Aller au contenu principal

Trainline Business Authentification Unique (SSO) avec OpenID Connect

Mise à jour

L’authentification unique (Single Sign-On – SSO) permet à vos employés de se connecter à Trainline Business à l’aide des identifiants de leur fournisseur d’identité existant, offrant ainsi une authentification fluide et sécurisée. Pour activer le SSO, votre organisation doit être abonnée à notre offre Enterprise – vous pouvez en faire la demande ici.

Qu’est-ce que le SSO ?

L’authentification unique (SSO) permet aux utilisateurs de s’authentifier avec les mêmes identifiants et d’accéder à plusieurs applications, sans avoir à gérer plusieurs noms d’utilisateur et mots de passe. Grâce à OpenID Connect, le SSO s’intègre aux fournisseurs d’identité (IdP) tels que Microsoft Azure Active Directory / Microsoft Entra ID.

Avantages du SSO

  • Sécurité renforcée : Une authentification centralisée réduit les risques liés à l’utilisation de mots de passe faibles.
  • Meilleure expérience utilisateur : Les utilisateurs se connectent une seule fois et peuvent accéder à plusieurs plateformes, y compris Trainline Business.
  • Gestion simplifiée pour les administrateurs : Moins de demandes de réinitialisation de mot de passe et une gestion des utilisateurs facilitée lors du départ d’un employé.

Quel type de SSO est pris en charge par Trainline Business ?

Nous prenons en charge le SSO via tout fournisseur compatible avec le protocole OpenID Connect (OIDC), notamment (sans s’y limiter) :

  • Microsoft Entra ID (Microsoft Azure Active Directory)
  • Okta
  • Ping Identity (PingFederate)
  • OneLogin
  • Keycloak
  • Google Identity Platform
  • Autres fournisseurs – si vous utilisez un autre fournisseur conforme à OIDC, veuillez le préciser dans votre demande et nous vous recontacterons

Configuration du SSO avec Trainline Business

Prérequis

Avant de commencer, assurez-vous que les conditions suivantes sont remplies :

  1. Vous disposez de droits d’administrateur sur votre compte fournisseur d’identité.
  2. Votre organisation est abonnée à notre offre Enterprise avec le SSO activé.
  3. Vous avez défini la manière dont vous souhaitez inviter les utilisateurs sur notre plateforme (voir la section « Inviter des utilisateurs pour le SSO » ci-dessous).

Comment configurer le SSO

Veuillez remplir ce formulaire pour demander la mise en place du SSO. Dans le cadre de votre demande, il vous sera demandé de fournir :

  • Le fournisseur utilisé (par exemple Microsoft Entra ID)
  • Les domaines de messagerie à prendre en charge, pour chaque identifiant d’entreprise (par exemple example.com et example.co.uk)
  • Le nombre d’employés susceptibles d’utiliser Trainline Business
  • Si vous souhaitez demander un import et une invitation en masse de vos employés

Nous pourrons vous demander un accès à un environnement de test ainsi qu’à un utilisateur de test, si vous en disposez. Cela nous permet d’accélérer la mise en place et de tester l’intégration de manière approfondie avant son déploiement auprès de vos employés.
 

Inviter des utilisateurs pour le SSO

Nous ne prenons actuellement pas en charge le provisioning ni SCIM. Pour qu’un utilisateur puisse se connecter à la plateforme via le SSO, il doit d’abord être invité sur la plateforme. Nous recommandons d’utiliser notre fonctionnalité de lien de partage et de le transmettre à vos employés afin qu’ils puissent s’inscrire automatiquement sur la plateforme, ce qui permet de gagner du temps côté administration.

Besoin d’inviter un grand nombre d’employés en une seule fois ? Veuillez le préciser dans votre demande ci-dessus afin d’accéder à la fonctionnalité d’invitation en masse, qui envoie une invitation à chaque employé pour rejoindre votre compte Trainline Business. Il vous suffit de partager un fichier CSV contenant les informations des employés, et nous nous chargeons du reste.

Informations supplémentaires pour Microsoft Entra ID

Si vous configurez le SSO avec Microsoft Entra ID (anciennement Azure Active Directory), veuillez noter les points suivants :

  • L’application Trainline Business n’est pas publiée dans la galerie d’applications Entra. N’utilisez pas l’application qui apparaît dans la recherche de la galerie. Créez plutôt une nouvelle Inscription d’application (App Registration).

  • Une fois créée, l’inscription d’application affichera les informations requises, notamment le Client ID et l’URL Well-Known.

    • L’URL Well-Known se trouve dans l’onglet Endpoints.

  • Générez le Client Secret manuellement dans l’onglet Certificates & secrets (menu de gauche).

    • Assurez-vous de copier la valeur du secret (et non l’ID du secret).

    • Définissez une date d’expiration conforme à la politique de votre entreprise. Les administrateurs sont responsables du renouvellement des secrets avant leur expiration.

  • L’Identifier (Entity ID) et les Reply URLs seront fournis lors du processus de configuration de Trainline Business.

FAQ

  1. Puis-je utiliser SAML ? Actuellement, nous prenons uniquement en charge les fournisseurs compatibles avec OpenID Connect. Veuillez soumettre le formulaire ci-dessus afin de vérifier si votre fournisseur est compatible.
  2. Qu’advient-il des comptes employés existants ? Les comptes existants peuvent être associés au SSO lors de la première tentative de connexion.
  3. Comment mettre à jour mes paramètres SSO ou désactiver le SSO ? Contactez notre équipe afin de demander des modifications de configuration du SSO ou sa désactivation.
  4. Quels sont les délais de mise en place et de mise à jour des configurations SSO ? Nous visons une mise en place du SSO sous 10 jours ouvrés à compter de la réception de votre demande initiale, sous réserve que toutes les informations requises nous soient communiquées rapidement et que nous disposions d’un environnement de test. Il en va de même pour les mises à jour des configurations existantes.
  5. Une fois le SSO configuré, les utilisateurs peuvent-ils accéder au système sans celui-ci ? Non, une fois le SSO activé pour un compte entreprise spécifique, les utilisateurs ne peuvent se connecter qu’au moyen du SSO.
  6. Un de mes employés a changé de division. Comment modifier ses accès ? Vous devez le supprimer du compte Trainline Business (division) qu’il quitte avant de l’ajouter au nouveau compte.
  7. Trainline Business prend-il en charge le provisioning ou SCIM ? Nous ne prenons actuellement pas en charge le provisioning ni SCIM. Pour qu’un utilisateur puisse se connecter à la plateforme via le SSO, il doit être invité au préalable via un lien (ou individuellement par e-mail).
  8. Que faire lorsqu’un employé quitte l’entreprise et ne doit plus avoir accès à Trainline Business ?
    Les utilisateurs désactivés au niveau du SSO ne pourront plus se connecter à Trainline Business, conformément aux règles d’authentification définies par votre fournisseur d’identité.
    À noter : si votre entreprise utilisait Trainline Business avant la mise en place du SSO, les utilisateurs disposant d’un accès par e-mail et mot de passe devront être supprimés manuellement par un administrateur depuis l’espace de gestion des employés.

La mise en place du SSO permet à votre organisation d’offrir à l’ensemble des utilisateurs une expérience de connexion sécurisée et fluide.

Articles associés

Copyright © Trainline.com Limited ou ses entreprises affiliées. Tous droits réservés.

Trainline.com Limited est immatriculée en Angleterre et au Pays de Galles. Numéro d'immatriculation : 3846791. Siège social : Trainline, 1 Stonecutter Street, London EC4A 4AH, Royaume-Uni. Numéro de TVA : 791 7261 06.