Authentification et SSO#
Comment configurer OAuth SSO avec Entra ?#
Pour utiliser SSO avec Entra depuis GLPI, vous pouvez suivre cette procédure Un accès au Tenant Microsoft 365 est nécessaire. Vous devrez également télécharger le plugin OAuth SSO disponible sur le marketplace
Comment configurer OAuth SSO avec OKTA ?#
Pour utiliser SSO avec OKTA depuis GLPI, vous pouvez suivre cette procédure Un accès admin à OKTA est nécessaire. Vous devrez également télécharger le plugin OAuth SSO disponible sur le marketplace
Comment configurer OAuth SSO avec Google ?#
Pour utiliser SSO avec Google depuis GLPI, vous pouvez suivre cette procédure Un accès admin à votre Tenant Google est nécessaire. Vous devrez également télécharger le plugin OAuth SSO disponible sur le marketplace
Comment configurer OAuth SSO avec Keycloak ?#
Pour utiliser SSO avec Keycloak depuis GLPI, vous pouvez suivre cette procédure Un accès admin à Keycloak est nécessaire. Vous devrez également télécharger le plugin OAuth SSO disponible sur le marketplace
Pourquoi OAuth SSO ne fonctionne pas/plus ?#
Plusieurs raisons peuvent expliquer ce problème :
- le secret a expiré,
- le mot de passe du compte qui obtient l'autorisation SSO a expiré,
- vous avez demandé un changement d'URL et l'application côté provider n'a pas été modifié.
Pour vérifier d'où vient le problème, vous pouvez activer le mode debug qui pourra vous orienter vers la solution. Vous pouvez suivre cette procédure pour vous aider dans la configuration
Puis-je fusionner mes utilisateurs AD et SSO ?#
Oui sous certaines conditions.
Il est possible dans
administration
>
authentification
>
Autres méthodes d'authentification
de mettre l'option supprimer le domaine des identifiants de la forme identifiant@domaine
sur Oui
. Cette action comporte un risque selon la façon dont votre application SSO est paramétrée côté provider.
Attention
Si vous autorisez l'accès SSO au tenant externes, il est possible qu'une usurpation d'identité puisse avoir lieu. Par exemple, je me connecte avec john.doe@mondomaine.com. De façon générale, on ne peut pas avoir 2 identifiants identiques sur un même tenant, si vous avez un homonyme dans la société, les identifiants seront différents. En revanche, si un homonyme externe au tenant type john.doe@gmail.com se connecte, il pourra usurper votre identité. Il faut donc limiter cette option aux applications SSO qui utilisent un tenant unique.
Quels provider puis-je utiliser avec SSO ?#
Voici la liste des providers disponibles à ce jour :
Puis-je afficher l'authentification SSO uniquement sur la page d'accueil ?#
Oui. Depuis votre application SSO, cliquez sur configuration
en haut de l'écran. Cliquez ensuite sur cacher le formulaire de connexion
.
Il sera toujours possible de se connecter avec un compte interne en cliquant sur connexion standard
Pourquoi ai-je un message qui me dit mon mot de passe est vide ?#
Ceci peut se produire lorsque vous utiliser la V2 du plugin OAuth SSO. La mise en place de revendications
et autorisations d'API
sont nécessires pour le bon fonctionnement de plugin.
Vous pouvez suivre cet article pour paramétrer votre application.
Pourquoi ai-je un message d'erreur qui m'informe que je n'ai pas les droits d'accéder à l'application ?#
Ceci se produit lorsque les règles d'habilitations n'ont pas été mises en place. En effet, une fois l'authentification réussie, GLPI vérifie que vous avez une habilitation assignée. GLPI vérifie également qu'une règle ait été mise en place pour vous en attribuerune automatiquement. Si ce n'est pas le cas, l'accès à GLPI vous sera refusé. Pour paramétrer ces règles d'habilitation, rendez-vous sur cet article pour vous aider dans laconfiguration.
Pourquoi certains champs des fiches utilisateurs sont écrasés après une authentification avec OAuth SSO ou complètement vides ?#
Cela peut se produire si vous votre source d'authentification OAuth SSO est aussi la source de provisionnement. Si l'option Récupérer les informations depuis le profil utilisateur
(disponible depuis
Configuration
>
Applications Oauth SSO
) est sur Non
, Oauth SSO ne récupèrera pas les informations des fiches utilisateurs. Si vous souhaitez récupérer les informations utilisateurs, passez cette option à Oui
et assurez-vous que les champs dans
Configuration
>
Authentifcation
> Autres méthodes d'authentification
et que les revendications de votre application OAuth SSO soient bien renseignées (plus d'information ici)
Si en revanche vous disposez d'une source de provisionnement externe type SCIM, et que l'option Récupérer les informations depuis le profil utilisateur
est à Oui
, OAuth SSO écrasera les inforamtions actuelles et les remplacera par celles renseignées dans
Configuration
>
Authentification
> Autres méthodes d'autentification
. Nous recommandons donc de passer cette option à Non si vous disposez d'un provider externe (plus d'information ici).
SSO permet il de faire du provisionning ?#
Non, SSO est uniquement un moyen de connexion et ne provisionne pas les utilisateurs en amont. Il faut pour cela utiliser le plugin SCIM