Aller au contenu principal

Comment activer SAML SSO avec Mailjet

N.Makarov
  • Mise à jour
S’abonner

Résumé

 

Qu'est-ce que SAML SSO ?

En utilisant le protocole SAML 2.0, Mailjet vous permet d'intégrer votre fournisseur d'identité pour authentifier les utilisateurs via l'authentification unique, également connue sous le nom de SSO. En théorie, tant que votre fournisseur d'identité actuel supporte le protocole SAML 2.0 (Okta, Auth0, Onelogin, Azure AD, etc), vous devriez pouvoir utiliser votre fournisseur avec Mailjet.

 

Remarque : SAML SSO n'est disponible que pour les comptes personnalisés.

 

Conditions requises pour activer SAML SSO sur Mailjet

Domaine vérifié

Afin de configurer SAML, vous devrez vérifier que vous êtes propriétaire de votre domaine d'entreprise (le domaine utilisé dans la configuration SAML pour se connecter). Actuellement, la plateforme Mailjet utilise des enregistrements TXT pour la vérification du domaine.

Mailjet peut générer un enregistrement TXT unique que vous pouvez ajouter au DNS de votre domaine d'entreprise et qui nous permettra de vérifier que vous êtes propriétaire de ce domaine. Afin d'utiliser cette méthode, rendez-vous sur la page de configuration SAML (« Paramètres du compte » > détails dans le menu de gauche, puis descendez jusqu'à la section « Authentification », et dans la sous-section « Auth SAML », cliquez sur « Configurer SAML SSO »), entrez votre domaine d'entreprise dans le champ « Nom de domaine » sous « Création d'un enregistrement TXT de domaine », et cliquez sur « Créer ». Copiez l'enregistrement TXT de la modale et ajoutez-le aux enregistrements DNS de votre domaine.

 

Domain_verification_via_TXT_FR.PNG

Domain_verification_via_TXT_2_FR.PNG

Assurez-vous que les domaines de tous les comptes d'utilisateurs sont vérifiés avant d'essayer de configurer SAML sur Mailjet. Par exemple, si les domaines sont mailjet.com et mailgun.com, ces actions doivent être effectuées pour chacun d'eux.

 

Détails du fournisseur d'identité

Vous devrez fournir les éléments suivants à Mailjet à partir de votre fournisseur d'identité :

  • IdP Entity ID (également connu comme Identity Provider Issuer)

  • URL de l'authentification unique

  • Certificat X509

Détails du fournisseur de services

Vous devrez fournir les détails suivants du fournisseur SAML à votre fournisseur d'identité depuis Mailjet :

  • ID de l'entité

  • URL du service consommateur d'assertion

  • URL du service de déconnexion unique

 

Accéder et activer SAML SSO sur Mailjet

Note : seuls les utilisateurs ayant des droits d'aministrateur ont accès à l'activation/désactivation du SAML sur le compte.

Afin d'accéder à la configuration SAML sur Mailjet, cliquez sur « Paramètres du compte » > « Auth SAML (SSO) » sur la page « Informations du compte » :

SAML1.1_FR.PNG
SAML_4_FR.PNG

Vous y trouverez les coordonnées du fournisseur de services concerné, ainsi que le formulaire que vous devrez remplir :

SAML2_FR.PNG

Afin d'activer votre configuration, tous les champs obligatoires doivent être remplis avec les détails du fournisseur d'identité.

 

Désactiver SAML SSO

Note : seuls les utilisateurs ayant des droits d'aministrateur ont accès à l'activation/désactivation du SAML sur le compte.

Afin de désactiver SAML SSO sur votre compte, cliquez sur « Paramètres du compte » > « Auth SAML (SSO) » sur la page « Informations du compte ». Puis cliquez sur l'icône en forme de roue dentée, et sur « Désactiver SAML ».

SAML_3_FR.PNG

 

Fournisseurs d'identité

Différents fournisseurs d'identité peuvent être utilisés : Okta, Auth0, Onelogin, Azure AD, etc. Cet article explique comment le faire avec Okta.

Configurer SAML SSO en utilisant Okta

Tout d'abord, vous aurez besoin d'un compte Okta. Si vous en avez déjà un, c'est parfait ! Sinon, vous pouvez vous inscrire sur https://developer.okta.com et suivre les instructions pour obtenir un compte développeur gratuit.

Une fois que vous avez un compte Okta, naviguez vers « Applications ».

OKTA1.1.PNG

Une fois là, cliquez sur « Create App Integration » (créer une intégration d'application). Lorsque la fenêtre modale s'ouvre, sélectionnez SAML 2.0 comme méthode d'ouverture de session et cliquez sur « Next » (suivant).

OKTA3.PNG

Donnez à votre application un nom et un logo si vous le souhaitez. Vous pouvez ignorer les options de visibilité de l'application, puis cliquez sur « Next » (suivant).

OKTA4.PNG

Entrez votre :

  • URL de connexion unique (cette URL est appelée « Assertion Consumer Service URL" » (URL du service consommateur d'assertion) dans votre tableau de bord Mailjet).

    • Laissez la case « Use this for Recipient URL and Destination URL » cochée.

  • URI d'audience (« Entity ID » (ID de l'entité) dans votre tableau de bord Mailjet)

  • Laissez le champ « Default RelayState » vide

  • Le format de l'ID du nom doit être réglé sur « EmailAddress ».

  • Le nom d'utilisateur de l'application doit être remplacé par « email ».

  • Laissez « Update application username on » sur « default ».

    OKTA5.PNG

Laissez la section « Attribute Statements » (instruction Attribute) vide et cliquez sur « Next » (suivant).

Sur la page suivante, choisissez « I’m an Okta customer adding an internal app » (je suis un client Okta ajoutant une application interne), puis cliquez sur « Finish » (terminer).

OKTA6.PNG

Vous atterrirez sur l'onglet « Sign On » (se connecter) de l'application que vous venez de configurer.

OKTA7.PNG

Cherchez le bouton « View Setup Instructions » (voir les instructions de paramétrage) et cliquez dessus pour afficher les données réelles que vous devez ajouter sur Mailjet. Cela devrait ressembler à ceci :

OKTA9.PNG

Copiez les données dans la page « Auth SAML (SSO) » de votre compte Mailjet et soumettez le formulaire. Si tout est correct, ça devrait fonctionner.

 

Configurer SAML SSO en utilisant Azure

Pour activer SAML SSO pour votre application Azure, suivez la documentation officielle d'Azure. Il est important de fournir les données nécessaires en suivant les correspondances ci-dessous.

 

Fournir les informations Mailjet à Azure

Azure 
 
Mailjet
Identifier (Entity ID) Entity ID
Reply URL (Assertion Consumer Service URL) Assertion Consumer Service URL
Logout Url (Optional) Single Logout Service

 

Fournir les informations Azure à Mailjet

Mailjet
 
Azure 
 
Commentaire
Associated domain(s) -

Le nom de domaine personnalisé doit être ajouté et vérifié dans Azure et Mailjet
IdP Entity ID

Azure AD Identifier

  
Request signing preference SAML Signing Certificate section > Edit > Signing option Devrait être "Sign SAML response and assertion"
Single Sign-On URL Login URL  
Single Logout Service URL

Logout URL

  
X.509 certificate Certificate (Base64)

Doit être téléchargé en tant que Base64 et ouvert dans un éditeur de texte, afin que la valeur puisse être copiée dans le format requis

Remarque : les utilisateurs doivent avoir un accès attribué à Mailjet dans Azure AD pour se connecter.

 

Se connecter avec le SSO

Pour vous connecter, cliquez sur le bouton « Se connecter avec l'authentification unique » sur la page de connexion de Mailjet. 

login-saml-fr.PNG

Une nouvelle fenêtre apparaîtra alors avec un formulaire de saisie pour votre email.

32.PNG

Une fois que vous aurez saisi votre adresse email et cliqué sur le bouton « S'identifier », vous serez redirigé vers le tableau de bord de votre compte.

 

Gestion des utilisateurs 

Mailjet

Notre fonction SSO basée sur SAML donne à vos utilisateurs un accès à l'application Mailjet via un fournisseur d'identité (IdP). Tous les utilisateurs à qui vous avez partagé l'accès à votre compte seront listés dans la section « Utilisateurs ».

 

Remarque : la fonction d'authentification unique sera désactivée par défaut pour tous les utilisateurs. Seuls les utilisateurs actifs avec un domaine associé dans la configuration SAML pourront se connecter à votre compte via SSO.

Users_-_enable_SAML_3.1_FR.PNG

Vous pouvez activer la fonctionnalité SSO pour tous les utilisateurs en une seule fois, en cliquant sur le bouton « Activer SAML pour touts »...

Users_-_disable_SAML_1_FR.PNG

... ou vous pouvez activer ou désactiver l'accès pour les utilisateurs individuels, un par un, manuellement a partir de la roue dentée.

Users_-_disable_SAML_2_FR.PNG

Fournisseur d'identité (Okta)

Une fois que vous avez activé vos utilisateurs dans l'application Mailjet, vous devrez également les ajouter à votre fournisseur d'identité (IdP), dans ce cas Okta.

 

Ouvrez votre compte Okta, allez dans « Directory --> People » (Annuaire --> Personnes) et cliquez sur « Add person » (Ajouter une personne).

image__13__2.PNG

Une fois que vous avez entré toutes les informations requises, sélectionnez « Save » (Enregistrer).

 

Remarque : Si vous souhaitez avertir immédiatement le nouvel utilisateur et lui envoyer un e-mail d'activation, cochez la case « Send user activation email now » (Envoyer l'e-mail d'activation de l'utilisateur maintenant). L'utilisateur sera alors invité à cliquer sur un lien pour activer son compte Okta.

image__14__2.PNG

L'étape suivante consistera à visiter la page Applications et à sélectionner l'application à laquelle vous souhaitez attribuer l'utilisateur nouvellement ajouté.

image__15_.png

Sélectionnez « Assign to people » (Attribuer aux personnes) dans le menu déroulant « Assign» (Attribuer).

image__16_.png

 

Cliquez « Assign» (Attribuer) pour l'utilisateur que vous avez précédemment ajouté.

 

Remarque : Seuls les utilisateurs non attribués seront affichés.

image__18_.png

Vous serez ensuite redirigé vers la page « People » (Personnes) pour trouver tous les utilisateurs ajoutés à votre compte Okta et leur statut actuel.

User_Status.png

Si toutes les étapes mentionnées ci-dessus ont été suivies correctement, les utilisateurs ayant accès à votre application Mailjet ne devraient avoir aucun problème à se connecter via SSO.

Articles associés