Résumé
- Qu'est-ce que SAML SSO ?
- Conditions requises pour activer SAML SSO sur Mailjet
- Accéder et activer SAML SSO sur Mailjet
- Désactiver SAML SSO
- Fournisseurs d'identité
- Se connecter avec le SSO
- Gestion des utilisateurs
Qu'est-ce que SAML SSO ?
En utilisant le protocole SAML 2.0, Mailjet vous permet d'intégrer votre fournisseur d'identité pour authentifier les utilisateurs via l'authentification unique, également connue sous le nom de SSO. En théorie, tant que votre fournisseur d'identité actuel supporte le protocole SAML 2.0 (Okta, Auth0, Onelogin, Azure AD, etc), vous devriez pouvoir utiliser votre fournisseur avec Mailjet.
Remarque : SAML SSO n'est disponible que pour les comptes personnalisés.
Conditions requises pour activer SAML SSO sur Mailjet
Domaine vérifié
Afin de configurer SAML, vous devrez vérifier que vous êtes propriétaire de votre domaine d'entreprise (le domaine utilisé dans la configuration SAML pour se connecter). Actuellement, la plateforme Mailjet utilise des enregistrements TXT pour la vérification du domaine.
Mailjet peut générer un enregistrement TXT unique que vous pouvez ajouter au DNS de votre domaine d'entreprise et qui nous permettra de vérifier que vous êtes propriétaire de ce domaine. Afin d'utiliser cette méthode, rendez-vous sur la page de configuration SAML (« Paramètres du compte » > détails dans le menu de gauche, puis descendez jusqu'à la section « Authentification », et dans la sous-section « Auth SAML », cliquez sur « Configurer SAML SSO »), entrez votre domaine d'entreprise dans le champ « Nom de domaine » sous « Création d'un enregistrement TXT de domaine », et cliquez sur « Créer ». Copiez l'enregistrement TXT de la modale et ajoutez-le aux enregistrements DNS de votre domaine.
Assurez-vous que les domaines de tous les comptes d'utilisateurs sont vérifiés avant d'essayer de configurer SAML sur Mailjet. Par exemple, si les domaines sont mailjet.com et mailgun.com, ces actions doivent être effectuées pour chacun d'eux.
Détails du fournisseur d'identité
Vous devrez fournir les éléments suivants à Mailjet à partir de votre fournisseur d'identité :
-
IdP Entity ID (également connu comme Identity Provider Issuer)
-
URL de l'authentification unique
-
Certificat X509
Détails du fournisseur de services
Vous devrez fournir les détails suivants du fournisseur SAML à votre fournisseur d'identité depuis Mailjet :
-
ID de l'entité
-
URL du service consommateur d'assertion
-
URL du service de déconnexion unique
Accéder et activer SAML SSO sur Mailjet
Note : seuls les utilisateurs ayant des droits d'aministrateur ont accès à l'activation/désactivation du SAML sur le compte.
Afin d'accéder à la configuration SAML sur Mailjet, cliquez sur « Paramètres du compte » > « Auth SAML (SSO) » sur la page « Informations du compte » :
Vous y trouverez les coordonnées du fournisseur de services concerné, ainsi que le formulaire que vous devrez remplir :
Afin d'activer votre configuration, tous les champs obligatoires doivent être remplis avec les détails du fournisseur d'identité.
Désactiver SAML SSO
Note : seuls les utilisateurs ayant des droits d'aministrateur ont accès à l'activation/désactivation du SAML sur le compte.
Afin de désactiver SAML SSO sur votre compte, cliquez sur « Paramètres du compte » > « Auth SAML (SSO) » sur la page « Informations du compte ». Puis cliquez sur l'icône en forme de roue dentée, et sur « Désactiver SAML ».
Fournisseurs d'identité
Différents fournisseurs d'identité peuvent être utilisés : Okta, Auth0, Onelogin, Azure AD, etc. Cet article explique comment le faire avec Okta.
Configurer SAML SSO en utilisant Okta
Tout d'abord, vous aurez besoin d'un compte Okta. Si vous en avez déjà un, c'est parfait ! Sinon, vous pouvez vous inscrire sur https://developer.okta.com et suivre les instructions pour obtenir un compte développeur gratuit.
Une fois que vous avez un compte Okta, naviguez vers « Applications ».
Une fois là, cliquez sur « Create App Integration » (créer une intégration d'application). Lorsque la fenêtre modale s'ouvre, sélectionnez SAML 2.0 comme méthode d'ouverture de session et cliquez sur « Next » (suivant).
Donnez à votre application un nom et un logo si vous le souhaitez. Vous pouvez ignorer les options de visibilité de l'application, puis cliquez sur « Next » (suivant).
Entrez votre :
-
URL de connexion unique (cette URL est appelée « Assertion Consumer Service URL" » (URL du service consommateur d'assertion) dans votre tableau de bord Mailjet).
-
Laissez la case « Use this for Recipient URL and Destination URL » cochée.
-
-
URI d'audience (« Entity ID » (ID de l'entité) dans votre tableau de bord Mailjet)
-
Laissez le champ « Default RelayState » vide
-
Le format de l'ID du nom doit être réglé sur « EmailAddress ».
-
Le nom d'utilisateur de l'application doit être remplacé par « email ».
-
Laissez « Update application username on » sur « default ».
Laissez la section « Attribute Statements » (instruction Attribute) vide et cliquez sur « Next » (suivant).
Sur la page suivante, choisissez « I’m an Okta customer adding an internal app » (je suis un client Okta ajoutant une application interne), puis cliquez sur « Finish » (terminer).
Vous atterrirez sur l'onglet « Sign On » (se connecter) de l'application que vous venez de configurer.
Cherchez le bouton « View Setup Instructions » (voir les instructions de paramétrage) et cliquez dessus pour afficher les données réelles que vous devez ajouter sur Mailjet. Cela devrait ressembler à ceci :
Copiez les données dans la page « Auth SAML (SSO) » de votre compte Mailjet et soumettez le formulaire. Si tout est correct, ça devrait fonctionner.
Configurer SAML SSO en utilisant Azure
Pour activer SAML SSO pour votre application Azure, suivez la documentation officielle d'Azure. Il est important de fournir les données nécessaires en suivant les correspondances ci-dessous.
Fournir les informations Mailjet à Azure
Azure |
Mailjet |
Identifier (Entity ID) | Entity ID |
Reply URL (Assertion Consumer Service URL) | Assertion Consumer Service URL |
Logout Url (Optional) | Single Logout Service |
Fournir les informations Azure à Mailjet
Mailjet |
Azure |
Commentaire |
Associated domain(s) | - |
Le nom de domaine personnalisé doit être ajouté et vérifié dans Azure et Mailjet |
IdP Entity ID |
Azure AD Identifier |
|
Request signing preference | SAML Signing Certificate section > Edit > Signing option | Devrait être "Sign SAML response and assertion" |
Single Sign-On URL | Login URL | |
Single Logout Service URL |
Logout URL |
|
X.509 certificate | Certificate (Base64) |
Doit être téléchargé en tant que Base64 et ouvert dans un éditeur de texte, afin que la valeur puisse être copiée dans le format requis |
Remarque : les utilisateurs doivent avoir un accès attribué à Mailjet dans Azure AD pour se connecter.
Se connecter avec le SSO
Pour vous connecter, cliquez sur le bouton « Se connecter avec l'authentification unique » sur la page de connexion de Mailjet.
Une nouvelle fenêtre apparaîtra alors avec un formulaire de saisie pour votre email.
Une fois que vous aurez saisi votre adresse email et cliqué sur le bouton « S'identifier », vous serez redirigé vers le tableau de bord de votre compte.
Gestion des utilisateurs
Mailjet
Notre fonction SSO basée sur SAML donne à vos utilisateurs un accès à l'application Mailjet via un fournisseur d'identité (IdP). Tous les utilisateurs à qui vous avez partagé l'accès à votre compte seront listés dans la section « Utilisateurs ».
Remarque : la fonction d'authentification unique sera désactivée par défaut pour tous les utilisateurs. Seuls les utilisateurs actifs avec un domaine associé dans la configuration SAML pourront se connecter à votre compte via SSO.
Vous pouvez activer la fonctionnalité SSO pour tous les utilisateurs en une seule fois, en cliquant sur le bouton « Activer SAML pour touts »...
... ou vous pouvez activer ou désactiver l'accès pour les utilisateurs individuels, un par un, manuellement a partir de la roue dentée.
Fournisseur d'identité (Okta)
Une fois que vous avez activé vos utilisateurs dans l'application Mailjet, vous devrez également les ajouter à votre fournisseur d'identité (IdP), dans ce cas Okta.
Ouvrez votre compte Okta, allez dans « Directory --> People » (Annuaire --> Personnes) et cliquez sur « Add person » (Ajouter une personne).
Une fois que vous avez entré toutes les informations requises, sélectionnez « Save » (Enregistrer).
Remarque : Si vous souhaitez avertir immédiatement le nouvel utilisateur et lui envoyer un e-mail d'activation, cochez la case « Send user activation email now » (Envoyer l'e-mail d'activation de l'utilisateur maintenant). L'utilisateur sera alors invité à cliquer sur un lien pour activer son compte Okta.
L'étape suivante consistera à visiter la page Applications et à sélectionner l'application à laquelle vous souhaitez attribuer l'utilisateur nouvellement ajouté.
Sélectionnez « Assign to people » (Attribuer aux personnes) dans le menu déroulant « Assign» (Attribuer).
Cliquez « Assign» (Attribuer) pour l'utilisateur que vous avez précédemment ajouté.
Remarque : Seuls les utilisateurs non attribués seront affichés.
Vous serez ensuite redirigé vers la page « People » (Personnes) pour trouver tous les utilisateurs ajoutés à votre compte Okta et leur statut actuel.
Si toutes les étapes mentionnées ci-dessus ont été suivies correctement, les utilisateurs ayant accès à votre application Mailjet ne devraient avoir aucun problème à se connecter via SSO.