Résumé
- Qu'est-ce que SAML SSO ?
- Conditions requises pour activer SAML SSO sur Mailjet
- Accéder et activer SAML SSO sur Mailjet
- Désactiver SAML SSO
- Fournisseurs d'identité
- Gestion des utilisateurs
- Se connecter avec le SSO
Qu'est-ce que SAML SSO ?
En utilisant le protocole SAML 2.0, Mailjet vous permet d'intégrer votre fournisseur d'identité pour authentifier les utilisateurs via l'authentification unique, également connue sous le nom de SSO. En théorie, tant que votre fournisseur d'identité actuel supporte le protocole SAML 2.0 (Okta, Auth0, Onelogin, Azure AD, etc), vous devriez pouvoir utiliser votre fournisseur avec Mailjet.
Remarque : SAML SSO est disponible à partir du plan 100 000 Premium et les comptes personnalisés.
Actuellement, un compte Mailjet ne peut utiliser que l'authentification à deux facteurs (2-FA) ou l'authentification unique (SSO), mais pas les deux simultanément.
Conditions requises pour activer SAML SSO sur Mailjet
Domaine vérifié
Afin de configurer SAML, vous devrez vérifier que vous êtes propriétaire de votre domaine d'entreprise (le domaine utilisé dans la configuration SAML pour se connecter). Actuellement, la plateforme Mailjet utilise des enregistrements TXT pour la vérification du domaine.
Mailjet peut générer un enregistrement TXT unique que vous pouvez ajouter au DNS de votre domaine d'entreprise et qui nous permettra de vérifier que vous êtes propriétaire de ce domaine. Afin d'utiliser cette méthode, rendez-vous sur la page de configuration SAML (« Paramètres du compte » > détails dans le menu de gauche, puis descendez jusqu'à la section « Authentification », et dans la sous-section « Auth SAML », cliquez sur « Configurer SAML SSO »), entrez votre domaine d'entreprise dans le champ « Nom de domaine » sous « Création d'un enregistrement TXT de domaine », et cliquez sur « Créer ». Copiez l'enregistrement TXT de la modale et ajoutez-le aux enregistrements DNS de votre domaine.
Assurez-vous que les domaines de tous les comptes d'utilisateurs sont vérifiés avant d'essayer de configurer SAML sur Mailjet. Par exemple, si les domaines sont mailjet.com et mailgun.com, ces actions doivent être effectuées pour chacun d'eux.
Détails du fournisseur d'identité
Vous devrez fournir les éléments suivants à Mailjet à partir de votre fournisseur d'identité :
-
IdP Entity ID (également connu comme Identity Provider Issuer)
-
URL de l'authentification unique
-
Certificat X509
Détails du fournisseur de services
Vous devrez fournir les détails suivants du fournisseur SAML à votre fournisseur d'identité depuis Mailjet :
-
ID de l'entité
-
URL du service consommateur d'assertion
-
URL du service de déconnexion unique
Accéder et activer SAML SSO sur Mailjet
Note : seuls les utilisateurs ayant des droits d'aministrateur ont accès à l'activation/désactivation du SAML sur le compte.
Afin d'accéder à la configuration SAML sur Mailjet, cliquez sur « Paramètres du compte » > « Auth SAML (SSO) » sur la page « Informations du compte » :
Vous y trouverez les coordonnées du fournisseur de services concerné, ainsi que le formulaire que vous devrez remplir :
Afin d'activer votre configuration, tous les champs obligatoires doivent être remplis avec les détails du fournisseur d'identité.
Désactiver SAML SSO
Note : seuls les utilisateurs ayant des droits d'aministrateur ont accès à l'activation/désactivation du SAML sur le compte.
Afin de désactiver SAML SSO sur votre compte, cliquez sur « Paramètres du compte » > « Auth SAML (SSO) » sur la page « Informations du compte ». Puis cliquez sur l'icône en forme de roue dentée, et sur « Désactiver SAML ».
Fournisseurs d'identité
Différents fournisseurs d'identité peuvent être utilisés : Okta, Auth0, Onelogin, Azure AD, etc. Cet article explique comment le faire avec Okta.
Configurer SAML SSO en utilisant Okta
Tout d'abord, vous aurez besoin d'un compte Okta. Si vous en avez déjà un, c'est parfait ! Sinon, vous pouvez vous inscrire sur https://developer.okta.com et suivre les instructions pour obtenir un compte développeur gratuit.
Une fois que vous avez un compte Okta, naviguez vers « Applications ».
Une fois là, cliquez sur « Create App Integration » (créer une intégration d'application). Lorsque la fenêtre modale s'ouvre, sélectionnez SAML 2.0 comme méthode d'ouverture de session et cliquez sur « Next » (suivant).
Donnez à votre application un nom et un logo si vous le souhaitez. Vous pouvez ignorer les options de visibilité de l'application, puis cliquez sur « Next » (suivant).
Entrez votre :
-
URL de connexion unique (cette URL est appelée « Assertion Consumer Service URL" » (URL du service consommateur d'assertion) dans votre tableau de bord Mailjet).
-
Laissez la case « Use this for Recipient URL and Destination URL » cochée.
-
-
URI d'audience (« Entity ID » (ID de l'entité) dans votre tableau de bord Mailjet)
-
Laissez le champ « Default RelayState » vide
-
Le format de l'ID du nom doit être réglé sur « EmailAddress ».
-
Le nom d'utilisateur de l'application doit être remplacé par « email ».
-
Laissez « Update application username on » sur « default ».
Laissez la section « Attribute Statements » (instruction Attribute) vide et cliquez sur « Next » (suivant).
Sur la page suivante, choisissez « I’m an Okta customer adding an internal app » (je suis un client Okta ajoutant une application interne), puis cliquez sur « Finish » (terminer).
Vous atterrirez sur l'onglet « Sign On » (se connecter) de l'application que vous venez de configurer.
Cherchez le bouton « View Setup Instructions » (voir les instructions de paramétrage) et cliquez dessus pour afficher les données réelles que vous devez ajouter sur Mailjet. Cela devrait ressembler à ceci :
Copiez les données dans la page « Auth SAML (SSO) » de votre compte Mailjet et soumettez le formulaire. Si tout est correct, ça devrait fonctionner.
Configurer SAML SSO en utilisant Azure
Afin de configurer SAML, vous devez d'abord vérifier que vous être propriétaire de votre domaine d'entreprise (le domaine utilisé dans la configuration SAML pour se connecter) sur les deux plateformes (Mailjet et Azure).
Vérifier un domaine sur Azure Active Directory
Rendez-vous dans votre « Azure Active Directory » et sélectionnez « Noms de domaine personnalisés ».
Cliquez sur « Ajouter un domaine personnalisé » et suivez la procédure.
Une fois que le domaine a été ajouté, il apparaîtra dans votre page « Noms de domaine personnalisés ». Le statut du domaine doit afficher « Vérifié » pour que l'authentification unique fonctionne.
Vérifier un domaine sur l'application Mailjet
Suivez la procédure expliquée ici.
Une fois votre domaine vérifié sur les deux applications, il est temps de paramétrer l'authentification unique entre Azure et Mailjet.
Configuration de l'authentification unique sur Azure
Connectez-vous à votre compte Azure et rendez-vous sur « Azure Active Directory ».
Dans la page suivante, cliquez sur « Applications d'entreprise ».
Sélectionnez « Nouvelle application » en haut de l'écran.
Ensuite, cliquez sur « Créer votre propre application » et suivez les étapes de configuration.
Une fois que vous avez créé votre application, cliquez dessus...
... et sélectionnez la deuxième option, « Configurer l'authentification unique ».
Choisissez la méthode « SAML » pour la configuration de l'authentification unique.
Sur la page suivante, vous trouverez les détails de fournisseur d’identité correspondant, ainsi que des formulaires que vous devrez compléter.
Lors de la première étape « Configuration SAML de base », vous devez récupérer les détails du fournisseur de services pertinent auprès de Mailjet et remplir les sections marquées ci-dessous.
Fournir les informations Mailjet à Azure
Azure |
Mailjet |
|
Identificateur (ID de l'entité) |
ID de l’entité |
|
URL de réponse (URL du service consommateur d’assertions |
URL du service consommateur d’assertions |
|
URL de déconnexion (optionnel) |
Service de déconnexion unique |
Passez à la troisième étape « Certificats SAML » et sélectionnez « Signer la réponse et l'assertion SAML » dans le menu déroulant situé sous « Options de signature ». Le champ « Algorithme de signature »doit être laissé tel quel (SHA-256).
N'oubliez pas de télécharger le certificat en Base64 puisque vous en aurez besoin plus tard lors de la configuration dans Mailjet.
Une fois que vous avez complété les étapes 1 et 3, vous devrez les reproduire dans Mailjet.
Pour accéder à la configuration du SAML dans Mailjet, cliquez sur Préférences du compte --> Authentification SAML (SSO) dans la page d'informations du compte.
Sélectionnez « Configurer l'authentification SAML ».
Vous arriverez alors sur un formulaire que vous devrez compléter.
Fournir les informations Azure à Mailjet
Mailjet |
Azure |
Commentaire |
|
Domaine(s) associé(s) |
- |
Le nom de domaine personnalisé doit être ajouté et vérifié dans Azure et Mailjet |
|
ID de l’entité IdP |
Identificateur d'Azure AD |
|
|
Demander une préférence de signature |
Section de certificat de signature SAML > Modifier > Options de signature |
Devrait être "Sign SAML response and assertion" |
|
URL de l’ouverture de session unique |
URL de connexion |
|
|
URL du service de déconnexion unique |
URL de déconnexion |
|
|
Certificat X.509 |
Certificat (Base64) |
Doit être téléchargé en tant que Base64 et ouvert dans un éditeur de texte, afin que la valeur puisse être copiée dans le format requis |
Gestion des utilisateurs
Mailjet
Notre fonction SSO basée sur SAML donne à vos utilisateurs un accès à l'application Mailjet via un fournisseur d'identité (IdP). Tous les utilisateurs à qui vous avez partagé l'accès à votre compte seront listés dans la section « Utilisateurs ».
Note importante : Veuillez noter que la fonctionnalité de Single Sign-On (SSO) est réservée aux utilisateurs ayant un accès partagé. Cette fonctionnalité ne s'applique pas à votre adresse de connexion.
Remarque : la fonction d'authentification unique sera désactivée par défaut pour tous les utilisateurs. Seuls les utilisateurs actifs avec un domaine associé dans la configuration SAML pourront se connecter à votre compte via SSO.
Vous pouvez activer la fonctionnalité SSO pour tous les utilisateurs en une seule fois, en cliquant sur le bouton « Activer SAML pour touts »...
... ou vous pouvez activer ou désactiver l'accès pour les utilisateurs individuels, un par un, manuellement a partir de la roue dentée.
Fournisseur d'identité (Okta)
Une fois que vous avez activé vos utilisateurs dans l'application Mailjet, vous devrez également les ajouter à votre fournisseur d'identité (IdP), dans ce cas Okta.
Ouvrez votre compte Okta, allez dans « Directory --> People » (Annuaire --> Personnes) et cliquez sur « Add person » (Ajouter une personne).
Une fois que vous avez entré toutes les informations requises, sélectionnez « Save » (Enregistrer).
Remarque : Si vous souhaitez avertir immédiatement le nouvel utilisateur et lui envoyer un e-mail d'activation, cochez la case « Send user activation email now » (Envoyer l'e-mail d'activation de l'utilisateur maintenant). L'utilisateur sera alors invité à cliquer sur un lien pour activer son compte Okta.
L'étape suivante consistera à visiter la page Applications et à sélectionner l'application à laquelle vous souhaitez attribuer l'utilisateur nouvellement ajouté.
Sélectionnez « Assign to people » (Attribuer aux personnes) dans le menu déroulant « Assign» (Attribuer).
Cliquez « Assign» (Attribuer) pour l'utilisateur que vous avez précédemment ajouté.
Remarque : Seuls les utilisateurs non attribués seront affichés.
Vous serez ensuite redirigé vers la page « People » (Personnes) pour trouver tous les utilisateurs ajoutés à votre compte Okta et leur statut actuel.
Si toutes les étapes mentionnées ci-dessus ont été suivies correctement, les utilisateurs ayant accès à votre application Mailjet ne devraient avoir aucun problème à se connecter via SSO.
Fournisseur d’identité (Azure)
Une fois que vous avez activé vos utilisateurs finaux depuis l'application Mailjet, vous devrez également les ajouter à votre fournisseur d’identité (IdP), donc Azure dans le cas qui nous intéresse.
Ouvrez votre compte Azure, et rendez-vous sur Azure Active Directory --> Utilisateurs et cliquez sur « Nouvel utilisateur ».
Suivez toutes les étapes et ajoutez le nouvel utilisateur, qui apparaîtra alors dans la page « Utilisateurs ».
Remarque : Entrez l'adresse e-mail en lettres minuscules car elle est sensible à la casse.
Vous devez à présent associer l'utilisateur nouvellement créé à l'application Mailjet que vous avez créé plus tôt.
Rendez-vous dans l'application et sélectionnez « Attribuer des utilisateurs et des groupes ».
Cliquez ensuite sur « Ajouter un utilisateur/groupe »...
... et sélectionnez l'utilisateur de la liste à qui vous souhaitez accorder un accès authentification unique.
Une fois sélectionné et attribué, l'utilisateur apparaîtra dans la page « Utilisateurs et groupes ». Tous les utilisateurs apparaissant dans cette page disposent d'un accès à authentification unique à votre application.
Si toutes les étapes mentionnées ci-dessus ont été suivies correctement, les utilisateurs finaux ayant accès à votre application Mailjet ne devraient avoir aucun problème pour se connecter via l'authentification unique.
Se connecter avec le SSO
Pour vous connecter, cliquez sur le bouton « Se connecter avec l'authentification unique » sur la page de connexion de Mailjet.
Une nouvelle fenêtre apparaîtra alors avec un formulaire de saisie pour votre email.
Une fois que vous aurez saisi votre adresse email et cliqué sur le bouton « S'identifier », vous serez redirigé vers le tableau de bord de votre compte.
Remarque : Si un utilisateur partagé est activé pour l'authentification unique, il ne pourra plus se connecter au compte de la manière habituelle. L'utilisateur devra toujours se connecter via l'option SSO.