Authentification unique (SSO) pour votre entreprise
Configurez SAML pour que votre équipe puisse se connecter via votre fournisseur d'identité actuel.
Dernière mise à jour : 14 mai 2026
SSO est accessible aux entreprises vérifiées ayant souscrit un abonnement payant. La configuration utilise le protocole SAML 2.0 et est compatible avec Okta, Google Workspace, Microsoft Entra ID (Azure AD), JumpCloud, OneLogin et tout autre fournisseur d'identité (IdP) conforme aux normes.
Que fait l'SSO ?
Lorsque l'authentification via le fournisseur d'identité (SSO) est activée, vos collègues se connectent à LeyApp via le fournisseur d'identité de votre entreprise, sans avoir à mémoriser un mot de passe distinct. Les nouveaux employés obtiennent un accès dès que le service informatique les ajoute au groupe IdP approprié ; les employés qui quittent l'entreprise perdent leur accès dès que le service informatique les en retire.
SSO Cela ne remplace pas les comptes utilisateurs d'LeyApp, mais les relie entre eux. Les comptes existants sur les domaines de messagerie vérifiés de votre entreprise commenceront à s'authentifier via SAML dès que vous activerez cette fonctionnalité.
Avant de pouvoir configurer SSO
- Votre cabinet doit être **vérifié** (le badge de vérification doit apparaître dans l'en-tête du cabinet). L'accès à SSO est réservé aux cabinets vérifiés, car le routage d'authentification est sensible.
- Votre cabinet doit disposer d'au moins un **domaine de messagerie** ajouté dans Paramètres → Cabinet. SSO ne redirige que les utilisateurs dont l'adresse e-mail correspond à un domaine configuré.
- Seuls les **propriétaires et administrateurs** de l'entreprise ont accès à la page d'SSO. Les membres disposent d'un accès en lecture seule qui masque les métadonnées et les commandes de la zone de danger.
Comment fonctionne la configuration
La configuration consiste en un échange unique de métadonnées entre votre fournisseur d'identité (IdP) et LeyApp. Vous communiquez à l'IdP les informations relatives à notre fournisseur de services (URL ACS et ID d'entité), et vous transmettez à LeyApp les métadonnées de votre IdP (sous forme de XML brut ou d'URL de métadonnées hébergées).
Étape par étape
- Ouvrez **Tableau de bord → Entreprise → SSO**. Copiez l'URL ACS et l'ID d'entité : vous devrez les saisir dans votre fournisseur d'identité (IdP) lors de la création d'une nouvelle application SAML.
- Dans votre fournisseur d'identité (IdP), créez une application SAML 2.0 pour LeyApp en utilisant les valeurs que vous avez copiées. Configurez les attributs utilisateur de manière à ce que le champ « e-mail » corresponde à NameID.
- Exportez les métadonnées de votre fournisseur d'identité (IdP) au format XML ou copiez l'URL de ses métadonnées hébergées.
- De retour sur la page LeyApp SSO, collez le fichier XML de métadonnées dans le champ **Métadonnées IdP** (ou collez l'URL dans le champ URL des métadonnées), puis cliquez sur **Configurer le fournisseur**.
- Testez la connexion en vous déconnectant, puis en vous reconnectant avec l'adresse e-mail de domaine d'un collègue. Il devrait être redirigé vers votre fournisseur d'identité (IdP).
Niveaux d'application
Une fois la configuration effectuée, choisissez le niveau de rigueur avec lequel LeyApp applique la politique « SSO » pour les utilisateurs de vos domaines :
**Facultatif** — les utilisateurs de votre domaine peuvent choisir entre SSO ou un mot de passe. **Recommandé** — SSO est proposé par défaut, mais la connexion par mot de passe reste possible. **Obligatoire** — seules les connexions via SSO sont acceptées ; les connexions par mot de passe sur votre domaine sont bloquées.
Si vous activez l'option **Obligatoire**, l'accès sera bloqué pour tous les utilisateurs de votre domaine qui ne sont pas encore configurés dans l'IdP. Testez cette option avec au moins deux comptes n'appartenant pas au propriétaire avant de l'activer.
Conflits de noms de domaine
Chaque domaine de messagerie ne peut être revendiqué que par une seule entreprise. Si vous ajoutez un domaine déjà vérifié par une autre organisation, un message d'erreur s'affichera et vous devrez déposer un recours auprès du service d'assistance. La procédure de résolution des conflits suit le même principe que le processus de revendication d'une entreprise : c'est la preuve de la propriété du domaine qui prévaut.
Désactiver ou supprimer SSO
**Désactiver** conserve la configuration mais empêche les nouvelles connexions de passer par celle-ci — ce qui est utile lors du débogage d'une panne de l'IdP. **Supprimer** supprime complètement le fournisseur SAML ; les utilisateurs de votre domaine reviennent alors à la connexion par mot de passe. Ces deux actions se trouvent dans la zone de danger au bas de la page SSO et nécessitent une confirmation.
Suivez ce guide étape par étape pour configurer SAML en cinq minutes environ.