Authentification
Pour authentifier les utilisateurs dans SEI, vous devez configurer un fournisseur d’authentification et associer les utilisateurs à ce fournisseur. Avant de commencer, assurez‑vous que SEI a été enregistré auprès de votre fournisseur d’authentification afin d’obtenir les paramètres requis pour les protocoles OAuth ou SAML2.
Activez la Configuration du login pour utiliser l’authentification via un fournisseur externe. Vous pourrez ensuite configurer un ou plusieurs fournisseurs dans la section Sécurité.
| Protocole | Description |
|---|---|
| OAuth 2.0 | Prend en charge l’authentification via OAuth 2.0, permettant aux utilisateurs de se connecter avec des identifiants gérés par un fournisseur d’identité externe. |
| SAML 2.0 | Prend en charge l’authentification via SAML 2.0, permettant l’intégration avec des fournisseurs d’identité tels que Microsoft Azure, Okta ou OneLogin. |
Ajouter un fournisseur
- Dans le panneau de navigation, cliquez sur l’icône engrenage. La page Administration s'ouvre.
- Sélectionnez Sécurité, puis Authentification.
- Cliquez sur + pour ajouter un nouveau fournisseur.
- Sélectionnez le protocole : OAuth2 ou SAML2.
- Cliquez sur Créer.
Le nouveau fournisseur s’affiche dans la liste Fournisseurs et un formulaire vide apparaît pour la configuration. - Sous l'onglet Général, remplissez le champ obligatoires.
- Cliquez sur Sauvegarder.
- Sélectionnez l'onglet Utilisateurs, cliquez sur +, puis associez les utilisateurs SEI au nouveau fournisseur.
- Sélectionnez les utilisateurs concernés et cliquez sur Ajouter.
Les utilisateurs sélectionnés apparaissent dans la liste Utilisateurs. - Cliquez sur Sauvegarder.
important
Si un utilisateur n’apparaît pas dans la liste ou si les valeurs d’association sont incorrectes, cet utilisateur ne pourra pas se connecter à SEI.
Onglet Général
Propriétés générales OAuth
| Champ | Description |
|---|---|
| Activer | Active ou désactive l’affichage du fournisseur sur la page de connexion. Une fois activé, un nouveau bouton apparaît pour les utilisateurs dans Comptes externes. |
| Description | Libellé affiché pour le fournisseur sur la page de connexion. Remplacez la valeur par défaut Nouveau fournisseur par un libellé clair pour vos utilisateurs. |
| L'ID du client | Identifiant public unique fourni par le serveur d’autorisation. |
| Clé secrète du client | Secret associé par le serveur d’autorisation. Par sécurité, cette valeur est masquée après l’enregistrement. |
| URL de découverte automatique | (Optionnel) URL du point de découverte permettant de pré-remplir automatiquement les champs OAuth à partir des métadonnées du fournisseur (/.well-known/openid-configuration). Après saisie, cliquez sur Discover pour récupérer les points d’accès Authorization, Token et User Info, ainsi que les scopes et claims disponibles. |
| URL d'autorisation | URL vers laquelle les utilisateurs sont redirigés pour s’authentifier (/authorize). |
| URL de génération de tokens | URL utilisée pour obtenir les jetons d’accès (/token). |
| Scope | Scopes d’autorisation pour le Web Server. Les valeurs courantes sont openid, email, offline_access, mais les scopes requis dépendent de votre fournisseur. |
| URLs de redirection | URL de redirection pour le Serveur Web et le Excel Add-in après authentification. Pour le complément Excel, indiquez le port local correct. |
| URL des informations utilisateur | URL utilisée pour récupérer les informations de profil utilisateur (/userinfo). |
| Identifiant de l'utilisateur | Saisissez le claim utilisé pour identifier et associer les utilisateurs lors de l’authentification. Pour les environnements multitenant, il est recommandé d’utiliser un claim stable tel que sub ou oid ("sub": "bf38b88a-5c16-4f58-bf5a-87ccd8e5ad09"). |
| Prompt | Définit le comportement d’affichage des fenêtres d’authentification. Options possibles :
|
| Forcer la réauthentification | Oblige les utilisateurs à saisir leurs identifiants à chaque connexion ou après un délai défini (en secondes). Par exemple, 0 force une authentification à chaque connexion ; 21600 impose une reconnexion toutes les 6 heures. La valeur maximale est 86400 secondes. Tous les fournisseurs ne prennent pas cette option en charge. |
| Permettre la réauthentification | Autorise le navigateur à mémoriser l’authentification et à maintenir les utilisateurs connectés. |
Pour un exemple complet, consultez l'exemple de configuration OAuth 2.0.
Propriétés générales de SAML2
| Champ | Description |
|---|---|
| Activer | Active ou désactive l’affichage du fournisseur SAML2 sur la page de connexion. Une fois activé, un bouton apparaît dans Comptes externes. |
| Description | Libellé affiché pour le fournisseur sur la page de connexion. Remplacez la valeur par défaut Nouveau fournisseur par un nom clair pour vos utilisateurs. |
| URL de découverte automatique | (Optionnel) URL permettant de pré‑remplir automatiquement les champs SAML2 à partir des métadonnées du fournisseur. Cliquez sur Découvrir pour récupérer et remplir le l'Émetteur, l'Émetteur autorisé, et l'URL d'authentification unique. |
| Émetteur | Identifiant unique de SEI. Doit correspondre à l’Identifier (Entity ID) ou à l’Audience URI configuré dans votre fournisseur SAML2 (par exemple, Azure ou Okta). Ce champ est rempli automatiquement lorsque disponible. |
| Émetteur autorisé | Identifiant d’application fourni par le fournisseur SAML2. Il identifie l’application utilisée pour se connecter à SEI. Doit correspondre à l’Azure ID Identifier ou à l’Okta Provider Issuer. Peut être rempli automatiquement via Découvrir. |
| URL d'authentification unique | URL de connexion fournie par votre fournisseur SAML2 (correspond à la configuration Azure/Okta). Peut être remplie automatiquement via Découvrir. |
| Point de terminaison de déconnexion unique | (Optionnel) Si défini, l’utilisateur est déconnecté à la fois de SEI et du fournisseur SAML2. Peut être rempli automatiquement via Découvrir. |
| URL ACS Saml2 | URL de réponse (Reply URL) vers laquelle les utilisateurs sont redirigés après une connexion réussie, que ce soit pour le Serveur Web ou l'Excel Add-in. Doit correspondre à la Reply URL/Assertion Consumer URL configurée dans le fournisseur SAML2. Pré-remplie pour le Web Server. Pour le complément Excel, indiquez le port local correct. |
| URL de déconnexion | (Optionnel) URL de redirection après la déconnexion, renvoyant l’utilisateur vers la page de connexion Point de terminaison de déconnexion unique, la session du fournisseur SAML2 reste active. Pré-remplie pour le Web Server. |
| Certificat | Importez le certificat SAML2 (obligatoirement en SHA‑256). Glissez‑déposez le fichier généré ou téléchargé depuis Azure ou Okta. |
| Identifiant de l'utilisateur | Saisissez le claim utilisé pour identifier les utilisateurs lors de l’authentification. Cette valeur détermine quel champ de la réponse SAML2 sera associé au compte utilisateur SEI. Pour les environnements multitenant, utilisez un claim stable tel que sub ou oid ("sub": "bf38b88a-5c16-4f58-bf5a-87ccd8e5ad09"). |
| Forcer la réauthentification | Exige que les utilisateurs saisissent à nouveau leurs identifiants à chaque connexion ou après un délai défini (en secondes). Exemple : 0 force une authentification systématique ; 21600 impose une reconnexion toutes les 6 heures. Valeur maximale : 86400 secondes. Tous les fournisseurs ne prennent pas cette option en charge. |
| Permettre la réauthentification | Autorise le navigateur à mémoriser l’authentification et à maintenir la session active. |
Pour un exemple complet, consultez l'exemple de configuration SAML 2.0.
Onglet Utilisateurs
Dans l'onglet Utilisateurs, permet d’associer, de gérer et de vérifier les utilisateurs Nectari dont l’authentification est validée par le fournisseur externe. Utilisez cette section pour vous assurer que les identifiants utilisés pour l’association sont corrects afin de garantir une connexion réussie. Pour les instructions de création d’utilisateurs, consultez la section Utilisateurs.
| Champ | Description |
|---|---|
| Code d'utilisateur | Affiche le nom d’utilisateur Nectari utilisé pour la connexion. |
| Nom | Affiche le nom d’affichage associé à l’utilisateur SEI. |
| Affiche l’adresse e‑mail de l’utilisateur SEI. | |
| L'identifiant de l'utilisateur | Valeur renvoyée par le fournisseur OAuth ou SAML2 pour le claim d’identification sélectionné dans l’onglet Général. C’est cette valeur que SEI utilisera pour associer l’identité externe à cet utilisateur. Il s’agit du seul champ modifiable dans l’association des utilisateurs. Par exemple, si le claim Identifiant de l'utilisateur est défini sur sub et que votre fournisseur retourne "sub": "bf38b88a-5c16-4f58-bf5a-87ccd8e5ad09", saisissez cette valeur pour l’utilisateur correspondant. |