Passer au contenu principal

Configuration de la connexion SSO

Écrit par Julien Chil Hagopian

Menu Paramètres → Paramètres avancés

Pourquoi configurer le SSO ?

Le Single Sign-On (SSO) apporte à votre équipe :

  1. Une gestion centralisée des identités (politiques de mot de passe, MFA, confiance des appareils)

  2. Une réduction des risques liés aux mots de passe faibles ou réutilisés

  3. Une révocation immédiate des accès lors du départ d’un collaborateur

⭐️ Feedier supporte le standard OIDC, compatible avec tous les fournisseurs IAM modernes : en savoir plus sur OIDC.

Qui peut accéder à ce paramètre ?

Rôle

Accès

👑 Admins

Accès complet

🛠️ Editors

Aucun accès

👀 Viewers

Aucun accès

🔒 Restricted Viewers

Aucun accès

Vue d’ensemble

La mise en place du SSO se fait en deux étapes obligatoires, plus une configuration avancée optionnelle :

  1. Créer une application OIDC dans votre fournisseur IAM (Microsoft Entra utilisé en exemple).

  2. Configurer l’application SSO dans Feedier (accès admin requis).

  3. Configuration avancée (optionnel) : provisioning automatique des rôles et équipes, SSO frontend uniquement.

Si vous disposez déjà de votre URL de base, Client ID et Client Secret auprès de votre fournisseur IAM, vous pouvez passer directement à l’Étape 2.

Étape 1 : Créer l’application OIDC dans votre fournisseur IAM

L’exemple ci-dessous utilise Microsoft Entra. Les étapes sont similaires avec d’autres fournisseurs.

1.1 Enregistrer une nouvelle application

  1. Allez dans Applications → Enregistrements d’applications → Nouvel enregistrement.

  2. Remplissez le formulaire d’enregistrement :

    • Nom : un nom descriptif (par ex. « Feedier SSO »).

    • Types de comptes supportés : choisissez selon vos besoins (par ex. locataire unique).

    • URI de redirection : sélectionnez Web et collez l’URL de redirection fournie par Feedier (voir l’encadré ci-dessous).

    Cliquez sur Enregistrer.

Où trouver l’URL de redirection dans Feedier ?

Dans Feedier, allez dans Paramètres avancés → Authentification et cliquez sur Activer l’authentification OIDC.

1.2 Configurer l’authentification

  1. Ouvrez l’onglet Authentification de l’application enregistrée.

  2. Front channel logout. Laisser cette partie vide.

  3. Activez les flux Implicit Grant et Hybrid appropriés (en général les jetons d’identification (ID tokens) pour le SSO).

1.3 Configurer les permissions API

  1. Allez dans Permissions API → Ajouter une permission.

  2. Sélectionnez Microsoft Graph.

  3. Choisissez Permissions déléguées.

  4. Ajoutez au minimum openid et email.

⚠️ Étape critique — Accorder le consentement administrateur

Après avoir ajouté les permissions, vous devez cliquer sur le bouton « Accorder le consentement administrateur pour [votre organisation] » au-dessus de la liste des permissions, puis cliquer sur Oui pour confirmer.

Sans cette étape, tous les utilisateurs seront bloqués par un écran « Approbation requise » à la connexion — même si la configuration OIDC dans Feedier est parfaitement correcte. Les 3 permissions (email, openid, User.Read) doivent chacune afficher le statut Accordé.

Ce consentement est accordé une seule fois pour l'ensemble de l'organisation — aucune action nécessaire par utilisateur.

1.4 Récupérer les endpoints et le client secret

  1. Depuis la page Vue d’ensemble, notez les endpoints — ils seront nécessaires à l’étape 2.

  2. Allez dans Certificats & secrets et générez un Client Secret. Copiez-le immédiatement ; il ne sera plus visible ensuite.

Étape 2 : Configurer le SSO dans Feedier

  1. Dans Feedier, allez dans Paramètres avancés → Authentification.

  2. Activez l’authentification OIDC et réglez le type de flux sur Serveur.

  3. Renseignez les valeurs récupérées à l’étape 1 :

  4. Enregistrez.

Que se passe-t-il à l’activation du SSO ?

L’activation du SSO est silencieuse côté utilisateurs — aucun email ni notification automatique n’est envoyé.

  • Sessions en cours : les personnes déjà connectées à Feedier au moment de l’activation restent connectées. Leur session reste valide jusqu’à son expiration naturelle (ou jusqu’à ce qu’elles se déconnectent manuellement).

  • Prochaine connexion : la prochaine fois qu’un utilisateur arrive sur l’écran de login, Feedier détecte que l’organisation est en SSO et le redirige automatiquement vers votre fournisseur IAM (par ex. Azure Entra) pour s’authentifier. C’est à ce moment-là que le SSO prend effet pour de bon.

  • Pas de notification automatique : Feedier n’envoie rien aux utilisateurs au moment de l’activation. Si vous voulez qu’ils utilisent tout de suite le SSO (par exemple pour valider que ça marche), il vaut mieux les prévenir en amont et leur demander de se déconnecter / reconnecter.

En résumé : activation = silencieuse côté utilisateurs. Le basculement se fait naturellement au prochain login de chacun.

🔒 Nouveaux utilisateurs sans compte Feedier

Si un utilisateur s'authentifie via SSO mais n'a pas de compte Feedier existant, il obtient automatiquement le rôle Lecteur Restreint. C'est le comportement par défaut — aucune action manuelle n'est requise. Son accès peut être mis à niveau ensuite par un Admin dans les paramètres utilisateurs Feedier.

La correspondance SSO se fait sur l'adresse email : l'adresse dans votre IAM (Entra/Azure) doit correspondre à celle enregistrée dans Feedier pour chaque utilisateur.

Tester la connexion

Cliquez sur le Login URL indiqué dans les Paramètres avancés. Vous devriez être redirigé vers votre page d’authentification OIDC.

⚠️ Une fois le SSO activé, la connexion par nom d’utilisateur / mot de passe n’est plus autorisée. Effectuez vos tests dans une fenêtre privée et maintenez une session active dans votre fenêtre principale pour éviter d’être bloqué.

Comment les utilisateurs se connectent-ils ? Partagez le Login URL indiqué dans les Paramètres avancés — idéalement via votre intranet pour un accès facile.

Pourquoi bx.feedier.com ne redirige pas immédiatement après l'activation du SSO ?

Après l'activation du SSO, certains utilisateurs qui accèdent directement à https://bx.feedier.com et saisissent leur email professionnel peuvent ne pas être redirigés vers la page de connexion SSO immédiatement. C'est un comportement attendu — voici les raisons :

  • Cache navigateur ou de session : si un onglet bx.feedier.com était déjà ouvert avant l'activation du SSO, le navigateur peut servir l'ancienne page de connexion depuis son cache. Solution : fermer et rouvrir l'onglet, ou utiliser une fenêtre privée / navigation incognito.

  • Cache CDN / côté serveur : la détection de domaine de Feedier (qui associe le domaine email d'un utilisateur à un workspace SSO) est mise en cache côté serveur. Ce cache se rafraîchit généralement en quelques minutes à quelques heures après l'activation du SSO.

  • Email pas encore saisi : la redirection depuis bx.feedier.com se déclenche après que l'utilisateur a tapé son adresse email professionnelle. Si l'utilisateur clique sur « Se connecter » sans saisir d'email, il n'y a pas de domaine à faire correspondre.

Approche recommandée lors du déploiement : partagez directement le Login URL (visible dans Feedier Paramètres avancés → Authentification) avec vos utilisateurs — cela contourne entièrement la détection de domaine et fonctionne immédiatement après l'activation du SSO.

Configuration avancée

MFA et connexion par mot de passe

  • Lorsque le SSO est activé, la connexion par mot de passe est désactivée. La seule voie d’accès est le Login URL SSO.

  • Feedier applique le MFA par défaut. Si votre fournisseur IAM gère déjà le MFA, vous pouvez désactiver celui de Feedier dans les Paramètres avancés.

Mode Client (SSO frontend uniquement)

En mode Client, le serveur Feedier ne communique jamais avec votre fournisseur IAM — l’intégralité de l’échange OIDC se fait directement côté navigateur de l’utilisateur.

Recommandé si votre fournisseur IAM est derrière un pare-feu interne ou nécessite un VPN.

Bonne pratique : gérer les accès avec un groupe Entra

Par défaut, tout utilisateur de votre tenant Azure peut s'authentifier via l'application SSO Feedier. Pour restreindre les accès et maintenir une liste propre et auditable des utilisateurs Feedier, nous recommandons de créer un groupe Entra dédié et de l'affecter à l'application d'entreprise Feedier SSO.

  1. Dans Microsoft Entra, allez dans Groupes → Nouveau groupe et créez un groupe de sécurité (ex. Feedier Users). Ajoutez tous les collaborateurs qui doivent avoir accès à Feedier.

  2. Allez dans Applications d'entreprise → Feedier SSO → Utilisateurs et groupes. Cliquez sur Ajouter un utilisateur/groupe et affectez le groupe que vous venez de créer.

  3. Dans l'inscription d'application Feedier SSO, allez dans Propriétés et passez Affectation requise à Oui. Cela garantit que seuls les membres du groupe affecté peuvent s'authentifier — tout autre utilisateur sera bloqué par Entra avant même d'atteindre Feedier.

Avantages de cette approche :

  • Point unique pour gérer qui accède à Feedier (ajouter/retirer du groupe).

  • L'accès est révoqué automatiquement quand un utilisateur quitte le groupe ou l'entreprise.

  • Pas besoin de gérer les utilisateurs un par un dans l'application Entra.

  • Compatible avec les groupes RH ou métier déjà existants dans Entra.

⚠️ Si vous activez Affectation requise alors que des utilisateurs se sont déjà connectés via SSO, seuls les membres du groupe pourront se ré-authentifier. Les non-membres seront bloqués au niveau Entra. Assurez-vous d'abord que tous les utilisateurs Feedier actuels sont bien dans le groupe.

Provisioning automatique des rôles depuis votre IAM

Plutôt qu’assigner manuellement les rôles Feedier, vous pouvez les provisionner depuis votre IAM. L’exemple ci-dessous utilise Azure AD ; le principe est identique avec d’autres fournisseurs.

  1. Créez les quatre rôles d’application dans votre application d’entreprise Entra ID : Admin, Editor, Viewer, Restricted Viewer.

  2. Envoyez votre Workspace ID à [email protected] pour que notre équipe complète la configuration backend.

  3. Envoyez un lien de test à un utilisateur pour vérifier.

⚠️ Une fois activé, seuls les utilisateurs disposant d’un rôle provisionné pourront accéder à Feedier.

Provisioning automatique des équipes depuis votre IAM

Vous pouvez également mapper les groupes IAM aux équipes Feedier (marketing, filiale, etc.) pour que les utilisateurs arrivent automatiquement dans la bonne équipe.

  1. Créez des groupes dans Azure — un par équipe Feedier.

  2. Dans Enregistrements d’applications → Configuration des jetons, ajoutez un group claim pour que group_id soit inclus dans l’ID token.

  3. Envoyez la table de correspondance (group_id → équipe Feedier) à [email protected]. Le mapping est activé sous 24h.

Exemple de mapping :

group_id

Équipe Feedier

fd7f72c6-cd68-4bad-b170-9aa2c1957128

Team A

9a48e151-e107-4555-a381-498174b947b9

Team B

⚠️ Cet exemple utilise Azure. Avec un autre fournisseur IAM (par ex. Okta), effectuez les étapes équivalentes : créer les groupes, configurer les claims, et inclure group_id dans l’ID token.

Pour toute question, contactez [email protected].

Avez-vous trouvé la réponse à votre question ?