Mapping de vos groupes Opendatasoft avec votre annuaire (via SSO)
La disponibilité de cette fonctionnalité dépend de la licence ou plan de votre espace de travail.
Opendatasoft permet de gérer l'accès à votre espace de travail via une solution d'authentification unique (SSO, ou single sign-on) et prend en charge les protocoles OpenID Connect et SAML.
Opendatasoft vous permet de cartographier la relation entre les groupes d'utilisateurs SSO de votre entreprise et vos groupes d'utilisateurs dans Opendatasoft. De cette façon, vos utilisateurs seront automatiquement affectés à leurs groupes Opendatasoft appropriés et disposeront des autorisations associées à ces groupes.
Les instructions ci-dessous détaillent comment, pour chaque groupe de votre espace de travail, vous pouvez définir une adhésion automatique en fonction des attributs pertinents : n'importe qui dans votre service marketing, ou plutôt uniquement les responsables marketing, tous les responsables quel que soit le service, tous les administrateurs du service informatique, ou peut-être uniquement les personnes qui sont à la fois manager et faisant partie du service informatique, etc.
Notez que pour configurer cette fonctionnalité vous devez :
Etre l'un des administrateurs de votre espace de travail
Avoir la fonctionnalité SSO dans le cadre de votre licence ou plan
Nous avoir contacté pour demander l'activation d'OpenID et/ou SAML sur votre plan
Par où commencer : créer un nouveau mapping
Dans les exemples ici, nous utiliserons OpenID, mais il en va de même pour SAML.
Pour commencer, allez dans Configuration > Inscription, où une fois activés, vous devriez voir les onglets pour SAML ou OpenID Connect.
Là, activez la bascule à côté de « Autoriser l'accès aux utilisateurs d'OpenID Connect ».
Ensuite, faites défiler vers le bas de l’onglet Inscription, sous « Mapping des groupes Opendatatsoft ».
Dans l'exemple ici, il existe déjà des mappings pour deux groupes, mais c'est ici que vous devez vous rendre pour créer de nouveaux mappings ou modifier des mappings existants.
Cliquez sur le bouton Modifier à droite.
Cela ouvrira l'interface dans laquelle vous créerez et modifierez tous vos mappings. Pour créer un nouveau mapping, cliquez sur " + Nouveau mapping de groupe ". Pour modifier un mapping existant, survolez-le et cliquez sur l'icône en forme de crayon.
Notez que les claims utilisés pour mapper les groupes doivent être définis dans l'interface de configuration d'OpenID. Voir les points 7 et 8 ici, "Répertorier des scopes supplémentaires optionnels" et "Répertorier des claims supplémentaires optionnelles".
N'oubliez pas de cliquer sur Terminer lorsque vous avez terminé vos modifications pour enregistrer vos modifications.
Configuration d'un mapping
Nouveau mapping de groupe
Une fois que vous avez cliqué sur le bouton New group mapping, la fenêtre vous invitera à sélectionner un groupe dans votre espace de travail Opendatasoft. Sélectionnez le groupe que vous souhaitez mapper.
Si vous ajoutez des descriptions à vos groupes, vous pourrez les voir ici. Cela peut vous aider lors de la création de vos mappings. Notez que les groupes pour lesquels un mapping a déjà été effectué sont grisés et ne peuvent pas être sélectionnés. Pour les modifier, sélectionnez-les dans la liste de l’écran précédent.
Ajout de clés et de valeurs
Les clés et les valeurs correspondent aux « attributs » dans le protocole SAML et aux « claims » dans OpenID, et constituent la manière dont vous configurez le mapping.
Les clés sont uniques et les clés et les valeurs sont cumulatives
Notez que la même clé ne peut pas être utilisée deux fois dans le même mapping.
Il est particulièrement important de noter que les clés et les valeurs sont cumulatives. Autrement dit, les critères sont restrictifs et non additifs. Si vous mappez l’adhésion à un groupe basé sur deux clés, seul un utilisateur correspondant aux deux clés sera éligible. Et si plusieurs valeurs sont spécifiées pour une clé, cet utilisateur devra correspondre à toutes les valeurs à inclure.
Alternativement, si aucune valeur n'est fournie, toutes les valeurs seront prises en compte.
Un exemple
Dans l'exemple ici, nous faisons un mapping pour un groupe « Administrateurs de domaine » dans Opendatasoft.
Imaginons que nous souhaitions donner l'adhésion au groupe « Administrateurs de domaine » aux responsables support des services informatiques de notre entreprise en Europe et aux États-Unis, mais pas en Asie. Et enfin, nous voulons que le Chief Operating Officer, ou COO, y ait également accès. Cela ressemblerait à ceci :
Le mapping 1 donne l'adhésion au groupe « Administrateurs de domaine » au service informatique, mais uniquement aux utilisateurs informatiques qui sont à la fois administrateur et font partie de l'équipe de support. Enfin, nous avons limité l'adhésion à l'Europe.
Mapping 2 offre le même accès aux administrateurs du support informatique aux États-Unis.
N'oubliez pas que les clés et les valeurs sont restrictives ou cumulatives. Ainsi, si j'ajoutais « États-Unis » aux valeurs de localisation dans le mapping 1, cela limiterait l'adhésion accordée aux utilisateurs faisant partie de l'équipe européenne et de l'équipe américaine. Dans notre exemple imaginaire, il s’agit d’équipes distinctes, ce qui signifie que cela ne sélectionnerait exactement aucun utilisateur.
Et comme au sein d'un mapping, les clés sont uniques, je ne peux donc pas simplement ajouter une deuxième clé "Location" au mapping 1. Au lieu de cela, je dois créer un deuxième mapping, identique au premier sauf pour les différents critères de localisation.
Enfin, Mapping 3 fournit cet accès directement au directeur général. Il n'est pas nécessaire de préciser leur service ou leur localisation, par exemple, puisqu'il n'y a qu'un seul directeur général.
Évitez de mélanger la gestion manuelle et automatique des groupes
Une fois que vous avez créé vos mappings, vos utilisateurs recevront automatiquement l'adhésion au groupes via le SSO. Gardez toutefois à l’esprit que les utilisateurs peuvent toujours devenir membres d’un groupe manuellement.
Ainsi, pour les utilisateurs ou les groupes dont les adhésions sont gérées via SSO, vous devez supprimer toutes les attributions manuelles existantes.
Alternativement, si pour un utilisateur donné vous fournissez l'adhésion à un groupe via le SSO, le supprimer manuellement de ce groupe ne supprimera pas son adhésion, car l'adhésion est toujours fournie par le SSO.
En somme, évitez de mélanger les méthodes d’adhésion aux groupes.