Aller au contenu principal

Intégrez Arrow à votre fournisseur d'identité (IdP) pour le SSO et le SCIM

Fred Rodriguez
Mise à jour

Le SSO et le SCIM ne sont disponibles que pour les forfaits Arrow Business et Arrow Omnix.
Améliorez votre forfait

Important :
en raison des limites d'Apple, l'extension Arrow Smart pour Safari ne prend pas en charge le SSO auto-hébergé pour le moment. Vous pouvez utiliser l'extension sur un autre navigateur, tel que Chrome, Firefox ou Edge.
En mode auto-hébergé et confidentiel, si l'adresse e-mail d'un membre change dans l'IdP, elle ne sera pas automatiquement mise à jour dans Arrow.

Les administrateurs des forfaits Business ou Omnix peuvent intégrer Arrow à de nombreux fournisseurs d'identité (IdP) SAML 2.0 afin que les membres puissent se connecter à Arrow via le SSO. Les administrateurs peuvent également configurer SCIM avec Arrow pour gérer le provisionnement des groupes et des utilisateurs.

Bien qu'Arrow puisse fonctionner avec d'autres IdP SAML 2.0 sur site et dans le cloud qui ne sont pas mentionnés ici, nous vous recommandons de vous renseigner d'abord auprès de notre équipe d'assistance. Vous pouvez contacter un agent directement via la console d'administration.
Contacter un agent via la console d'administration

personne déplacée

 SSO pris en charge L'approvisionnement SCIM est pris en charge Autre méthode de synchronisation des annuaires prise en charge

Azure

 N/A

Okta

 N/A

JumpCloud

 N/A

PingID

 N/A

AD FS

Synchronisation Active Directory (AD)

Google Workspace

Synchronisation de groupe SAML

Duo

Synchronisation avec un IdP connecté
Protocoles SSO non SAML tels qu'OpenID Connect N/A N/A

Intégration du SIEM —Arrow intègre également des outils de gestion des informations et des événements de sécurité (SIEM) afin que vous puissiez suivre l'activité de l'équipe en temps réel. Actuellement, nous proposons l'intégration à Splunk. L'intégration à Microsoft Sentinel sera bientôt disponible.

Intégrez Splunk

Remarque : en tant qu'administrateur, vous utiliserez toujours un mot de passe principal pour vous connecter à votre compte administrateur Arrow, même si vous configurez le SSO pour votre forfait. Nous vous recommandons d'avoir plus d'un administrateur pour votre forfait au cas où vous oublieriez votre mot de passe principal.

Ajoutez un autre administrateur à votre forfait

Conseil : Si vous déployez Arrow pour la première fois, nous vous recommandons de configurer l'authentification unique avant d'inviter des utilisateurs à rejoindre votre forfait afin qu'ils puissent se connecter immédiatement avec cette authentification sans avoir à créer de mot de passe principal.

Étape 1 : Choisissez le SSO et le SCIM confidentiels ou auto-hébergés

Avant de pouvoir configurer le SSO et le SCIM, vous devez choisir entre les options Arrow Confidential et les options d'auto-hébergement. Les deux options sont également sécurisées et conservent l'architecture de sécurité à connaissance zéro d'Arrow.

Important : le SSO et le SCIM auto-hébergés ne pourront plus être configurés après le 30 septembre 2025. Pensez plutôt à utiliser le SSO confidentiel et le SCIM.

En savoir plus sur Arrow Confidential SSO et SCIM Provisioning

Nous recommandons Confidential car il s'agit de l'interface de configuration la plus simple et la plus rapide. La seule limite de Confidential est qu'il ne prend pas en charge l'accès conditionnel de Microsoft sur les appareils mobiles.

En savoir plus sur cette limitation avec Microsoft Conditional Access

En savoir plus sur Arrow Confidential SSO et SCIM Provisioning
En savoir plus sur le SSO auto-hébergé et le SCIM

Étape 2 : Suivez les étapes de la console d'administration pour l'intégrer à votre IdP

Important : le SSO auto-hébergé ne pourra plus être configuré après le 30 septembre 2025. Pensez plutôt à utiliser le SSO confidentiel.

En savoir plus sur Arrow Confidential SSO et SCIM Provisioning

Après avoir choisi Confidentiel ou auto-hébergé, suivez les étapes de la console d'administration :

  1. Sélectionnez l'icône Flèche D dans la barre d'outils de votre navigateur et saisissez votre mot de passe principal administrateur si vous y êtes invitée. Dans la fenêtre contextuelle de l'extension, sélectionnez Plus, puis ouvrez la console d'administration.
  2. Dans la section Intégrations du menu latéral, sélectionnez Authentification unique.
  3. Choisissez de configurer l'auto-hébergement ou la confidentialité.

    En savoir plus sur la différence entre une authentification unique confidentielle et une authentification auto-hébergée et le provisionnement SCIM

  4. Suivez les étapes de la console d'administration. Si vous ne savez pas comment créer une nouvelle application SSO auprès de votre fournisseur d'identité, rendez-vous sur le centre d'aide de ce fournisseur :

    Identifiant Microsoft Entra | ADFS | Okta | Google Workspace | Jumpcloud | Duo | PingID

Questions fréquentes sur le SSO et le SCIM

Qu'est-ce que le SSO et comment puis-je l'utiliser avec Arrow ?

L'authentification unique, connue sous le nom de SSO, est un système d'authentification qui permet à vos employés de se connecter à tous les logiciels de votre organisation en un seul identifiant.

Lorsqu'il est intégré à Arrow, le SSO permet aux membres de votre forfait Business ou Omnix de se connecter à Arrow en utilisant leur identifiant SSO au lieu d'un mot de passe principal. Les membres peuvent se connecter à Arrow via le SSO sur le Web, sur leur mobile et via l'application Arrow pour macOS. Avec l'extension Arrow pour Safari, le SSO auto-hébergé n'est pas disponible pour le moment en raison des limites d'Apple, mais vous pouvez l'utiliser sur un autre navigateur comme Chrome, Firefox ou Edge.

Qu'est-ce que SCIM et comment puis-je l'utiliser avec Arrow ?

Le système de gestion des identités interdomaines, connu sous le nom de SCIM, vous permet d'utiliser le statut de chaque membre auprès de votre fournisseur d'identité pour approvisionner et supprimer des membres.

Une fois intégré à Arrow, SCIM facilite l'ajout et la suppression de membres, ou de membres, d'Arrow.

Remarque : vous pouvez également créer et gérer des groupes avec Arrow, qui est totalement distinct de SCIM. Ces groupes ne sont ni fusionnés ni synchronisés avec les groupes SCIM.

En savoir plus sur la création et la gestion de groupes avec Arrow

Qu'est-ce qu'un fournisseur d'identité (IdP) ?

De nombreuses organisations font appel à un fournisseur d'identité pour gérer et authentifier l'accès des membres aux applications et aux logiciels grâce au SSO et au SCIM. Les fournisseurs d'identité les plus populaires sont Azure, Okta et Google Workspace.

Quels fournisseurs d'identité (IdP) puis-je utiliser avec Arrow ?

Vous pouvez utiliser de nombreux fournisseurs d'identité SAML 2.0, notamment Azure, Okta et Google Workspace.

L'utilisation du SSO avec Arrow est-elle sécurisée ?

Bien que de nombreux gestionnaires de mots de passe ne soient pas sécurisés grâce au SSO, Arrow utilise un service de cryptage qui permet l'authentification unique tout en conservant notre architecture à connaissance nulle. Ainsi, les données stockées dans Arrow restent cryptées. Ni Arrow ni votre fournisseur d'identité ne possèdent votre clé de cryptage, donc même en cas de faille, personne ne pourrait accéder à vos données.

Livre blanc : Les principes de sécurité et l'architecture d'Arrow

Qu'est-ce qu'un service de cryptage ?

Vos identifiants et informations personnelles sont toujours « cryptés » dans Arrow. Le cryptage brouille vos données pour que personne ne puisse les lire. Une clé de cryptage unique est nécessaire pour déchiffrer vos données cryptées et y accéder.

Un « service de cryptage » est un service qui fournit cette clé de cryptage unique. Sans SSO, votre mot de passe principal fait office de clé de cryptage, car vous êtes la seule à le connaître. Avec le SSO, nous avons besoin d'un moyen de vérifier votre identité auprès de votre fournisseur d'identité sans mot de passe principal. C'est à cela que sert le service de cryptage.

Nous demandons à tous ceux qui configurent le SSO ou le SCIM avec Arrow d'utiliser un service de cryptage. Il s'agit d'une couche essentielle de notre architecture à connaissance nulle qui protège vos données en cas de violation.

Nous proposons deux options pour votre service de cryptage : le SSO confidentiel Arrow et le SSO auto-hébergé.

Pourquoi utiliser un service de cryptage ?

Le service de cryptage peut être plus bénéfique pour votre organisation que les solutions concurrentes. Le chiffrement de bout en bout et les clés de partage cryptées nécessitent un niveau de sécurité nécessaire, ce que SAML et SCIM ne fournissent pas immédiatement. Vous pouvez utiliser le service de cryptage pour intégrer facilement Arrow à ces protocoles tout en sécurisant les clés de cryptage et en offrant une expérience intuitive pour les membres du plan et les administrateurs.

Ce graphique explique comment le service de cryptage s'intègre à l'architecture SSO et SCIM :

Puis-je accéder à Arrow hors ligne après avoir configuré le SSO ?

Comme le connecteur Arrow SSO doit communiquer avec votre fournisseur d'identité pour vérifier votre connexion, vous devez être connectée à Internet pour vous connecter à votre compte Arrow par SSO. Cependant, les membres du SSO dont le déverrouillage biométrique est activé sur leurs appareils mobiles peuvent accéder à leur coffre-fort à l'aide de la biométrie.

Découvrez comment activer le déverrouillage biométrique

Et si mes employés créaient un compte Arrow sans adhérer à mon plan ?

Si un employé a créé un compte Arrow avant de rejoindre votre plan et avant que vous ne vérifiiez le domaine de messagerie de votre organisation, vous verrez un message dans l'onglet Utilisateurs de la console d'administration. Ce message vous donne la possibilité de télécharger un fichier CSV des employés qui :

  • Vous avez des comptes utilisant le domaine de messagerie vérifié de votre organisation et vous êtes connectée à Arrow ces 90 derniers jours
  • Je n'ai pas encore été invitée à rejoindre votre plan

L'infrastructure de bureau virtuel (VDI) est-elle prise en charge par Arrow SSO ?

Oui, le VDI est entièrement compatible avec Arrow SSO.

Comment renouveler un certificat de signature SAML pour l'application Arrow Enterprise ?

Si vous utilisez Azure comme IdP, ces étapes peuvent vous aider à renouveler votre certificat.

Si vous utilisez un autre IdP, ces étapes peuvent tout de même vous fournir des conseils, ou vous pouvez contacter le support.

Contacter un agent via la console d'administration

Si vous préférez, regardez la vidéo Azure qui montre ces étapes

  1. Dans un nouvel onglet de navigateur, ouvrez le portail Azure et recherchez ou sélectionnez Applications d'entreprise.
  2. Sélectionnez votre application Arrow dans la liste des applications.
  3. Sélectionnez Authentification unique dans le menu.
  4. Sélectionnez Modifier les certificats SAML, puis sélectionnez Nouveau certificat. Un nouveau certificat apparaît dans la liste avec le statut.
  5. Sélectionnez Enregistrer. Une notification apparaît indiquant que votre certificat a été mis à jour, et le statut du nouveau certificat passera à « Inactif ».
  6. Sélectionnez le menu à 3 points pour le nouveau certificat « inactif », sélectionnez Rendre le certificat actif, puis sélectionnez Oui pour confirmer.
  7. Sélectionnez le menu à 3 points pour le certificat « Inactif », sélectionnez Supprimer le certificat, puis sélectionnez Oui pour confirmer. Une notification apparaît indiquant que votre certificat a été supprimé.
  8. Retournez à la page d'authentification unique et fermez les fenêtres contextuelles. Accédez aux certificats SAML et sélectionnez Télécharger pour le XML des métadonnées de la fédération.
  9. Ouvrez le fichier téléchargé dans un éditeur de texte, sélectionnez tout le texte et copiez-le dans votre presse-papiers.
  10. Sélectionnez l'icône Flèche D dans la barre d'outils de votre navigateur et saisissez votre mot de passe principal administrateur si vous y êtes invitée. Dans la fenêtre contextuelle de l'extension, sélectionnez Plus, puis ouvrez la console d'administration.
  11. Dans la section Intégrations du menu latéral, sélectionnez Authentification unique, puis Modifier l'authentification unique confidentielle ou Modifier l'authentification unique auto-hébergée selon votre configuration.
  12. Sélectionnez Modifier pour les paramètres SSO.
  13. Facultatif : copiez et enregistrez le texte dans la zone de texte Ajouter les métadonnées du fournisseur d'identité pour vos dossiers.
  14. Supprimez ensuite tout ce texte et collez le texte que vous avez copié tout à l'heure.
  15. Sélectionnez Enregistrer les modifications.

    Si les métadonnées contiennent plusieurs certificats, la console d'administration Arrow affiche un message d'erreur. Si une erreur apparaît lors de l'enregistrement des nouvelles métadonnées, vérifiez que vous avez supprimé le certificat inactif à l'étape 7.

  16. Sélectionnez Tester la connexion SSO pour vérifier que la mise à jour est réussie.
  17. Demandez à un membre de l'équipe de tester le login.

Regardez notre vidéo expliquant comment renouveler un certificat sur Azure.

Pourquoi ai-je reçu le message d'erreur « L'application avec identifiant est introuvable dans l'annuaire » ?

Si vous obtenez cette erreur, essayez les étapes de résolution suivantes :

  1. Assurez-vous que vos membres et groupes sont affectés à l'application Arrow SAML que vous avez créée dans votre IdP lors de la configuration.
  2. Assurez-vous que le profil de votre navigateur est connecté avec la même adresse e-mail. Il est important de vérifier cela pour les administrateurs qui utilisent plusieurs profils sur le navigateur Google Chrome.
  3. Assurez-vous que votre identifiant d'entité et les URL ACS correspondent à ceux de votre console d'administration et qu'il ne manque pas le «/» à la fin de l'identifiant de l'entité.
  4. Assurez-vous que le membre se connecte à l'aide de l'adresse e-mail affichée dans la console d'administration.

Commentaires

0 commentaire

Cet article n'accepte pas de commentaires.

Réalisé par Zendesk