Authentification unique (SSO)

Avec l’authentification unique (SSO), les utilisateurs peuvent accéder à leur société et à d’autres applications professionnelles via une seule connexion.

La connexion et l’authentification centralisées présentent plusieurs avantages clés, notamment des avantages en matière de sécurité. L’authentification unique (SSO) permet aux utilisateurs d’accéder à toutes leurs applications avec un seul mot de passe, ce qui est plus rapide et plus sûr. Plus besoin d’oublier des mots de passe ou de risquer qu’ils soient volés.

À propos de l’authentification unique

L’authentification unique (SSO) permet à un utilisateur d’utiliser le même identifiant et le même mot de passe pour se connecter à plusieurs applications au sein d’une organisation. Les solutions SSO utilisent un Fournisseur d’identité pour gérer la connexion des utilisateurs individuels. Votre fournisseur d’identité est chargé de fournir une authentification centralisée aux applications et aux utilisateurs dans toute votre organisation.

Une fois la configuration terminée, les utilisateurs activés pour l’authentification unique peuvent initier la connexion à partir de la page de connexion. Vous pouvez également vous connecter à partir de votre fournisseur d’identité.

Vous pouvez configurer les deux SSOet Vérification en deux étapes pour votre entreprise pour plus de sécurité. Si votre société est déjà activée pour l’authentification unique, les utilisateurs qui accèdent à Intacct via leur fournisseur d’identité SSO ignoreront la vérification en 2 étapes. Toutefois, si un utilisateur n’est pas configuré pour l’authentification unique et se connecte directement à Intacct, il sera obligé d’utiliser la vérification en 2 étapes.

L’activation de ces deux fonctionnalités vous offre une couche de protection supplémentaire pour votre compte. Par exemple, si votre système SSO était temporairement indisponible, votre administrateur Intacct devra peut-être se connecter à Intacct. Pour prouver son identité, il devra procéder à une vérification en 2 étapes.

Comment ça marche ?

Intacct utilise une page de connexion unique pour prendre en charge à la fois la connexion Intacct et la connexion par authentification unique. Pour utiliser les connexions SSO, les utilisateurs sélectionnent l’icône Utiliser l’authentification unique sur la page de connexion. La sélection de cette option supprime le champ Mot de passe, puis le fournisseur d’identité sélectionné authentifie l’utilisateur.

Le Souvenez-vous de moi Case à cocher enregistre et mémorise les préférences d’authentification unique définies par vos utilisateurs.

Les utilisateurs que vous avez configurés pour l’authentification unique ne peuvent plus utiliser la page de connexion de base pour se connecter à Sage Intacct. Au lieu de cela, ils choisissent l’option de connexion à authentification unique.

Tous les utilisateurs que vous n’avez pas configurés pour l’authentification unique doivent toujours se connecter à Sage Intacct à l’aide de la page de connexion de base. En outre, les utilisateurs disposant de privilèges d’administrateur complets ont toujours la possibilité de se connecter à Intacct à l’aide de leur mot de passe Intacct.

Type d’utilisateur Fonctionnement de la connexion

Utilisateur SSO

Les utilisateurs qui sont activés pour l’authentification unique doivent se connecter à Intacct à l’aide de l’authentification unique.

La page de connexion pour l’authentification unique ne demande que le nom et le nom d’utilisateur de la société, et ne fournit pas d’option pour saisir un mot de passe. Votre fournisseur d’identité SSO authentifie l’utilisateur et gère ses mots de passe.

Utilisateurs non-SSO

Les utilisateurs qui ne sont pas activés pour l’authentification unique doivent se connecter à Intacct à l’aide de la page de connexion de base et saisir leur mot de passe Intacct.

Utilisateurs administrateurs

Les utilisateurs disposant de privilèges d’administrateur complets ont toujours la possibilité de se connecter à Intacct à l’aide de leur mot de passe Intacct. Cela garantit qu’ils ont toujours un moyen de se connecter à Intacct.

Les utilisateurs administrateurs peuvent également utiliser l’authentification unique pour se connecter à Intacct.

Avant de configurer l’authentification unique

Avant d’activer l’authentification unique pour votre société, vous devez configurer l’authentification unique auprès d’un fournisseur d’identité. La configuration varie selon le fournisseur d’identité. Utilisez les informations suivantes comme référence.

Fournisseurs d’identité pris en charge

Les fournisseurs d’identité suivants ont été vérifiés pour travailler avec Sage Intacct :

  • Assurer le pont
  • OneLogin
  • Centrer
  • Services fédérés Active Directory (AD FS)

Vous pouvez configurer l’authentification unique à l’aide de votre fournisseur d’identité SSO existant s’il prend en charge le protocole SAML 2.0 pour l’authentification et l’autorisation des utilisateurs.

Conditions requises pour la connexion du fournisseur d’identité

Le tableau suivant décrit les options de configuration dont vous pourriez avoir besoin pour établir une connexion avec votre fournisseur d’identité.

Option de configuration Exigence ou valeur

Protocole d’authentification

SAML 2.0

Type de liaison SAML

Liaison POST

Type de certificat de sécurité

X.509 généré avec un hachage de signature SHA-256 au format PEM

Identifiant de la partie de confiance pour Intacct

https://saml.intacct.com

URL ACS/consommateur

https://www.intacct.com/ia/acct/sso_response.phtml

Les trois attributs personnalisés suivants sont requis lorsque le fournisseur d’identité lance la connexion :

Attribut Valeur

Adresse e-mail

Identifiant fédéré de l’utilisateur

Nom de la société

ID de société

nom

Identifiant

Configurer l’authentification unique

La mise en place d’un SSO est un processus en deux étapes :

  1. Activer l’authentification unique pour votre entreprise
  2. Configurer des utilisateurs individuels

Activer l’authentification unique pour votre entreprise

Intacct utilise ces paramètres pour établir une connexion entre votre société et votre fournisseur d’identité SSO. Les utilisateurs continueront à se connecter à l’aide de la page de connexion de base jusqu’à ce que vous les configuriez explicitement pour l’authentification unique (voir Étape 2).

Pour activer l’authentification unique pour votre société :

  2. Atteindre Société > Onglet Informations sur la société > Sécurité, puis sélectionnez Éditer.

  3. Atteindre > de la société Coup monté >onglet Configuration > Société > Sécurité, puis sélectionnez Éditer.

  4. Dans le Authentification unique (SSO) , sélectionnez la section Activer l’authentification unique case à cocher.
  5. Effectuez l’une des opérations suivantes pour le Type de fournisseur d’identité,
    • Si vous n’utilisez pas AD FS, choisissez SAML 2.0 .
    • Si vous utilisez AD FS, choisissez SAML 2.0 avec ADFS .
  6. Complétez les informations restantes à l’aide des informations fournies par votre fournisseur d’identité SSO.
    Descriptions des options du type de fournisseur d’identité
    OptionDescription

    URL de l’émetteur

    L’URL de l’émetteur vous est fournie par votre fournisseur d’identité et correspond à l’URL que votre société invoquera pour tenter de s’authentifier. Copiez et collez l’URL dans ce champ telle quelle.

    URL de connexion

    Il s’agit du lien vers votre page de connexion SSO, tel que fourni par votre fournisseur d’identité. Copiez et collez l’URL dans ce champ telle quelle.

    Certificat

    Il s’agit du certificat x.509 émis par votre fournisseur d’identité pour votre application. Il est utilisé pour authentifier que l’émetteur est à la fois celui qu’il prétend être et que les données n’ont pas été modifiées après avoir été soumises. Copiez et collez le certificat dans ce champ tel quel.

  7. Enregistrez vos modifications.

Configurer des utilisateurs individuels

Grâce à l’authentification unique, votre entreprise peut passer à un système où tout le monde se connecte avec une authentification unique. Cela signifie que les utilisateurs n’auront plus besoin de mots de passe distincts pour la connexion à votre société. Un fournisseur SSO sécurisé les vérifiera à la place. Vous pouvez choisir quels utilisateurs passent au SSO et quels utilisateurs peuvent continuer à utiliser des mots de passe pour le moment.

Pour utiliser l’authentification unique, les utilisateurs doivent se connecter à partir d’un ordinateur ayant accès à votre système SSO. En outre, nous ne prenons actuellement pas en charge la connexion SSO à partir d’appareils mobiles.

Pour activer l’authentification unique pour un utilisateur :

  1. Atteindre > de la société Admin > Utilisateurs.

    Le Utilisateurs La liste apparaît.

  2. Recherchez l’utilisateur souhaité et sélectionnez Éditer à côté de son nom.
  3. Sélectionnez l’icône Authentification unique onglet.
    Cet onglet apparaît uniquement si vous avez déjà activé l’authentification unique pour votre société (voir Étape 1).
  4. Sélectionnez l’option pour Activer l’authentification unique.
  5. Dans le Identifiant d’utilisateur SSO fédéré , saisissez l’ID utilisé par votre fournisseur d’identité SSO pour identifier cet utilisateur particulier.

Désactiver l’authentification unique

Vous pouvez désactiver l’authentification unique pour votre société en désélectionnant l’icône Activer l’authentification unique Case à cocher sur la page Informations sur la société. Après avoir sélectionné Sauvegarder Sur cette page, une fenêtre contextuelle apparaît pour réinitialiser les mots de passe de tous les utilisateurs non administrateurs à authentification unique. Il vous sera demandé si vous souhaitez réinitialiser les mots de passe des utilisateurs pour eux ou laisser les utilisateurs réinitialiser leurs mots de passe sur leur posséder.

  • Si vous répondez « Oui » à la réinitialisation des mots de passe utilisateur : Tous les utilisateurs non-administrateurs recevront un e-mail d’Intacct leur demandant de réinitialiser leurs mots de passe. Une fois qu’ils ont créé un nouveau mot de passe, les utilisateurs peuvent se connecter à l’aide de la page de connexion de base.
  • Si vous répondez « Non » à la réinitialisation des mots de passe utilisateur : Les utilisateurs ne recevront pas d’e-mail automatisé les invitant à réinitialiser leur mot de passe. Les utilisateurs peuvent toutefois réinitialiser leurs propres mots de passe au moment de la connexion en sélectionnant l’icône Mot de passe oublié ? Lien sur la page de connexion de base.

Si vous désactivez l’authentification unique, les utilisateurs qui tentent de se connecter avec la méthode SSO recevront une erreur. En effet, le SSO est désactivé et ils ont besoin de leurs mots de passe habituels maintenant.

Les utilisateurs disposant de privilèges d’administrateur complets ne sont pas tenus de réinitialiser leur mot de passe. Les administrateurs peuvent toujours se connecter directement à l’aide de leur mot de passe Intacct, qu’ils soient configurés ou non pour l’authentification unique.

Description des champs

Descriptions des champs SSO
Champ Description

Activer la connexion unique

Activez l’authentification unique pour votre société.

Type de fournisseur d’identité

Choisissez le type de fournisseur d’identité SSO que vous utilisez. Si vous utilisez les services fédérés Active Directory (ADFS), choisissez SAML 2.0 avec ADFS. Sinon, choisissez SAML 2.0.

URL de l’émetteur

L’URL de l’émetteur vous est fournie par votre fournisseur d’identité et correspond à l’URL qu’Intacct invoque pour tenter de s’authentifier. Copiez et collez l’URL dans ce champ telle quelle.

URL de connexion

Le lien vers votre page de connexion SSO, tel que fourni par votre fournisseur d’identité. Copiez et collez l’URL dans ce champ telle quelle.

Certificat

Le certificat x.509 émis par votre fournisseur d’identité pour votre application. Il est utilisé pour authentifier que l’émetteur est bien celui qu’il prétend être et que les données n’ont pas été modifiées après avoir été soumises. Copiez et collez le certificat dans ce champ tel quel.

Type de contenu d’authentification requis

Sélectionnez le niveau d’authentification requis pour une tentative de connexion.

  • Exact: La connexion doit utiliser l’une des méthodes d’authentification exacte répertoriées (par exemple, mot de passe uniquement).

  • Minimum: La méthode de connexion doit être au moins aussi forte que l’une des méthodes répertoriées (par exemple, un mot de passe avec authentification multifacteur est plus fort qu’un simple mot de passe).

  • Maximum: La méthode de connexion doit être l’option la plus puissante possible (non couramment utilisée).

  • Mieux: La méthode de connexion doit être plus puissante que l’une des méthodes répertoriées (utile lorsque des mesures de sécurité supplémentaires sont nécessaires).

Activer d’autres méthodes de connexion (Microsoft Azure AD uniquement)

Cette option active les méthodes d’authentification sans mot de passe pour se connecter à Sage Intacct à l’aide de Microsoft Entra.

En sélectionnant cette option, les utilisateurs peuvent se connecter à l’aide d’autres méthodes sécurisées telles que Windows Hello, l’application Microsoft Authenticator, les SMS ou l’envoi de codes par e-mail, pour une sécurité renforcée et une connexion plus pratique.

Pour plus de détails sur le fonctionnement de ces méthodes d’authentification, visitez La documentation de Microsoft sur l’authentification sans mot de passe.