Configuration d’entreprise en libre-service

La Configuration d’entreprise en libre-service offre aux clients B2B les outils nécessaires pour déléguer la configuration du SSO à leurs propres clients d’entreprise. En déléguant cette tâche, vous pouvez simplifier votre processus d’intégration et donner à vos clients davantage d’autonomie quant à leur expérience de connexion. Vous pouvez également réduire le temps et les coûts associés à la gestion du SSO dans l’ensemble de votre clientèle. La Configuration d’entreprise en libre-service nécessite peu de configuration dans votre locataire Auth0 et fournit à vos clients un assistant libre-service qui les guide tout au long du processus d’activation. Une fois qu’un client a terminé la configuration, l’intégration SSO est automatiquement ajoutée à votre locataire en tant que connexion d’entreprise.

Les utilisateurs ayant les rôles Dashboard suivants peuvent utiliser cette fonctionnalité :

Les utilisateurs Admin et Editor - Connections peuvent créer et gérer des profils en libre-service.
Les utilisateurs Viewer - Config peuvent uniquement consulter les profils en libre-service.

Fournisseurs pris en charge par la configuration d’entreprise en libre-service

L’authentification unique (SSO) prend actuellement en charge les suivants :

Okta Workforce Identity
Auth0
Entra ID
Google Workspace
Keycloak
Microsoft Active Directory Federation Services (ADFS)
PingFederate
OIDC générique
générique

Le provisionnement prend actuellement en charge les fournisseurs d’identité suivants :

Okta Workforce Identity
Entra ID
OIDC générique
SAML générique

Fonctionnement

Configuration d’entreprise en libre-service utilise les composants suivants pour déléguer la configuration à vos clients :

Profil en libre-service : Définit les principaux éléments des déploiements chez les clients, comme les fournisseurs d’identité qu’ils peuvent utiliser pour le SSO et les attributs utilisateur qu’ils doivent recueillir, comme le courriel. Vous pouvez créer jusqu’à 20 profils dans votre locataire pour différents clients ou segments.
Ticket d’accès libre-service : Accorde à vos clients un accès administrateur à l’assistant libre-service et définit certains détails de la connexion d’entreprise qui en résulte. Les administrateurs de ces clients peuvent créer de nouvelles connexions ou modifier celles qui existent déjà.
Assistant de configuration libre-service : Guide les administrateurs de vos clients tout au long du processus de configuration du SSO. Pour en savoir plus sur cette expérience, consultez l’expérience de l’assistant libre-service.

Flux de travail de la configuration d’entreprise en libre-service

Les étapes ci-dessous présentent le flux de travail général de la configuration d’entreprise en libre-service. Ces tâches peuvent être effectuées soit au moyen de la , soit dans l’.

Vous (le client Auth0) créez un profil en libre-service dans votre locataire.
Vous créez ensuite un ticket d’accès en libre-service associé à ce profil. Lors de la génération du ticket, vous pouvez décider si l’administrateur de votre client créera une nouvelle connexion ou modifiera une connexion existante à l’aide de l’assistant en libre-service.
Vous récupérez l’URL du ticket à partir de l’élément créé à l’étape 2 et envoyez le lien à l’administrateur de votre client.
L’administrateur de votre client lance l’assistant en libre-service à l’aide de l’URL du ticket et suit les étapes indiquées pour configurer sa connexion et, au besoin, terminer la vérification du domaine. Si le ticket concerne une seule Organisation avec Discovery activé, l’assistant détecte automatiquement les domaines déjà vérifiés pour cette Organisation. Cela permet à l’administrateur d’associer instantanément des domaines existants à la nouvelle connexion, sans devoir refaire la vérification.
Une connexion d’entreprise nouvelle ou mise à jour qui pointe vers l’application du client devient disponible dans votre locataire Auth0.

Diagramme du flux de travail de la fonctionnalité SSO en libre-service.

Expérience de l’assistant en libre-service

L’assistant en libre-service est une expérience en plusieurs étapes qui guide les administrateurs clients à travers :

la configuration du SSO
- la vérification de domaine
- la configuration du provisionnement

Cette expérience comprend à la fois des éléments interactifs et des instructions pour apporter les modifications appropriées dans le fournisseur d’identité (IdP) sélectionné. Bien que les exigences exactes de configuration du SSO varient selon l’IdP, le flux de travail général de l’assistant en libre-service comprend les étapes suivantes :

Sélectionner le fournisseur d’identité : l’administrateur client sélectionne l’IdP à configurer pour le SSO. La liste des options offertes est déterminée par le profil en libre-service associé.
Créer l’application : l’administrateur client suit les instructions fournies pour créer une application dans le système IdP sélectionné.
Configurer la connexion : l’administrateur client remplit un court formulaire pour créer ou modifier une connexion dans Auth0. Ce formulaire recueille des renseignements comme le domaine du client, l’ID client et le secret client.
Mappage des revendications : l’administrateur client passe en revue les attributs utilisateur obligatoires et facultatifs à saisir par l’intermédiaire de sa connexion SSO. Il mappe ensuite ces attributs utilisateur, ou revendications, dans son système IdP.
Attribuer l’accès : l’administrateur client suit les instructions fournies pour son système IdP afin d’accorder aux utilisateurs ou groupes d’utilisateurs l’accès à votre application.
Tester le SSO : l’administrateur client utilise le bouton fourni pour tester sa connexion SSO dans un nouvel onglet. Sauf si la vérification de domaine est activée, l’administrateur client peut terminer le processus de configuration après cette étape pour activer sa connexion.
(Facultatif) Provisionnement : l’administrateur client configure le provisionnement des utilisateurs pour sa connexion en suivant les instructions fournies :
- créer l’application dans son IdP.
- générer un jeton porteur SCIM dans l’assistant, puis copier ce jeton porteur SCIM et l’URL du point de terminaison SCIM dans la configuration de son IdP.
- passer en revue les attributs obligatoires et facultatifs définis dans le User Attribute Profile (UAP). Mapper ces attributs aux champs SCIM correspondants dans son système IdP.
(Facultatif) Vérification et association de domaine : les administrateurs clients gèrent les domaines utilisés pour l’authentification et le routage. La vérification de domaine exige que les clients prouvent qu’ils sont propriétaires de leurs domaines. L’association de domaine permet de réutiliser des identités de confiance existantes.

Lorsqu’un ticket est configuré pour une Organisation activée, les domaines vérifiés peuvent être synchronisés automatiquement pour Organization Domain Discovery. Une fois qu’un administrateur TI a vérifié ou associé un domaine, les utilisateurs finaux peuvent se connecter à l’aide de leur adresse courriel (Home Realm Discovery) sans avoir besoin d’un ID d’organisation précis ni d’un Magic Link. Selon la façon dont vous (le client Auth0) configurez le ticket d’accès, l’expérience des administrateurs clients varie. Consultez le tableau pour en savoir plus.

Configuration	Description
Association de domaine vérifié	Les administrateurs clients sélectionnent et associent des domaines existants à la nouvelle connexion sans vérifier l’enregistrement DNS TXT si le ticket est limité à une Organisation et que l’Organisation : doit avoir l’option Allow Use of Domains for Organization Discovery activée. doit avoir Domain Verification défini à `Optional` ou `Required`. L’assistant détecte automatiquement les domaines déjà vérifiés pour cette Organisation précise.
Domain Verification défini à `Required`	Les administrateurs clients doivent vérifier avec succès un nouveau domaine au moyen du DNS ou associer un domaine vérifié existant avant de pouvoir activer la connexion.
Domain Verification défini à `Optional`	L’administrateur client peut choisir de saisir un nouveau domaine à vérifier, d’en associer un existant ou d’ignorer l’étape. Dans tous les cas, l’administrateur peut activer la connexion, peu importe l’état de la vérification.
Domain Verification défini à `Off`	Les administrateurs clients n’ont rien à faire. Cette étape n’apparaît pas pour les administrateurs clients, et le flux se termine après le test du SSO.
Allow Use of Domains for Organization Discovery est activé	Cette option est offerte lors de la génération d’un ticket pour une Organisation activée. Lorsqu’elle est sélectionnée : Nouveaux domaines : tout domaine nouvellement vérifié est automatiquement ajouté à la fois à la liste des domaines de l’Organisation et à `matching_domains` de la connexion d’entreprise. Domaines existants : tout domaine déjà vérifié (limité à 5) ou domaine associé est synchronisé à la fois avec la connexion et avec l’enregistrement de l’Organisation à la fin du processus, ce qui permet immédiatement la connexion par courriel pour les utilisateurs.

Pour en savoir plus, consultez Manage Self-Service Enterprise Configuration.

Exemple de parcours de l’assistant libre-service

Les images ci-dessous illustrent un exemple d’utilisation de l’assistant libre-service. Dans cet exemple, un administrateur client configure le SSO avec Okta Workforce comme fournisseur d’identité (IdP).

1. Sélectionner l’authentification unique

2. Sélectionner le fournisseur d’identité

La première étape de l’assistant libre-service utilisée par les administrateurs clients pour configurer le SSO.

3. Créer l’application (tronquée)

La deuxième étape de l’assistant libre-service utilisée par les administrateurs clients pour configurer le SSO.

4. Configurer la connexion

La troisième étape de l’assistant libre-service utilisée par les administrateurs clients pour configurer le SSO.

5. Mappage des revendications

La quatrième étape de l’assistant libre-service utilisée par les administrateurs clients pour configurer le SSO.

6. Attribuer l’accès

La cinquième étape de l’assistant libre-service utilisée par les administrateurs clients pour configurer le SSO.

7. Tester le SSO

La sixième étape de l’assistant libre-service utilisée par les administrateurs clients pour configurer le SSO.

8. Provisionnement - Créer l’application

Créez une application pour provisionner des utilisateurs.

9. Provisionnement - Configurer SCIM

Configurez SCIM pour provisionner des utilisateurs dans votre application.

10. Provisionnement - Mappage SCIM

Mappez les attributs utilisateur pour garantir leur transmission de l’IdP au SP.

11. Vérification du domaine

La dernière étape de l’assistant libre-service utilisée par les administrateurs clients pour configurer le SSO.

​Fournisseurs pris en charge par la configuration d’entreprise en libre-service

​Fonctionnement

​Flux de travail de la configuration d’entreprise en libre-service

​Expérience de l’assistant en libre-service

​Exemple de parcours de l’assistant libre-service

Fournisseurs pris en charge par la configuration d’entreprise en libre-service

Fonctionnement

Flux de travail de la configuration d’entreprise en libre-service

Expérience de l’assistant en libre-service

Exemple de parcours de l’assistant libre-service