Authentification unique (SSO) : pratique ou console

Avec l’authentification unique (SSO), les utilisateurs peuvent accéder à leur société et à d’autres applications professionnelles via une connexion unique.

La connexion et l’authentification centralisées présentent plusieurs avantages clés, notamment des avantages en matière de sécurité. L’authentification unique (SSO) permet aux utilisateurs d’accéder à toutes leurs applications avec un seul mot de passe, ce qui est plus rapide et plus sûr. Plus besoin d’oublier des mots de passe ou de risquer qu’ils soient volés.

À propos de l’authentification unique

L’authentification unique (SSO) permet à un utilisateur d’utiliser le même identifiant et le même mot de passe pour se connecter à plusieurs applications au sein d’une organisation. Les solutions SSO utilisent un fournisseur d’identité pour gérer la connexion des utilisateurs individuels. Votre fournisseur d’identité est responsable de fournir une authentification centralisée aux applications et aux utilisateurs de votre organisation.

Une fois la configuration terminée, les utilisateurs activés pour l’authentification unique peuvent lancer la connexion à partir de la page de connexion. Vous pouvez également vous connecter à partir de votre fournisseur d’identité.

Vous pouvez configurer les deux Authentification uniqueet Vérification en 2 étapes pour votre société pour plus de sécurité. Si votre société est déjà activée pour l’authentification unique, les utilisateurs qui accèdent à Intacct via leur fournisseur d’identité SSO ignoreront la vérification en 2 étapes. Cependant, si un utilisateur n’est pas configuré pour l’authentification unique et se connecte directement à Intacct, il sera obligé d’utiliser la vérification en 2 étapes.

L’activation des deux fonctionnalités vous offre une couche supplémentaire de protection pour votre compte. Par exemple, si votre système SSO était temporairement indisponible, votre administrateur Intacct pourrait avoir besoin de se connecter à Intacct et, pour prouver son identité, de passer par une vérification en 2 étapes.

Comment cela fonctionne-t-il ?

Intacct utilise une seule page de connexion pour prendre en charge à la fois la connexion Intacct et la connexion par authentification unique. Pour utiliser les connexions SSO, les utilisateurs sélectionnent l’icône Utiliser l’authentification unique sur la page de connexion. La sélection de cette option supprime le champ Mot de passe, puis le fournisseur d’identité que vous avez sélectionné authentifie l’utilisateur.

L' Se souvenir de moi checkbox stocke et mémorise les préférences d’authentification unique définies par vos utilisateurs.

Les utilisateurs que vous avez configurés pour l’authentification unique ne peuvent plus utiliser la page de connexion de base pour se connecter à Sage Intacct. Au lieu de cela, ils choisissent l’option de connexion à authentification unique.

Tous les utilisateurs que vous ne configurez pas pour l’authentification unique doivent toujours se connecter à Sage Intacct à l’aide de la page de connexion de base. De plus, les utilisateurs disposant de privilèges d’administrateur complets ont toujours la possibilité de se connecter à Intacct à l’aide de leur mot de passe Intacct.

Type d’utilisateur Comment fonctionne la connexion

Utilisateur SSO

Les utilisateurs qui sont activés pour l’authentification unique doivent se connecter à Intacct à l’aide de l’authentification unique.

La page de connexion pour l’authentification unique demande uniquement le nom de la société et le nom d’utilisateur, et ne fournit pas d’option pour saisir un mot de passe. Votre fournisseur d’identité SSO authentifie l’utilisateur et gère ses mots de passe.

Utilisateurs non-SSO

Les utilisateurs qui ne sont pas activés pour l’authentification unique doivent se connecter à Intacct à l’aide de la page de connexion de base et saisir leur mot de passe Intacct.

Utilisateurs administrateurs

Les utilisateurs disposant de privilèges d’administrateur complets ont toujours la possibilité de se connecter à Intacct à l’aide de leur mot de passe Intacct. Cela garantit qu’ils ont toujours un moyen de se connecter à Intacct.

Les utilisateurs administrateurs peuvent également utiliser l’authentification unique pour se connecter à Intacct.

Avant de configurer l’authentification unique

Avant d’activer l’authentification unique pour votre société, vous devez configurer l’authentification unique auprès d’un fournisseur d’identité. La configuration varie selon le fournisseur d’identité. Utilisez les informations suivantes comme référence.

Fournisseurs d’identité pris en charge

Les fournisseurs d’identité suivants sont vérifiés pour fonctionner avec Sage Intacct :

  • Pont Assure
  • OneLogin
  • Centrifier
  • Services fédérés Active Directory (AD FS)

Vous pouvez configurer l’authentification unique en utilisant votre fournisseur d’identité SSO existant s’il prend en charge le protocole SAML 2.0 pour authentifier et autoriser les utilisateurs.

Exigences de connexion du fournisseur d’identité

Le tableau suivant décrit les options de configuration dont vous pourriez avoir besoin pour établir une connexion avec votre fournisseur d’identité.

Option de configuration Exigence ou valeur

Protocole d’authentification

SAML 2.0

Type de liaison SAML

Reliure POST

Type de certificat de sécurité

X.509 généré avec un hachage de signature SHA-256 au format PEM

Identifiant de la partie utilisatrice pour intacct

https://saml.intacct.com

ACS/URL du consommateur

https://www.intacct.com/ia/acct/sso_response.phtml

Les trois attributs personnalisés suivants sont requis lorsque le fournisseur d’identité lance la connexion :

Attribut Valeur

adresse e-mail

Federated ID de l’utilisateur

Nom de la société

Société Id

Nom

Identifiant de l’utilisateur

Configurer l’authentification unique

La mise en place d’un SSO se fait en deux étapes :

  1. Activez l’authentification unique pour votre société
  2. Configurer des utilisateurs individuels

Activez l’authentification unique pour votre société

Vous pouvez activer l’authentification unique pour votre société et définir les options de connexion dans la page d’informations Practice/Console. Intacct utilise ces paramètres pour établir une connexion entre votre société et votre fournisseur d’identité SSO. Les utilisateurs continueront à se connecter en utilisant la page de connexion de base jusqu’à ce que vous les configuriez explicitement pour l’authentification unique (voir Étape 2).

Pour activer l’authentification unique pour votre société :

  1. Aller à Console > Plus > Configuration >onglet Sécurité, puis sélectionnez Modifier.

  4. Dans le Authentification unique (SSO) , sélectionnez l’icône Activer l’authentification unique case à cocher.
  5. Effectuez l’une des opérations suivantes pour le Type de fournisseur d’identité,
    • Si vous n’utilisez pas AD FS, choisissez SAML 2.0 .
    • Si vous utilisez AD FS, choisissez SAML 2.0 avec ADFS .
  6. Complétez les informations restantes en utilisant les informations fournies par votre fournisseur d’identité SSO.
    Description des options de type de fournisseur d’identité
    OptionDescription

    URL de l’émetteur

    L’URL de l’émetteur vous est fournie par votre fournisseur d’identité et correspond à l’URL que votre société invoquera pour tenter de s’authentifier. Copiez et collez l’URL dans ce champ en l’état.

    URL de connexion

    Il s’agit du lien vers votre page de connexion SSO, tel que fourni par votre fournisseur d’identité. Copiez et collez l’URL dans ce champ en l’état.

    Certificat

    Il s’agit du certificat x.509 délivré par votre fournisseur d’identité pour votre application. Il est utilisé pour authentifier que l’expéditeur est à la fois celui qu’il prétend être et que les données n’ont pas été modifiées après avoir été soumises. Copiez et collez le certificat dans ce champ tel quel.

  7. Enregistrez vos modifications.

Configurer des utilisateurs individuels

Avec l’authentification unique, votre société peut changer un système où tout le monde se connecte avec l’authentification unique. Cela signifie que les utilisateurs n’auront plus besoin de mots de passe distincts pour se connecter à votre société. Un fournisseur d’authentification unique sécurisé les vérifiera à la place. Vous pouvez choisir les utilisateurs qui changent pour l’authentification unique et ceux qui peuvent continuer à utiliser des mots de passe pour le moment.

Pour utiliser l’authentification unique, les utilisateurs doivent se connecter à partir d’un ordinateur qui a accès à votre système SSO. De plus, nous ne prenons actuellement pas en charge la connexion SSO à partir d’un téléphone portable.

Pour activer l’authentification unique pour un utilisateur :

  1. Aller à Société > Administrateur > Utilisateurs.

    La liste Utilisateurs s’affiche.

  2. Recherchez l’utilisateur souhaité et sélectionnez Modifier à côté de leur nom.
  3. Sélectionnez l’icône Authentification unique tab.
    Cet onglet n’apparaît que si vous avez déjà activé l’authentification unique pour votre société (voir Étape 1).
  4. Sélectionnez l’option pour Activer l’authentification unique.
  5. Dans le Identifiant d’utilisateur SSO fédéré , saisissez l’identifiant utilisé par votre fournisseur d’identité SSO pour identifier ce utilisateur particulier.

Désactiver l’authentification unique

Vous pouvez désactiver l’authentification unique pour votre société en désélectionnant l’icône Activer l’authentification unique sur la page d’informations de la Société. Après avoir sélectionné Enregistrer Sur cette page, une fenêtre contextuelle s’affiche pour réinitialiser les mots de passe de tous les utilisateurs d’authentification unique non administrateurs. Il vous sera demandé si vous souhaitez réinitialiser les mots de passe des utilisateurs pour eux ou si vous souhaitez les autoriser à réinitialiser leurs mots de passe sur leur Propre.

  • Si vous répondez « Oui » à la réinitialisation des mots de passe utilisateur : Tous les utilisateurs non-administrateurs recevront un e-mail d’Intacct leur demandant de réinitialiser leurs mots de passe. Une fois qu’ils ont créé un nouveau mot de passe, les utilisateurs peuvent se connecter à l’aide de la page de connexion de base.
  • Si vous répondez « Non » à la question de la réinitialisation des mots de passe utilisateur : Les utilisateurs ne recevront pas d’e-mail automatisé les invitant à réinitialiser leur mot de passe. Les utilisateurs peuvent toutefois réinitialiser leurs propres mots de passe au moment de la connexion en sélectionnant l’icône Mot de passe oublié ? sur la page de connexion de base.

Si vous désactivez l’authentification unique, les utilisateurs qui tentent de se connecter avec la méthode SSO recevront une erreur. En effet, l’authentification unique est désactivée et ils ont besoin de leurs mots de passe habituels maintenant.

Les utilisateurs disposant de privilèges d’administrateur complets ne sont pas tenus de réinitialiser leur mot de passe. Les administrateurs peuvent toujours se connecter directement à l’aide de leur mot de passe Intacct, qu’ils soient configurés ou non pour l’authentification unique.

Description des champs

Descriptions des champs SSO
Champ Description

Activer la connexion unique

Activez l’authentification unique pour votre société.

Type de fournisseur d’identité

Choisissez le type de fournisseur d’identité SSO que vous utilisez. Si vous utilisez Active Directory Federated Services (ADFS), choisissez SAML 2.0 avec ADFS. Sinon, choisissez SAML 2.0.

URL de l’émetteur

L’URL de l’émetteur vous est fournie par votre fournisseur d’identité et correspond à l’URL qu’Intacct invoquera pour tenter de s’authentifier. Copiez et collez l’URL dans ce champ en l’état.

URL de connexion

Le lien vers votre page de connexion SSO, tel que fourni par votre fournisseur d’identité. Copiez et collez l’URL dans ce champ en l’état.

Certificat

Le certificat x.509 délivré par votre fournisseur d’identité pour votre application. Il est utilisé pour authentifier que l’expéditeur est bien celui qu’il prétend être et que les données n’ont pas été modifiées après avoir été soumises. Copiez et collez le certificat dans ce champ tel quel.

Type de contenu d’authentification requis

Sélectionnez le niveau d’authentification requis pour une tentative de connexion.

  • Exacts : La connexion doit utiliser l’une des méthodes d’authentification exacte répertoriées (par exemple, mot de passe uniquement).

  • Minimum : La méthode de connexion doit être au moins aussi forte que l’une des méthodes répertoriées (par exemple, un mot de passe avec authentification multifacteur est plus fort qu’un simple mot de passe).

  • Maximum : La méthode de connexion doit être l’option la plus puissante possible (non couramment utilisée).

  • Mieux : La méthode de connexion doit être plus forte que l’une des méthodes répertoriées (utile lorsque des mesures de sécurité supplémentaires sont nécessaires).

Activer d’autres méthodes de connexion (Microsoft Azure AD uniquement)

Cette option active les méthodes d’authentification sans mot de passe pour se connecter à Sage Intacct à l’aide de Microsoft Entra.

En sélectionnant cette option, les utilisateurs peuvent se connecter à l’aide d’autres méthodes sécurisées telles que Windows Hello, l’application Microsoft Authenticator, les SMS ou l’envoi de codes par e-mail, pour une sécurité renforcée et une connexion plus pratique.

Pour plus d’informations sur le fonctionnement de ces méthodes d’authentification, consultez la documentation de Microsoft sur l’authentification sans mot de passe.