Aller au contenu

Authentification et SSO#

Comment configurer OAuth SSO avec Entra ?#

Pour utiliser SSO avec Entra depuis GLPI, vous pouvez suivre cette procédure Un accès au Tenant Microsoft 365 est nécessaire. Vous devrez également télécharger le plugin OAuth SSO disponible sur le marketplace

Comment configurer OAuth SSO avec OKTA ?#

Pour utiliser SSO avec OKTA depuis GLPI, vous pouvez suivre cette procédure Un accès admin à OKTA est nécessaire. Vous devrez également télécharger le plugin OAuth SSO disponible sur le marketplace

Comment configurer OAuth SSO avec Google ?#

Pour utiliser SSO avec Google depuis GLPI, vous pouvez suivre cette procédure Un accès admin à votre Tenant Google est nécessaire. Vous devrez également télécharger le plugin OAuth SSO disponible sur le marketplace

Comment configurer OAuth SSO avec Keycloak ?#

Pour utiliser SSO avec Keycloak depuis GLPI, vous pouvez suivre cette procédure Un accès admin à Keycloak est nécessaire. Vous devrez également télécharger le plugin OAuth SSO disponible sur le marketplace

Pourquoi OAuth SSO ne fonctionne pas/plus ?#

Plusieurs raisons peuvent expliquer ce problème :

  • le secret a expiré,
  • le mot de passe du compte qui obtient l'autorisation SSO a expiré,
  • vous avez demandé un changement d'URL et l'application côté provider n'a pas été modifié.

Pour vérifier d'où vient le problème, vous pouvez activer le mode debug qui pourra vous orienter vers la solution. Vous pouvez suivre cette procédure pour vous aider dans la configuration

Puis-je fusionner mes utilisateurs AD et SSO ?#

Oui sous certaines conditions. Il est possible dans administration > authentification > Autres méthodes d'authentification de mettre l'option supprimer le domaine des identifiants de la forme identifiant@domaine sur Oui. Cette action comporte un risque selon la façon dont votre application SSO est paramétrée côté provider.

Attention

Si vous autorisez l'accès SSO au tenant externes, il est possible qu'une usurpation d'identité puisse avoir lieu. Par exemple, je me connecte avec john.doe@mondomaine.com. De façon générale, on ne peut pas avoir 2 identifiants identiques sur un même tenant, si vous avez un homonyme dans la société, les identifiants seront différents. En revanche, si un homonyme externe au tenant type john.doe@gmail.com se connecte, il pourra usurper votre identité. Il faut donc limiter cette option aux applications SSO qui utilisent un tenant unique.

Quels provider puis-je utiliser avec SSO ?#

Voici la liste des providers disponibles à ce jour :

  • Alt text Amazon,
  • Alt text Microsoft Entra,
  • Alt text Facebook,
  • Alt text Github,
  • Alt text Gitlab,
  • Alt text Google,
  • Alt text Keycloak,
  • Alt text OKTA

Puis-je afficher l'authentification SSO uniquement sur la page d'accueil ?#

Oui. Depuis votre application SSO, cliquez sur configuration en haut de l'écran. Cliquez ensuite sur cacher le formulaire de connexion. Il sera toujours possible de se connecter avec un compte interne en cliquant sur connexion standard

Pourquoi ai-je un message qui me dit mon mot de passe est vide ?#

Ceci peut se produire lorsque vous utiliser la V2 du plugin OAuth SSO. La mise en place de revendications et autorisations d'API sont nécessires pour le bon fonctionnement de plugin. Vous pouvez suivre cet article pour paramétrer votre application.

Pourquoi ai-je un message d'erreur qui m'informe que je n'ai pas les droits d'accéder à l'application ?#

Ceci se produit lorsque les règles d'habilitations n'ont pas été mises en place. En effet, une fois l'authentification réussie, GLPI vérifie que vous avez une habilitation assignée. GLPI vérifie également qu'une règle ait été mise en place pour vous en attribuerune automatiquement. Si ce n'est pas le cas, l'accès à GLPI vous sera refusé. Pour paramétrer ces règles d'habilitation, rendez-vous sur cet article pour vous aider dans laconfiguration.

Pourquoi certains champs des fiches utilisateurs sont écrasés après une authentification avec OAuth SSO ou complètement vides ?#

Cela peut se produire si vous votre source d'authentification OAuth SSO est aussi la source de provisionnement. Si l'option Récupérer les informations depuis le profil utilisateur (disponible depuis Configuration > Applications Oauth SSO) est sur Non, Oauth SSO ne récupèrera pas les informations des fiches utilisateurs. Si vous souhaitez récupérer les informations utilisateurs, passez cette option à Oui et assurez-vous que les champs dans Configuration > Authentifcation > Autres méthodes d'authentification et que les revendications de votre application OAuth SSO soient bien renseignées (plus d'information ici)

Si en revanche vous disposez d'une source de provisionnement externe type SCIM, et que l'option Récupérer les informations depuis le profil utilisateur est à Oui, OAuth SSO écrasera les inforamtions actuelles et les remplacera par celles renseignées dans Configuration > Authentification > Autres méthodes d'autentification. Nous recommandons donc de passer cette option à Non si vous disposez d'un provider externe (plus d'information ici).

SSO permet il de faire du provisionning ?#

Non, SSO est uniquement un moyen de connexion et ne provisionne pas les utilisateurs en amont. Il faut pour cela utiliser le plugin SCIM