Authentification unique (SSO) avec le SAML V2

L’authentification unique (SSO – Single Sign-On) permet aux utilisateurs de se connecter à PandaSuite en utilisant leur identité d’entreprise, sans avoir à créer un compte supplémentaire.

PandaSuite prend en charge le protocole SAML v2, utilisé par de nombreux fournisseurs d’identité (IdP) comme Azure AD, Google Workspace, Okta, Auth0, etc.

Où activer le SSO ?

• Côté éditeur → Pour les utilisateurs accédant à PandaSuite Studio.
• Côté web app → Pour les applications créées avec PandaSuite (Web App / PWA).

Qu’est-ce que le SSO via SAML V2 ?

Le Single Sign-On (SSO) est une méthode d’authentification permettant aux utilisateurs de se connecter à plusieurs applications de manière sécurisée avec un seul identifiant.

Pourquoi utiliser SSO ?

• Sécurité renforcée : moins de mots de passe à gérer, réduction du risque de phishing.
• Expérience fluide : connexion transparente sans authentification répétée.
• Gestion centralisée : accès contrôlé par l’administrateur IT via un IdP.

Le protocole SAML v2

SAML (Security Assertion Markup Language) est un standard XML permettant à un fournisseur de services (Service Provider - SP) comme PandaSuite de déléguer l’authentification à un fournisseur d’identité (Identity Provider - IdP).

Comment fonctionne le SSO ?

Le SSO repose sur un échange sécurisé de jetons d’authentification entre PandaSuite et votre fournisseur d’identité (IdP).

1. L’utilisateur tente d’accéder à PandaSuite ou à une web app.

2. PandaSuite envoie une demande d’authentification à l’IdP avec un jeton contenant l’email de l’utilisateur.

3. L’IdP vérifie si l’utilisateur est déjà connecté :

   ✅ Si oui, l’accès est accordé immédiatement
   🔄 Sinon, il est redirigé vers la page de connexion de son entreprise.

4. L’utilisateur s’authentifie auprès de son IdP (ex: identifiants Microsoft 365, Google, Okta…).

5. L’IdP valide l’identité et envoie un jeton SAML à PandaSuite.

6. PandaSuite valide le jeton et accorde l’accès à l’utilisateur.

💡 Tout se fait en arrière-plan, sans que l’utilisateur ait à saisir un mot de passe sur PandaSuite !

Configurer le SSO pour une web app

1. Récupérer les informations PandaSuite

   • Accédez à votre compte PandaSuite
   • Rendez-vous dans la section Apps et sélectionnez votre web app
   • Rendez-vous dans la partie Sécurité
   • Activez le SSO

   PandaSuite vous fournit automatiquement les informations suivantes :

   • Identificateur (Entity ID) : https://pandasuite.com/launcher/c/[ID_APP]
   • Assertion Consumer Service URL : https://pandasuite.com/secure/saml/[ID_APP]/consume

2. Configurer votre fournisseur d’identité (IdP)

   Utilisez les informations ci-dessus pour configurer votre application PandaSuite dans votre fournisseur d’identité (Azure AD, Google Workspace, Okta, etc.).

3. Finaliser la configuration dans PandaSuite

   • Dans l’interface PandaSuite, importez le fichier XML des métadonnées SAML de votre IdP ou renseignez l’URL des métadonnées fournie par votre IdP
   • Validez la configuration et testez la connexion

Configurer le SSO pour accéder à PandaSuite Studio

1. Demande de création de votre organisation

   • Contactez l’équipe PandaSuite pour demander la création de votre organisation SSO
   • L’équipe PandaSuite vous communiquera les informations nécessaires :
     • Entity ID de votre organisation
     • Assertion Consumer Service URL

2. Configurer votre fournisseur d’identité (IdP)

   Utilisez les informations transmises par l’équipe PandaSuite pour configurer PandaSuite Studio dans votre fournisseur d’identité (Azure AD, Google Workspace, Okta, etc.).

3. Transmission des métadonnées IdP

   Envoyez à l’équipe PandaSuite le fichier XML des métadonnées de votre fournisseur d’identité ou une URL des métadonnées. Ce fichier contient automatiquement toutes les informations techniques nécessaires (EntityID, endpoints, certificats, etc.).

4. Finalisation

   Une fois la configuration terminée par l’équipe PandaSuite, vos utilisateurs pourront accéder à PandaSuite Studio via le SSO.