L'authentification unique (Single Sign-On, SSO) est une méthode d'authentification qui permet aux utilisateurs de s'identifier en toute sécurité auprès de plusieurs applications et sites Web à l'aide d'un seul ensemble d'informations d'identification.
Le Security Assertion Markup Language (SAML) facilite l'authentification sécurisée et l'autorisation d’échange de données. Le SAML est la norme par laquelle les fournisseurs de services (SP) et les fournisseurs d'identité (IdP) communiquent entre eux pour vérifier les informations d'identification.
Pour toute assistance dont vous pourriez avoir besoin lors de la configuration initiale de la SSO, contactez votre responsable de la mise en œuvre.
Pour toute modification ultérieure des domaines - y compris l'ajout de nouveaux domaines à votre compte - contactez le service d'assistance de Payhawk à l'adresse support@payhawk.com.
Une vue d'ensemble du processus d'intégration SAML
À un niveau élevé, pour intégrer Payhawk à votre IdP en utilisant le SAML, vous devez activer la norme de la manière suivante :
Créez une application SAML dans votre IdP qui sera utilisée avec Payhawk.
Attribuez l'application SAML à vos utilisateurs et groupes.
Contactez votre responsable de la mise en œuvre chez Payhawk et fournissez les détails suivants :
Le fichier de métadonnées XML de votre IdP SAML qui a été téléchargé lors de la création de l'application SAML.
Le(s) domaine(s) qui sera(ont) utilisé(s) pour l'authentification.
Le mappage d’attributs, généralement l’adresse e-mail à l’e-mail.
Une fois que Payhawk a terminé la configuration, testez l'authentification.
Les sections suivantes présentent les étapes de configuration d'Okta, d'Azure et de Google, qui sont parmi les IdP les plus courants. Mais vous pouvez appliquer le même processus à tout autre IdP de votre choix qui prend en charge SAML v2.
Une fois activé, SAML ne prend pas en charge l'authentification initiée par le fournisseur d'identité. Par conséquent, s'ils ne sont pas encore authentifiés, vos utilisateurs devront ouvrir le portail Payhawk et saisir leur adresse e-mail dans la boîte de réception.
Configuration du SAML dans Okta : identité
Pour créer une application SAML dans Okta Identity Engine et activer la SSO pour vos utilisateurs, procédez comme suit :
Accédez à la console Okta Developer et connectez-vous en tant qu'administrateur.
Pour plus d'informations sur la console, consultez Console d'administration et tableau de bord repensés d'Okta.
Dans le menu de navigation, développez Applications et sélectionnez Applications.
Cliquez sur Créer une intégration d’application.
Dans le menu Créer une intégration d’application, sélectionnez SAML 2.0 comme méthode de connexion.
Cliquez sur Suivant.
Pour plus d'informations, consultez la section Préparer votre intégration dans le guide Intégration de l'Authentification Unique (SSO) sur le site Web Okta Developer.
Vous devez maintenant configurer l'intégration SAML pour votre application Okta :
Sur la page Créer une intégration SAML, sous Paramètres généraux, saisissez Payhawk comme nom de votre application.
(Facultatif) Téléchargez un logo et choisissez les paramètres de visibilité de votre application.
Cliquez sur Suivant.
Sous GÉNÉRAL, pour une URL d’authentification unique, saisissez :
https://id.payhawk.com/saml2/idpresponse
Pour URI d’audience (ID d’entité SP), saisissez :
urn:amazon:cognito:sp:eu-central-1_mcW4Iwl7p
Laissez État relais par défaut vide.
Sous DÉCLARATIONS D'ATTRIBUT, ajoutez une instruction avec les informations suivantes :
Pour Nom, saisissez l'e-mail du nom de l'attribut SAML.
Pour Valeur, saisissez user.email.
Laissez les valeurs par défaut des autres paramètres de la page ou définissez-les selon vos préférences.
Cliquez sur Suivant > Terminer.
Une fois l'application SAML configurée, attribuez l'accès aux personnes et aux groupes.
Téléchargez les métadonnées IdP sous forme de fichier XML et envoyez-les au responsable de la mise en œuvre (IM) qui l’appliquera du côté de Payhawk.
Configuration du SAML dans Microsoft Entra (Azure Active Directory)
Pour créer une application SAML dans Microsoft Entra et activer la SSO pour vos utilisateurs, procédez comme suit :
Ouvrez entra.microsoft.com
Accédez à Applications d'entreprise.
Cliquez sur Nouvelle application > Créez votre propre application.
Quel est le nom de votre application ? Saisissez : Payhawk
Sélectionnez : Intégrer toute autre application que vous ne trouvez pas dans la galerie (hors galerie)
Sur la page de candidature, cliquez sur Démarrage > Authentification unique > SAML
Dans le volet Configuration du SAML de base, saisissez les informations suivantes pour configurer l'application Payhawk :
Pour Identifiant (ID d’entité), saisissez :
urn:amazon:cognito:sp:eu-central-1_mcW4Iwl7p
Pour URL de réponse, saisissez :
https://id.payhawk.com/saml2/idpresponse
Pour Mappage d’attributs, saisissez [attribut d’e-mail dans votre système] → e-mail.
Laissez tout ce qui est facultatif vide.
En tant qu'identifiant d’utilisateur unique (UPN), utilisez user.userprincipalname car les utilisateurs utilisent leurs UPN pour se connecter.
Téléchargez le fichier XML des métadonnées de la fédération et envoyez-le au responsable de la mise en œuvre (IM) qui l'appliquera du côté de Payhawk.
Configuration du SAML dans Google Workspace (GSuite)
Pour créer une application SAML dans Google Workspace et activer la SSO pour vos utilisateurs, procédez comme suit :
Ouvrez Google Workspace en tant qu'administrateur.
Naviguez jusqu'à Applications > Applications Web et mobiles.
Créez une nouvelle application SAML.
Sélectionnez Payhawk comme nom d’application.
Téléchargez le fichier de métadonnées.
Remplissez les champs de la manière suivante :
Pour URL ACS, saisissez :
https://id.payhawk.com/saml2/idpresponse
Pour ID d’entité, saisissez :
urn:amazon:cognito:sp:eu-central-1_mcW4Iwl7p
Pour le format ID de nom, saisissez E-MAIL.
Pour ID de nom , saisissez Informations de base > E-mail principal.
Cliquez sur Continuer.
En tant que Mappage d'attributs, ajoutez E-mail principal > e-mail.
Cliquez sur Terminer.
Dans Applications Web et mobiles, sélectionnez votre nouvelle application Payhawk et activez-la pour tous les utilisateurs censés l'utiliser.
Téléchargez les métadonnées IdP sous forme de fichier XML et envoyez-les au responsable de la mise en œuvre (IM) qui l’appliquera du côté de Payhawk.
Configuration du SAML dans JumpCloud
Pour créer une application SAML dans JumpCloud et activer la SSO pour vos utilisateurs, procédez comme suit :
Ouvrez la console d'administration JumpCloud et créez une nouvelle application SAML.
Tapez Payhawk comme nom d'application.
Sur la page de configuration de l’application, renseignez les champs suivants. Une fois prêt, cliquez sur Terminer.
Pour ID d’entité Idp et ID d’entité SP, saisissez :
urn:amazon:cognito:sp:eu-central-1_mcW4Iwl7p
Pour URL ACS, saisissez :
https://id.payhawk.com/saml2/idpresponse
Pour ID de nom du sujet SAML, saisissez l'e-mail.
Pour format ID de nom du sujet SAML, saisissez l'adresse e-mail.
Pour Déclarer le point de terminaison de redirection, saisissez Vérifié.
Pour URL IDP, saisissez :
https://sso.jumpcloud.com/saml2/payhawk
Pour Attributs, saisissez ce qui suit :
Pour Nom de l’attribut fourni par le service, saisissez l'e-mail.
Pour Nom de l'attribut JumpCloud, saisissez l'e-mail.
Téléchargez les métadonnées IdP sous forme de fichier XML et envoyez-les au responsable de la mise en œuvre (IM) qui l’appliquera du côté de Payhawk.
Configuration du SAML dans OneLogin
Pour créer une application SAML dans OneLogin et activer la SSO pour vos utilisateurs, procédez comme suit :
Connectez-vous en tant qu'administrateur dans votre locataire OneLogin.
Accédez à Applications > Ajouter une application et recherchez Payhawk.
Laissez les paramètres tels qu'ils sont dans l'écran initial.
Assurez-vous que dans Configuration le domaine est : payhawk.
Assurez-vous que dans Paramètres, le mappage d’attribut est : e-mail à E-mail, et que l’assertion Inclus dans SAML est cochée.
Enregistrez l'application et activez-la pour tous les utilisateurs qui sont censés l'utiliser.
Téléchargez les métadonnées IdP sous forme de fichier XML en haut à droite (Plus d'actions > Métadonnées SAML) et envoyez-le au responsable de la mise en œuvre (IM) qui l'appliquera du côté de Payhawk.