Veuillez noter que les informations ci-dessous étaient correctes à la date du 2 novembre 2023. Teamtailor n'est cependant pas responsable d'éventuels changements effectués par Microsoft depuis. Toutes questions en dehors du cadre de cet article devraient donc être adressées directement à l'équipe support de Microsoft.
Mettre en place l'authentification unique pour un seul compte
Pour mettre en place l'authentification unique sur Teamtailor, la première étape sera de contacter notre équipe support ou votre CSM dédié.e, et leur demander d'activer l'option. Une fois activée, vous pourrez alors accéder aux paramètres depuis Teamtailor, dans vos Paramètres > Sécurité > Authentification unique (SSO). Notez qu'il vous faut avoir le rôle d'Admin de l'entreprise pour pouvoir la configurer. Après cela, suivez les étapes suivantes ci-dessous :
Allez dans votre portail Azure, puis sous vos services Azure, trouvez l'option "Applications d'entreprise".
Créez une nouvelle application, puis sélectionnez "Créez votre propre application", et nommez-la comme vous le souhaitez. Vous pouvez laisser les paramètres par défaut cochés pour la non-galerie, puis cliquez sur "Créer".
3. Une fois que votre nouvelle application a été créée, cliquez sur "Configurez l'Authentification unique", puis sélectionnez SAML. Vous serez alors présenté.e avec cet écran :
4. Votre Identificateur (ID d'entité) et votre URL de réponse (Assertion Consumer Service) sont les seuls champs obligatoires et peuvent être trouvés dans vos paramètres Teamtailor (sous les noms Entity ID et Assertion Consumer Service). Sur Azure, cliquez sur "Modifier" en haut à droite de la fenêtre pop-up, puis pour chaque champs, ajoutez les URLs pertinents fournis dans vos paramètres Teamtailor. Cliquez ensuite sur "Enregistrer".
5. Vous devrez par la suite ajouter l'URL des métadonnées de fédération d'application, que vous trouverez sous l'étape 3 des Certificats SAML dans Azure. Copiez le lien URL, puis collez le dans Teamtailor, sous "IdP Metadata xml URL."
6. Sur Teamtailor, cliquez sur "Parse metadata" en bas de votre écran. Cela finalisera la configuration du côté de Teamtailor, et vous pourrez désormais tester si l'authentification unique fonctionne bien.
7. Pour la tester, vous devrez tout d'abord ajouter l'utilisateur dans vos paramètres Azure. Sur le côté gauche de votre page, au-dessus de l'Authentification Unique, cliquez sur "Utilisateurs et groupes", puis sur "Ajouter utilisateur/groupe". À cette étape du test, nous vous recommandons d'ajouter un seul utilisateur plutôt qu'un groupe entier. Cliquez donc sur "Aucun sélectionné" sous Utilisateurs, puis ajoutez l'adresse e-mail que vous utiliserez pour tester. Enfin, cliquez sur Sélectionner, puis sur Assigner.
8. Afin de tester si cela fonctionne, allez sur votre site carrière, puis descendez tout en bas de la page où vous trouverez "SSO" sur le pied de page, comme option de connexion.
9. Une fois que vous cliquerez sur SSO, vous devriez être redirigé.e à la page où vous pouvez ajouter vos identifiants (votre adresse e-mail). Une fois le champ complété, vous serez redirigé.e vers votre tableau de bord sur Teamtailor. Si vous êtes un.e nouveau.elle utilisateur.trice, votre rôle sera automatiquement celui d'un.e utilisateur.trice par défaut. Si vous avez déjà un compte Teamtailor, vous aurez alors toujours le même rôle qu'avant la mise en place du SSO.
10. Afin de compléter la configuration, vous pouvez ajouter plus d'utilisateurs et de groupes de votre côté, et depuis Teamtailor, cliquez sur "Enforce SSO". Attention, notez bien qu'à partir de ce moment-là, vos utilisateurs ajoutés ne pourront se connecter à Teamtailor qu'avec l'authentification unique. Nous vous conseillons donc une nouvelle fois de vous assurer que la connexion SSO fonctionne bien. Vous pouvez par la suite demander à notre équipe support ou à votre CSM d'ajouter un ou plusieurs domaines de messagerie (auto-join), afin que votre équipe puisse se connecter via https://tt.teamtailor.com/en/login/sso à la place.
Configurer l'authentification unique pour un compte groupe
Lorsque vous mettez en place une solution de groupe, vous devez vous assurer de compléter toutes les étapes énoncées plus haut, en vous assurant que cela soit configuré sur votre compte "parent" sur Teamtailor.
Par défaut, si un nouvel utilisateur se connecte pour la première fois sur Teamtailor sans avoir été préalablement ajouté à un compte, cet utilisateur sera alors automatiquement ajouté sur le compte parent. Afin d'éviter cela, vous devrez nous envoyer une revendication supplémentaire que nous pourrons utiliser pour identifier le compte sur lequel le nouvel utilisateur doit être ajouté.
Pour ajouter cette nouvelle revendication, il vous faut trouver votre nouveau compte entreprise dans votre portail Azure, puis cliquer sur Authentification Unique/Single sign-on. Il vous faudra alors modifier le deuxième box :
Cliquez sur Modifier, puis sur "Ajouter une revendication supplémentaire". Vous devrez alors y ajouter un nom, qui peut être par exemple "pays" ou "entreprise". Vous pouvez aussi vous inspirer de modèles similaires aux autres revendications, et l'appeler comme cela à peu près : "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/country".
Une fois que vous avez ajouté le nom, vous devrez choisir la source. Sélectionnez Attribut, puis choisissez-en un pertinent de la liste déroulante. Si vous avez choisi "entreprise" comme revendication, l'attribut qui vous convient sera sans doute user.companyname. Il est important de s'assurer que vous choisissiez un attribut qui a été configuré pour vos utilisateurs. Pour le reste, celui que vous choisissez n'a pas d'importance, il vous servira simplement à différencier vos utilisateurs, afin de savoir sur lequel de vos comptes Teamtailor ils doivent être créés/ajoutés.
Cliquez ensuite sur "Enregistrer", puis vous verrez ensuite votre liste de revendications supplémentaires :
Il vous faut désormais informer Teamtailor du nom de votre revendication que vous avez créée, ainsi que les possibles valeurs qui seraient utilisées comme identifiants pour votre compte Teamtailor, et enfin les domaines de messagerie (auto-join) qui auront accès à ces comptes. Cela pourrait par exemple ressembler aux exemples suivants :
revendication = pays
Compte Teamtailor A : valeur = TeamtailorA, domaine = @teamtailora.com
Compte Teamtailor B : valeur = TeamtailorB, domaine = @teamtailorb.com
Afin de tester la connexion, suivez les mêmes étapes décrites précédemment pour un seul compte. Assurez-vous bien que votre utilisateur soit connecté au bon compte.
Il est important de noter que cela ne s'applique qu'aux nouveaux utilisateurs. Les utilisateurs déjà existants seront automatiquement connectés aux comptes dont ils font déjà partie.
De plus, utiliser la solution de groupe SSO ne veut pas dire que tous les utilisateurs ont désormais accès à tous les autres comptes. Encore une fois, les nouveaux utilisateurs seront seulement ajoutés à un compte que vous leur avez assigné. S'ils ont besoin d'accéder à plus d'un compte, ils devront être manuellement ajoutés depuis l'onglet Utilisateurs des autres comptes.
Messages d'erreur courants
Cela veut dire que dans vos configurations Azure SSO (authentification unique), cet utilisateur n'a pas été ajouté dans les paramètres Utilisateurs et Groupes. Pour y remédier, veuillez suivre l'étape 7 de cet article.
Vous avez ajouté le mauvais ID d'entité. Veuillez alors vérifier cela dans vos paramètres Teamtailor afin de vous assurer que celui-ci corresponde exactement à celui qui se trouve sur votre compte Azure AD.
Cette erreur, affichée dans vos paramètres SSO sur Teamtailor, vient généralement du fait que votre Certificat de signature SAML a expiré, ou est invalide. Pour créer un nouveau certificat, allez dans vos paramètres Azure AD, trouvez l'application Entreprise que vous avez créée, puis sélectionnez ensuite Authentification unique. De là, suivez l'étape 3 des Certificats SAML. Cliquez sur Modifier, puis sur + Nouveau Certificat, puis sur "Enregistrer". Par défaut, cela ajoutera une validité de trois ans à votre certificat, et résoudra la situation.