Authentification unique (SSO)

Yes. All users, including org owners, are subject to SSO enforcement by default.

Previously, org owners were automatically exempt from SSO enforcement. However, enterprise customers flagged this as a security risk. In response:

• New organizations enforcing SSO will have no default exemptions, including for owners.

• Admins can manually exempt specific users, such as break-glass accounts, from SSO enforcement.

• Existing customers will retain their current exemptions temporarily via a migration script, but can opt into enforcing SSO for all users.

To change exemptions, go to your SSO settings and manage user access individually.

L’application du SSO empêche les membres de l’organisation de se connecter à Contentful par e-mail ou par des services tiers (Github, Google et Twitter). Une fois activée, la seule méthode d’authentification autorisée pour la connexion sera via SSO.

La mise en place du SSO s’accompagne de deux mises en garde. L’application du SSO obligera les utilisateurs de votre organisation à se connecter via le SSO. Une fois appliqué, les utilisateurs suivants pourront toujours se connecter à Contentful par e-mail ou par le biais de services tiers :

• Ceux qui ont été explicitement exemptés de l’application du SSO. 

Les utilisateurs qui restent connectés à Contentful avant l’application du SSO peuvent continuer à utiliser Contentful sans l’application du SSO. Ce n’est qu’après l’expiration de leur session actuelle qu’ils seront obligés de se connecter via SSO.

REMARQUE : l’application du SSO est une fonctionnalité facultative. Vous pouvez choisir d’activer cette fonctionnalité en activant ou en désactivant la bascule située dans la section des restrictions de connexion de la page de modification de l’utilisateur.

L’administrateur de votre organisation peut demander une authentification SSO dans l’application web. Il devra d’abord sélectionner un fournisseur SSO, car le nom et les détails du fournisseur seront nécessaires lors de la configuration SSO dans Contentful.

REMARQUE:  vous pouvez quitter la page de configuration et revenir à tout moment à l’endroit où vous en étiez en cliquant sur Enregistrer les modifications en haut de l’écran.

1. Nom et confirmation SSO

Pour lancer le processus de configuration, il est nécessaire de créer votre nom SSO. Le nom SSO est un identifiant unique permettant à l’organisation de se connecter via le SSO de Contentful.  Le nom SSO doit être conforme aux exigences suivantes :

• Composé en minuscules. 

• Comprendre les symboles suivants : 0-9, a-z, et =-_~\/

• Ne pas contenir d’espaces. 

• Un nom unique dans toutes les organisations Contentful. 

Confirmez l’activation du SSO dans la boîte de dialogue qui suit pour terminer sa configuration.

REMARQUE : si vous souhaitez configurer une empreinte SHA de votre certificat, contactez notre service client.

2. Configuration de Contentful Service Provider

Ajoutez les détails suivants à votre fournisseur SSO : 

1. URI de l’audience (également appelé identifiant d’entité, identifiant d’émetteur ou identifiant de fournisseur d’identité)  

2. URL du service consommateur d’assertion (ACS) (également appelée URL SSO)  

Mappez les attributs utilisateur requis par Contentful avec les attributs utilisateur correspondants dans votre fournisseur d’identité. Ces attributs sont nommés comme suit :

• Prénom : le prénom de l’utilisateur. 

• Nom : le nom (ou le nom de famille) de l’utilisateur. 

• E-mail : l’adresse e-mail de l’utilisateur. 

Remplissez le formulaire pour nous fournir des détails sur le fournisseur SSO, l’URL de redirection et le certificat X.509 que vous avez sélectionnés. 

• URL du service SSO : URL du point de terminaison SSO spécifié par votre fournisseur d’identité, par exemple, https://sso.connect.pingidentity.com/sso/idp/SSO.saml2?idpid=idpid

• Certificat de signature : un certificat de signature public X.509 valide fourni par votre fournisseur d’identité, utilisé pour signer les réponses SSO. Notez que si vous souhaitez configurer une empreinte SHA de votre certificat, veuillez contacter le support client Contentful.

De nombreux fournisseurs d’identité vous demanderont également de configurer l’attribut Name ID. Contentful utilise cet attribut pour identifier vos utilisateurs lors des connexions SSO ultérieures. Par conséquent, l’identifiant de nom Name ID doit être mappé à un champ qui identifie de manière unique vos utilisateurs individuels, tel que l’adresse e-mail, le numéro d’employé ou un identifiant d’utilisateur unique mis à disposition par votre fournisseur d’identité.

REMARQUE : la plupart des détails techniques requis sont inclus dans le fichier de métadonnées fourni par votre fournisseur d’identité. L’administrateur SSO de votre organisation doit avoir accès à ce fichier.

3.  Détails du fournisseur d’identité

Une fois le SSO activé du côté de Contentful, l’administrateur SSO de votre organisation devra terminer le processus de configuration du côté du fournisseur d’identité et s’assurer que tous les autres paramètres pertinents sur les réseaux et applications internes sont mis à jour pour permettre aux employés d’accéder à Contentful via le SSO.

De nombreux fournisseurs d’identité vous demanderont également de configurer l’attribut Name ID. Contentful utilise cet attribut pour identifier vos utilisateurs lors des connexions SSO ultérieures. Par conséquent, l’identifiant de nom Name ID doit être mappé à un champ qui identifie de manière unique vos utilisateurs individuels, tel que l’adresse e-mail, le numéro d’employé ou un identifiant d’utilisateur unique mis à disposition par votre fournisseur d’identité.

REMARQUE : la plupart des détails techniques requis sont inclus dans le fichier de métadonnées fourni par votre fournisseur d’identité. L’administrateur SSO de votre organisation doit avoir accès à ce fichier.

Tester la connexion

Une fois que vous avez ajouté les détails du fournisseur d’identité, vous devez tester la connexion en cliquant sur Tester la connexion. En cliquant sur le bouton, vous accéderez à l’écran de connexion du fournisseur d’identité. Après la connexion, vous accéderez à la page de configuration, qui indiquera maintenant l’état de réussite/échec de la configuration.

REMARQUE : vous devez tester à nouveau la connexion si vous souhaitez appliquer un nouveau certificat X.509 à votre configuration SSO. 

Lorsqu’un utilisateur ayant des invitations en attente de plusieurs organisations Contentful accepte une invitation provenant d’une organisation avec authentification SSO obligatoire, toutes les autres invitations sont annulées et l’utilisateur est désinvité des autres organisations. Si l’utilisateur souhaite être membre de plusieurs organisations, il doit d’abord accepter l’invitation de l’organisation non SSO ou être exempté manuellement de l’application SSO dans l’organisation compatible SSO.

Pour activer votre accès SSO à votre organisation, suivez toutes les étapes requises sur la page de configuration et cliquez sur Enregistrer les modifications en haut à droite de la page. Une fois les modifications enregistrées, cliquez sur Activer SSO.  

Si votre accès SSO a été activé et que vous souhaitez désactiver l’accès SSO pour votre organisation, cliquez sur Désactiver SSO en haut à droite de la page. 

La désactivation de l’authentification unique permettra aux utilisateurs de votre organisation de se connecter sans authentification unique. Une fois désactivés, les utilisateurs de votre organisation peuvent se connecter à l’aide d’autres méthodes, telles que leur e-mail et des services tiers. 

Pour obtenir de l’aide supplémentaire, veuillez contacter le support client Contentful.

Le déprovisionnement d’un utilisateur du côté IdP aura pour effet immédiat d’empêcher l’utilisateur de se connecter à Contentful. Cependant, l’utilisateur sera toujours répertorié en tant que membre de l’organisation Contentful, et encourra des frais d’utilisation, jusqu’à ce qu’il soit supprimé manuellement par l’administrateur de l’organisation.

REMARQUE : si votre organisation n’a pas activé l’application SSO, les utilisateurs pourront se connecter avec leurs identifiants de connexion. 

La fonctionnalité d’authentification unique (SSO) est disponible gratuitement pour tous les clients Premium. Pour activer l’authentification unique pour votre organisation, accédez à l’option de configuration de l’authentification unique sous l’onglet « Outils d’accès » dans « Paramètres et abonnements de l’organisation » et suivez le processus de configuration guidé. Cette option est accessible par l’administrateur de votre organisation.

Pour des raisons de sécurité, les utilisateurs accédant à Contentful via SSO sont limités à des sessions d’une durée limitée. La durée standard de la session SSO est fixée à 12 heures, mais l’administrateur de votre organisation peut prolonger ou raccourcir cette période, à condition que votre fournisseur d’identité prenne en charge le paramètre sessionNotOnOrAfter, en fonction des besoins internes et des politiques de sécurité. Si votre fournisseur d’identité n’offre pas cette fonctionnalité, contactez notre service clientèle pour obtenir de l’aide dans la configuration d’une durée de session SSO personnalisée.

Contentful SSO fonctionne avec tous les fournisseurs d’identité qui prennent en charge le protocole SAML 2.0, y compris Okta, Microsoft Azure AD, OneLogin, Ping Identity, Auth0 et G Suite.

Intégrations prédéfinies

Recherchez des intégrations Contentful SAML 2.0 prédéfinies dans ces IdP :

• Microsoft Azure AD

• miniOrange

• Okta

• OneLogin

• Ping Identity

Si l’option d’authentification unique (SSO) est activée pour votre organisation, cliquez sur le lien « Connexion via SSO » en bas de la page de connexion.

Ensuite, indiquez le nom SSO de votre organisation. Si vous ne connaissez pas le nom, contactez l’administrateur de votre organisation.

Connectez-vous via votre fournisseur d’identité d’entreprise. Notez que si vous aviez déjà un compte Contentful valide, à ce stade, vous devrez confirmer votre e-mail en cliquant sur un lien. Cette étape permet de lier votre compte Contentful existant au compte d’entreprise.

Après avoir terminé ces étapes, la connexion à Contentful devrait être correctement. Lorsque vous vous déconnectez de Contentful, vous accéderez à une page de déconnexion SSO dédiée. Ajoutez cette page à vos favoris pour accéder à Contentful en un clic.