administrateur à OKTA. Vous devrez également télécharger le plugin Oauth SSO disponible sur le marketplace.

Comment configurer OAuth SSO avec Google ?

Pour utiliser SSO avec Google depuis GLPI, vous pouvez suivre cette procédure. Vous aurez besoin d'un accès administrateur à votre Tenant Google. Vous devrez également télécharger le plugin OAuth SSO disponible sur le marketplace.

Comment configurer Oauth SSO avec Keycloak ?

Pour utiliser SSO avec Keycloak depuis GLPI, vous pouvez suivre cette procédure. Vous aurez besoin d'un accès administrateur à Keycloak. Vous devrez également télécharger le plugin Oauth SSO disponible sur le marketplace.

Pourquoi Oauth SSO ne fonctionne-t-il plus ?

Il y a plusieurs raisons possibles à ce problème :

  • le secret a expiré,

  • le mot de passe du compte obtenant l'autorisation SSO a expiré,

  • vous avez demandé un changement d'URL et l'application côté fournisseur n'a pas été modifiée.

Pour vérifier ce qui cause le problème, vous pouvez activer le mode debug, qui vous orientera dans la bonne direction. Vous pouvez suivre cette procédure pour vous aider avec la Configuration.

Puis-je fusionner mes utilisateurs AD et SSO ?

Oui, sous certaines conditions. Il est possible dans administration > authentification > Autres méthodes d'authentification de définir l'option supprimer le domaine des connexions comme login@domaine à Oui. Cette action comporte un risque selon la façon dont votre application SSO est configurée côté fournisseur.

Si vous autorisez l'accès SSO à des tenants externes, il est possible qu'un vol d'identité puisse se produire. Par exemple, je me connecte avec [email protected]. Généralement, vous ne pouvez pas avoir 2 connexions identiques sur le même tenant. Si vous avez un homonyme dans l'entreprise, les connexions seront différentes. En revanche, si un homonyme extérieur au tenant, comme [email protected], se connecte, il pourra usurper votre identité. Cette option doit donc être limitée aux applications SSO qui utilisent un seul tenant.

Quels fournisseurs puis-je utiliser avec SSO ?

Voici la liste des fournisseurs actuellement disponibles :

  • Amazon,

  • Microsoft Entra,

  • Facebook,

  • Github,

  • Gitlab,

  • Google,

  • Keycloak,

  • OKTA

  • Apple

  • OpenID connect

Puis-je afficher l'authentification SSO uniquement sur la page d'accueil ?

Oui. Depuis votre application SSO, cliquez sur configuration en haut de l'écran. Puis cliquez sur masquer le formulaire de connexion standard. Il sera toujours possible de se connecter avec un compte interne en cliquant sur connexion standard.

Pourquoi reçois-je un message me disant que mon mot de passe est vide ?

Cela peut arriver quand vous utilisez la V2 du plugin Oauth SSO. La configuration des claims et des permissions API est nécessaire pour que le plugin fonctionne correctement. Vous pouvez suivre cet article pour configurer votre application.

Pourquoi reçois-je un message d'erreur me disant que je n'ai pas les droits d'accès à l'application ?

Cela arrive quand les règles d'autorisation n'ont pas été configurées. En fait, une fois l'authentification réussie, GLPI vérifie que vous avez une autorisation assignée. GLPI vérifie aussi qu'une règle a été configurée pour vous en assigner une automatiquement. Si ce n'est pas le cas, l'accès à GLPI sera refusé. Pour configurer ces règles d'autorisation, veuillez vous référer à cet article pour vous aider à les configurer.

Pourquoi certains champs d'enregistrement utilisateur sont-ils écrasés après authentification avec OAuth SSO ?

Cela peut arriver si votre source d'authentification OAuth SSO est aussi la source de provisionnement. Si l'option Récupérer les informations du profil utilisateur (disponible depuis Configuration > Applications Oauth SSO) est définie sur Non, Oauth SSO ne récupérera pas les informations des enregistrements utilisateur. Si vous souhaitez récupérer les informations utilisateur, changez cette option à Oui et assurez-vous que les champs dans Configuration > Authentification > Autres méthodes d'authentification et les claims de votre application OAuth SSO sont renseignés (plus d'informations ici).

Si, en revanche, vous avez une source de provisionnement externe comme SCIM, et que l'option Récupérer les informations du profil utilisateur est définie sur Oui, OAuth SSO écrasera les informations actuelles et les remplacera par les informations saisies dans Configuration > Authentification > Autres méthodes d'authentification. Nous recommandons donc de définir cette option sur Non si vous avez un fournisseur externe (plus d'informations ici).

SSO permet-il le provisionnement ?

Non, SSO n'est qu'un moyen de connexion et ne provisionne pas les utilisateurs en amont. Pour cela, vous devez utiliser le plugin SCIM

Comment appliquer des règles à une connexion SSO ?

Pour appliquer des règles à une connexion SSO, vous devez choisir un des critères suivants :

  • Le type d'authentification est Authentifications externes

ou

  • L'email contient @mondomaine.com

PreviousApprobation par mailNextBranding

Last updated

Was this helpful?