Tutoriels

Comment mettre en place un SSO entre mon organisation et Finthesis ?

Si vous avez un système de SSO en interne, nous avons la possibilité d'intégrer ce système de connexion sur Finthesis. Pour ça il existe généralement 2 protocoles : soit le protocole SAML soit le protocole OIDC. Nous décrivons dans ce tutoriel la procédure à suivre pour chacun de ces protocoles.

Cas d'un SSO via SAML

Si vous utilisez le protocole SAML, la procédure à suivre est la suivante :

  1. Envoyez-nous à l'adresse contact@finthesis.io les informations suivantes : entry point et certificat

  2. Nous vous partagerons l'URL de connexion suivante : https://api.finthesis.io/users/saml/login?client=xxx

  3. Il faudra ensuite de votre côté renseigner comme Identifier (Entity ID) https://finthesis.io/sp et comme callback url https://api.finthesis.io/users/saml/callback?client=xxx

  4. Il faudra également nous indiquer si vous signez uniquement l'assertion, la réponse ou les deux

Cas d'un SSO via OIDC

Si vous utilisez le protocole OIDC, la procédure à suivre est la suivante :

  1. Envoyez-nous à l'adresse contact@finthesis.io les informations suivantes : votre issuer, un application ID et un secret à utiliser

  2. Nous vous partagerons l'URL de connexion suivante : https://api.finthesis.io/users/oidc/login?client=xxx

  3. Il faudra ensuite de votre côté renseigner comme redirect URL https://api.finthesis.io/users/oidc/callback?client=xxx

Dans les 2 cas, il faut que l'authentification nous renvoie un profil avec au moins l'email (le prénom et le langage également si possible).

Une fois le SSO configuré en SAML ou en OIDC vous pourrez vous connecter en utilisant les identifiants de votre domaine ou de votre organisation.

Limite par domaine ou par organisation

Il est à noter que nous limitons l'accès par domaine et/ou organisation:

  • par domaine, seuls les adresse emails appartenants aux domaines paramétrés peuvent s'authentifier

  • par organisation, l'utilisateur doit appartenir ou être invité dans une organisation

Par ailleurs, nous ne gérons pas l'alimentation automatique des utilisateurs de l'organisation ou du domaine.