Passer au contenu principal

Configuration SSO/IDP

Connect Microsoft Entra, Google Workspace, or any OpenID Connect provider so technicians can sign in to Level with existing credentials.

Introduction

Configurez l'authentification unique afin que votre équipe puisse se connecter à Level en utilisant son fournisseur d'identité (IdP) existant plutôt qu'un mot de passe Level distinct. Level propose deux IdP préconfigurés (Microsoft Entra et Google Workspace) ainsi qu'une option OpenID Connect (OIDC) générique qui fonctionne avec tout autre IdP prenant en charge ce protocole : Okta, Auth0, JumpCloud, OneLogin, Ping Identity, Keycloak, et d'autres.

ℹ️ REMARQUE : «IdP» (fournisseur d'identité) est le système qui authentifie vos utilisateurs. «OIDC» (OpenID Connect) est le protocole que Level utilise pour communiquer avec lui. Microsoft Entra et Google Workspace sont tous deux des IdP qui utilisent OIDC en coulisses ; Level les préconfigure pour que la configuration soit en un clic. La troisième ligne, intitulée OIDC, est l'option de protocole générique pour tout autre IdP prenant en charge OpenID Connect.

Cet article décrit la configuration par fournisseur, comment basculer les utilisateurs vers SSO une fois qu'un fournisseur est connecté, et comment modifier ou déconnecter un fournisseur.

Fonctionnement du SSO dans Level

Level traite chaque fournisseur comme une intégration à l'échelle de l'organisation. La connexion d'un fournisseur ne modifie pas automatiquement l'authentification de qui que ce soit. Les administrateurs basculent les techniciens individuels vers SSO depuis Workspace → Team, et tout utilisateur qui n'a pas été basculé continue de se connecter avec son adresse e-mail et son mot de passe.

ℹ️ REMARQUE : Un seul fournisseur SSO peut être configuré à la fois. Pour passer d'un fournisseur à un autre (par exemple, d'Entra à OIDC), déconnectez d'abord le fournisseur actuel, puis connectez le nouveau. La déconnexion fait immédiatement revenir chaque utilisateur SSO à l'authentification par e-mail/mot de passe, alors prévoyez des réinitialisations de mot de passe pour les utilisateurs concernés avant de procéder au changement.

SSO Configuration

L'identité SSO d'un technicien est associée à son adresse e-mail. L'e-mail sur son compte Level doit correspondre à l'e-mail renvoyé par le fournisseur d'identité. La correspondance est insensible à la casse, donc [email protected] et [email protected] résoudre le même utilisateur. La partie locale (avant le @) doit par ailleurs être identique.

💡 CONSEIL : Conservez au moins un compte administrateur avec l'authentification par e-mail et mot de passe. Si votre fournisseur d'identité tombe en panne, les utilisateurs SSO ne pourront pas se connecter. Un compte administrateur local vous offre un accès de secours sans dépendre du fournisseur.

Connexion de Microsoft Entra

Microsoft Entra (anciennement Azure AD) utilise un flux OAuth en un clic. Vous n'avez pas besoin d'enregistrer manuellement une application dans Entra. L'application de Level gère l'enregistrement et l'autorisation du côté de Microsoft.

  1. Accédez à Settings → Organization.

  2. Faites défiler jusqu'à la Single sign-on section.

  3. Cliquez sur Connect en regard de Microsoft Entra.

  4. Vous serez redirigé vers Microsoft pour vous connecter avec un compte administrateur Entra et accorder à Level l'autorisation de lire les données de profil utilisateur et d'e-mail.

  5. Après le consentement, Microsoft vous redirige vers Level. La ligne Microsoft Entra affiche désormais le badge Connected ainsi que votre Tenant ID.

⚠️ AVERTISSEMENT : Le compte Microsoft avec lequel vous vous authentifiez doit avoir l'autorisation d'accorder un consentement à l'échelle du locataire pour l'application Level. Si vous vous connectez avec un compte non-administrateur, l'écran de consentement échouera et l'intégration ne sera pas finalisée.

Connexion de Google Workspace

Google Workspace utilise le même processus en un clic que Microsoft Entra. Level gère l'enregistrement de l'application du côté de Google.

  1. Accédez à Settings → Organization.

  2. Faites défiler jusqu'à la Single sign-on section.

  3. Cliquez sur Connect en regard de Google Workspace.

  4. Connectez-vous à Google avec un compte super administrateur Workspace et accordez à Level l'autorisation de lire les données de profil et d'e-mail.

  5. Google vous redirige vers Level. La ligne Google Workspace affiche désormais le badge Connected badge.

ℹ️ REMARQUE : Le SSO Google Workspace fonctionne pour tout utilisateur de votre domaine Workspace. Level associe les identités par e-mail, donc l'e-mail sur le compte Level de chaque technicien doit correspondre exactement à son e-mail Workspace.

Connexion d'un fournisseur OIDC personnalisé

Utilisez l'option OIDC pour tout IdP prenant en charge OpenID Connect : Okta, Auth0, JumpCloud, OneLogin, Ping Identity, Keycloak, AWS Cognito, et d'autres. Il s'agit d'une configuration manuelle car Level ne peut pas pré-enregistrer une application auprès de chaque IdP.

Le processus comporte deux parties : créer une application dans votre IdP, puis saisir ses identifiants dans Level.

Étape 1 : Créer une application dans votre fournisseur d'identité

Dans la console d'administration de votre fournisseur, créez une nouvelle application OpenID Connect. Level utilise le flux implicite avec un id_token type de réponse, ce qui signifie que l'application doit être configurée en tant qu'application côté navigateur, et non en tant qu'application web côté serveur.

Utilisez ces paramètres :

  • Type d'application : Application monopage (SPA), parfois intitulée «Application basée sur le navigateur»

  • Type d'autorisation / type de réponse : Flux implicite avec id_token (Auth0 appelle cela «Implicit Grant» ; Okta appelle cela «Implicit (Hybrid)» ; certaines interfaces d'administration plus récentes le divisent en «Allow Implicit Hybrid»)

  • URI de redirection de connexion : l'URL de rappel fournie par Level dans la boîte de dialogue de configuration OIDC (correspondance exacte, y compris le protocole et le chemin)

  • Algorithme de signature des jetons : RS256 (la valeur par défaut sur presque tous les IdP)

  • Portées : openid et email disponibles pour l'application

⚠️ AVERTISSEMENT : De nombreux IdP désactivent le flux implicite par défaut car la communauté OAuth le considère comme obsolète. Vous devrez peut-être l'activer explicitement dans les paramètres de votre application. Dans Auth0, trouvez cette option sous Advanced Settings → Grant Types. Dans Okta, cochez la case Implicit (Hybrid) de type d'autorisation sur l'application. Si le flux implicite n'est pas activé côté IdP, la redirection de connexion de Level échouera silencieusement ou renverra une erreur générique.

Enregistrez l'application et copiez les Client ID et Issuer URL (parfois appelée «URL de découverte OIDC» ou «domaine»). Level utilise le flux implicite, il n'y a donc pas de secret client à copier. Vous collerez l'ID client et l'URL de l'émetteur dans Level ensuite.

ℹ️ REMARQUE : Chaque fournisseur nomme l'URL de l'émetteur légèrement différemment. Dans Auth0, c'est votre domaine de locataire (par exemple, https://your-tenant.us.auth0.com) ; Auth0 peut émettre l'émetteur avec une barre oblique finale, que Level gère automatiquement. Dans Okta, l'émetteur dépend du type de locataire : les locataires de production utilisent https://<your-org>.okta.com, et les comptes de développeur utilisent https://dev-<id>.okta.com. Dans JumpCloud, l'émetteur apparaît sur la page de détails de l'application SSO.

OIDC Callback

Étape 2 : Configurer OIDC dans Level

💡 CONSEIL : Si vous n'êtes pas sûr de l'URL de l'émetteur, consultez le document de découverte OIDC de votre fournisseur. Il est généralement disponible à l'adresse https://<your-domain>/.well-known/openid-configuration. Le issuer champ dans ce document correspond à ce que Level attend dans le champ Issuer URL champ.

  1. Accédez à Settings → Organization.

  2. Faites défiler jusqu'à la Single sign-on section.

  3. Cliquez sur Connecter à côté de OIDC.

  4. Dans la boîte de dialogue de configuration OIDC, saisissez :

    • URL de l'émetteur : le point de terminaison de découverte de base de votre fournisseur (par exemple, https://your-tenant.us.auth0.com)

    • ID client : de l'application que vous avez créée

  5. Cliquez sur Enregistrer pour valider la configuration. Level exécute la découverte OIDC sur l'URL de l'émetteur pour confirmer que la connexion fonctionne.

  6. Une fois validée, la ligne OIDC affiche un badge Connecté et affiche l'URL de l'émetteur sous le libellé OIDC.

Conseils spécifiques aux fournisseurs

L'intégration OIDC fonctionne avec tout fournisseur conforme aux normes prenant en charge le flux implicite. Voici comment les noms de champs courants correspondent :

  • Okta : Type d'application « Single-Page App ». Type d'autorisation « Implicit (Hybrid) » avec id_token type de réponse. L'URL de l'émetteur est https://<your-org>.okta.com pour les locataires en production, ou https://dev-<id>.okta.com pour les comptes développeur gratuits.

  • Auth0 : Type d'application « Single Page Application ». Sous Advanced Settings → Grant Types, activez Implicit. L'URL de l'émetteur est https://<your-tenant>.<region>.auth0.com. Ajoutez l'URL de rappel Level à Allowed Callback URLs. Auth0 peut émettre l'émetteur avec une barre oblique finale ; Level gère les deux formes.

  • JumpCloud : Créez une application SSO OIDC configurée pour le flux implicite. L'URL de l'émetteur apparaît sur la page de détails de l'application SSO après la création.

  • Keycloak : Créez un client avec le type d'accès « public » (et non confidentiel, car le flux implicite n'utilise pas de secret client). Activez Implicit Flow Enabled dans les paramètres du client. L'URL de l'émetteur est https://<keycloak-host>/realms/<realm>.

ℹ️ REMARQUE : Level prend en charge une seule connexion OIDC personnalisée à la fois. Si vous devez passer d'un fournisseur d'identité OIDC à un autre (par exemple, d'Auth0 à Okta), déconnectez d'abord l'ancien, puis reconnectez-vous avec la nouvelle URL d'émetteur et les nouvelles informations d'identification.

Basculer les utilisateurs vers SSO

⚠️ AVERTISSEMENT : Le basculement d'un utilisateur vers SSO efface son mot de passe Level existant. Si vous le repassez ultérieurement à l'authentification par e-mail et mot de passe, il devra réinitialiser son mot de passe avant de pouvoir se connecter.

La connexion d'un fournisseur ne bascule personne vers SSO automatiquement. Pour basculer un technicien :

  1. Accédez à Workspace → Team.

  2. Trouvez la ligne du technicien et ouvrez le menu à trois points.

  3. Sélectionnez Switch to SSO.

Le basculement est immédiat. La colonne Auth se met à jour pour afficher sa nouvelle méthode d'authentification, et à sa prochaine connexion, il est redirigé vers le fournisseur SSO connecté au lieu de voir l'invite de mot de passe Level.

ℹ️ REMARQUE : Les paramètres 2FA existants sur un compte Level sont contournés une fois que l'utilisateur est sur SSO. Le fournisseur d'identité gère l'authentification et toute application de l'authentification multifacteur (MFA) à partir de ce moment.

Pour le flux de travail complet de l'équipe Workspace, consultez Workspace Team.

Modifier une connexion OIDC

OIDC est le seul fournisseur avec des paramètres modifiables. Entra et Google Workspace sont entièrement gérés via le consentement OAuth, il n'y a donc rien à modifier du côté de Level. Si l'URL de votre émetteur OIDC change ou si vous devez pointer Level vers une autre application :

  1. Accédez à Settings → Organization.

  2. Dans la section Single sign-on section, cliquez sur Modifier sur la ligne OIDC.

  3. Mettez à jour le champ Issuer URL ou Client ID.

  4. Cliquez sur Enregistrer. Level revalide la découverte OIDC sur les nouvelles valeurs.

⚠️ AVERTISSEMENT : L'enregistrement de valeurs invalides interrompt SSO pour tous les utilisateurs sur ce fournisseur jusqu'à ce que vous les corrigiez. Testez la connexion depuis une fenêtre de navigation privée avant de vous fier à une nouvelle configuration.

Déconnecter un fournisseur

La déconnexion supprime l'intégration du fournisseur et empêche tout utilisateur qui lui est assigné de se connecter via SSO.

  1. Accédez à Settings → Organization.

  2. Dans la section Single sign-on section, cliquez sur Déconnecter sur la ligne du fournisseur.

  3. Confirmez l'action.

⚠️ AVERTISSEMENT : La déconnexion d'un fournisseur bascule immédiatement tous les utilisateurs SSO vers l'authentification par e-mail et mot de passe et efface leur lien SSO. Étant donné que le basculement vers SSO efface le mot de passe Level de l'utilisateur, ces utilisateurs ne pourront pas se connecter tant qu'ils ne l'auront pas réinitialisé (via le flux de mot de passe oublié ou une invitation envoyée par un administrateur). Planifiez la récupération avant de déconnecter.

FAQ

  • Puis-je obliger tous les techniciens à utiliser SSO ? Pas avec un seul interrupteur. Après avoir connecté un fournisseur, basculez les utilisateurs vers SSO individuellement depuis Workspace → Team. Il n'existe pas encore d'option « forcer SSO pour tous ».

  • Puis-je connecter plusieurs fournisseurs SSO à la fois ? Non. Un seul fournisseur peut être configuré à la fois. Pour changer de fournisseur (par exemple, de Microsoft Entra vers OIDC), déconnectez d'abord le fournisseur actuel, puis connectez le nouveau. La déconnexion rebascule tous les utilisateurs SSO actuels vers l'authentification e-mail/mot de passe, alors planifiez les réinitialisations de mot de passe pour les utilisateurs concernés avant de procéder à l'échange.

  • Que se passe-t-il avec le paramètre 2FA d'un technicien lorsque je le bascule vers SSO ? Leur 2FA côté Level est contournée lors de la connexion SSO. À partir de ce moment, l'authentification MFA est appliquée par le fournisseur d'identité (ou non, si le fournisseur ne l'applique pas).

  • Que se passe-t-il avec le mot de passe Level d'un utilisateur lorsque je le bascule vers SSO ? Il est effacé. Si vous repassez ultérieurement l'utilisateur à l'authentification par e-mail, il aura besoin d'une réinitialisation de mot de passe avant de pouvoir se connecter. Il n'est pas possible de restaurer l'ancien mot de passe.

  • Mon fournisseur n'est pas répertorié. Puis-je quand même utiliser SSO ? S'il prend en charge OpenID Connect avec le flux implicite, oui. Utilisez l'option OIDC avec l'URL de l'émetteur et l'ID client de votre fournisseur. Les fournisseurs uniquement SAML ne sont pas actuellement pris en charge.

  • J'ai configuré OIDC et la redirection se produit, mais la connexion échoue silencieusement ou affiche une erreur générique. Qu'est-ce qui ne va pas ? Cela signifie presque toujours que votre application IdP est configurée en tant qu'application Web (flux de code d'autorisation) plutôt qu'en tant qu'application monopage (flux implicite). Level utilise le flux implicite avec un id_token type de réponse. Reconfigurez l'application IdP en tant que SPA avec le flux implicite activé, enregistrez, puis essayez de vous connecter à nouveau.

  • I'm getting "invalid issuer" or "OIDC discovery failed" when saving the OIDC config. What's wrong? The issuer URL must match the OIDC issuer exactly as it appears in the discovery document (the issuer dans le champ /.well-known/openid-configuration). Erreurs courantes : http à la place de https, chemin de realm manquant sur Keycloak, ou collage de l'URL de découverte (.../.well-known/openid-configuration) au lieu de l'URL de l'émetteur.

  • Who can set up or disconnect SSO? Only technicians with the Administrator role can configure SSO providers. Other roles see the Single sign-on section but can't connect, edit, or disconnect.

  • Does Level auto-create users when they first sign in via SSO? No. Just-in-time (JIT) provisioning isn't supported, so each technician must exist in Workspace → Team first. You can mark them as SSO at invite time, or invite them as email/password and switch them later.

Articles connexes
Paramètres de l'organisation
Avez-vous trouvé la réponse à votre question ?