Authentification unique Foire aux questions (FAQ)

Cette section contient des questions fréquemment posées sur l'intégration de l'authentification unique dans Cloud.


Quel est le niveau de sécurité de l'intégration SSO de Cloud ?

Toutes les informations relatives à l'utilisateur qui sont transmises entre votre fournisseur d'identité et CWI sont cryptées via le protocole Secure Sockets Layer (SSL) et signées à l'aide de JSON Web Encryption. Lorsque les utilisateurs sont connectés au fournisseur d'identité de votre entreprise, les informations d'identification de l'utilisateur (login, nom d'utilisateur et mot de passe) ne sont jamais partagées avec Cloud. Seules les informations de base du profil de l'utilisateur (son nom et son adresse électronique) sont partagées avec nous pour authentifier l'utilisateur.


Quel est le protocole d'autorisation utilisé ?

Nous utilisons le protocole d'autorisation OpenID Connect.


Les membres du personnel peuvent-ils encore se connecter à l'aide des informations d'identification du nuage après l'activation du SSO ?

Une fois qu'un membre du personnel a utilisé le SSO pour se connecter à Cloud, il ne pourra plus se connecter que par le biais de l'authentification unique. Si un membre du personnel tente de se connecter à l'aide de ses informations d'identification Cloud, un message d'erreur s'affiche, invitant le membre du personnel à utiliser le SSO.


Après avoir supprimé mon fournisseur d'identité et l'avoir réintroduit, certains utilisateurs ne parviennent pas à se connecter. Pourquoi ?

Si vous avez supprimé votre fournisseur d'identité et l'avez réajouté, les utilisateurs authentifiés avant la suppression ne pourront pas se connecter. Pour que ces utilisateurs puissent se connecter à nouveau, créez de nouvelles informations d'identification pour eux dans Azure AD. Cette procédure ne sera plus nécessaire dans les versions ultérieures.


Les contacts peuvent-ils utiliser le SSO ?

Actuellement, les contacts n'ont pas la possibilité d'utiliser le SSO.


We've enabled two-factor authentication. Que se passe-t-il si nous activons également le SSO ?

Si le SSO est activé pour une entreprise, les utilisateurs du SSO ne pourront plus utiliser la fonction d'authentification à deux facteurs de Cloud. En effet, la meilleure pratique veut que votre fournisseur d'identité de confiance contrôle le processus d'authentification. Si vous souhaitez activer l'authentification à deux facteurs, nous vous recommandons de le faire par l'intermédiaire de votre fournisseur d'identité.

L'authentification à deux facteurs sera toujours disponible pour les utilisateurs non SSO.


Que se passe-t-il si j'ajoute le compte d'un membre du personnel à Cloud avant de l'ajouter à Azure AD ?

Si vous avez ajouté un compte de personnel à Cloud mais pas à Azure AD, cet utilisateur ne pourra pas se connecter à l'aide de SSO. Pour permettre à un membre du personnel de se connecter avec SSO, ajoutez un nouvel utilisateur à Azure AD en utilisant comme nom d'utilisateur l'adresse électronique associée au compte Cloud de ce membre du personnel.


Que se passe-t-il si je me déconnecte de mon fournisseur d'identité alors que je suis toujours connecté à Cloud ?

Vous resterez connecté à Cloud tant que votre session sera active. À la fin de votre session, vous devrez vous connecter à nouveau à votre fournisseur d'identité avant de pouvoir vous connecter à Cloud à l'aide de SSO.


Un membre du personnel dont le compte est inactif peut toujours se connecter à Cloud. Pourquoi ?

Après avoir activé l'authentification unique, l'accès au compte est géré par Azure AD. Pour empêcher un utilisateur d'accéder au nuage, vous devez supprimer son compte. Pour en savoir plus, voir Types de réponses. Ajouter ou supprimer des utilisateurs à l'aide d'Azure Active Directory.


Un membre du personnel dont le compte a été supprimé dans Azure AD est toujours connecté à Cloud. Pourquoi ?

Si vous supprimez le compte d'un utilisateur dans Azure AD alors qu'il est toujours connecté à Cloud, il restera actif dans Cloud jusqu'à ce que sa session se termine ou qu'il se déconnecte, après quoi il ne pourra plus se connecter à Cloud.


Pourquoi ne puis-je pas modifier les noms de comptes, les adresses électroniques ou les mots de passe dans le nuage ?

Après avoir activé l'authentification unique, les noms de comptes, les adresses électroniques et les mots de passe sont gérés par Azure AD. Pour en savoir plus, voir Types de réponses. Ajouter ou mettre à jour les informations du profil d'un utilisateur à l'aide d'Azure Active Directory.


Le domaine de messagerie de notre entreprise a changé, comment puis-je mettre à jour les adresses électroniques du personnel en masse ?

Les entreprises dont le SSO est activé ne peuvent pas modifier directement le champ de l'adresse électronique du personnel. Si vous avez besoin de mettre à jour les adresses email de votre personnel en masse, contactez le support Caseware pour obtenir de l'aide. Nous devrons mettre à jour les adresses électroniques dans le nuage en même temps que vous mettez à jour votre Active Directory afin de garantir que votre personnel conserve l'accès au nuage.


Si le fournisseur d'identité de notre entreprise est en panne, comment les utilisateurs peuvent-ils se connecter au cloud ?

Les utilisateurs ne pourront pas se connecter à Cloud si votre fournisseur d'identité subit une panne. Nous recommandons de conserver un compte administrateur qui n'utilise pas votre fournisseur d'identité pour garantir l'accès au cloud en cas d'urgence.


Que se passe-t-il si mon secret client expire ?

Si votre secret client expire, les utilisateurs SSO ne pourront plus se connecter à Cloud. Vous devez générer un nouveau secret client et mettre à jour les informations relatives à votre fournisseur d'identité dans le nuage.

  1. Connectez-vous à Cloud à l'aide de vos identifiants Cloud.

  2. Dans le menu Cloud (), sélectionnez Settings | Single Sign-On | Identity Provider.

  3. Sélectionnez l'icône Editer ().

  4. Saisissez les informations correctes pour votre fournisseur d'identité dans les champs Point de terminaison des métadonnées du fournisseur d'identité, ID du clientet Secret du client .

Nous vous recommandons de sélectionner " N'expire jamais" lors de la création de votre secret client afin d'éviter toute perte d'accès inattendue pour les utilisateurs SSO.


Comment puis-je restreindre l'accès au nuage de manière à ce que le personnel ne puisse y accéder qu'à partir de son ordinateur professionnel ?

Si vous souhaitez restreindre l'accès au cloud aux ordinateurs professionnels, envisagez d'ajouter des emplacements de confiance à Azure AD. Cela vous permet de restreindre l'accès en fonction des adresses IP, telles que l'adresse IP du bureau ou du VPN.


Comment puis-je désactiver le SSO pour mon entreprise ?

Si vous souhaitez désactiver le SSO pour votre entreprise, contactez votre distributeur local.

Une fois le SSO désactivé, les utilisateurs peuvent se connecter à l'aide de leurs anciens identifiants Cloud. Les utilisateurs dont les mots de passe ont expiré ou qui n'ont utilisé que le SSO pour se connecter à Cloud peuvent utiliser le lien Mot de passe oublié ? pour créer un mot de passe pour leur compte. Si nécessaire, l'administrateur de votre entreprise peut également réinitialiser les mots de passe des utilisateurs.


Pourquoi est-ce que je reçois un message d'erreur ?

Si Cloud ou SSO est mal configuré, vous pouvez voir l'un des messages d'erreur ci-dessous lorsque vous essayez de vous connecter.


Message d'erreur Réessayez plus tard. Le serveur a rencontré une erreur inconnue. Si le problème persiste, contactez votre administrateur"

Ce problème est le plus souvent causé par un secret client expiré dans le fournisseur SSO. Un utilisateur administrateur de l'entreprise doit mettre à jour sa configuration SSO.

  1. Régénérer le secret du client. Cette opération peut être effectuée par l'intermédiaire de votre fournisseur SSO.

  2. Log in to Caseware Cloud.

    Remarque : Si vous ne pouvez pas vous connecter, contactez votre distributeur local et demandez-lui de désactiver le SSO pour votre compte administrateur. Veuillez inclure les informations suivantes dans votre demande :

    • L'URL complète de l'entreprise

    • L'adresse électronique de votre compte d'administrateur où le SSO doit être désactivé

    • Écriture de l'autorisation du client pour désactiver le SSO pour le compte administrateur

    Une fois que le SSO est désactivé pour le compte administrateur, utilisez l'option Mot de passe oublié sur la page de connexion pour définir un nouveau mot de passe et vous connecter à Cloud.

  3. Mettre à jour la configuration SSO dans le nuage avec le nouveau secret du client. Cela rétablira l'accès à la connexion pour les autres utilisateurs.

  4. Si le SSO a été désactivé pour votre compte d'administrateur, connectez-vous à nouveau en utilisant le SSO pour le réactiver. Vous pouvez également laisser le SSO désactivé pour votre compte au cas où ce problème se poserait à l'avenir.

  5. Définir des rappels/surveillances pour l'expiration du secret du client. L'entreprise peut éviter de nouveaux blocages en changeant le secret du client avant la prochaine date d'expiration.


Message d'erreur "Nous sommes désolés... Erreur inattendue lors de l'authentification avec le fournisseur d'identité"

Lors de la configuration de votre fournisseur d'identité, il se peut que vous ayez saisi un secret client ou un ID client incorrect.

  1. Connectez-vous à Cloud à l'aide de vos identifiants Cloud.

  2. Dans le menu Cloud (), sélectionnez Settings | Single Sign-On | Identity Provider.

  3. Sélectionnez l'icône Editer ().

  4. Saisissez les informations correctes pour votre fournisseur d'identité dans les champs Point de terminaison des métadonnées du fournisseur d'identité, ID du clientet Secret du client .


Message d'erreur AADSTS70001) L'application avec l'identifiant ... n'a pas été trouvée dans le répertoire ..."

Lors de la configuration d'Azure AD, il se peut que vous ayez saisi un fournisseur d'identité incorrect.

  1. Connectez-vous à Cloud à l'aide de vos identifiants Cloud.

  2. Dans le menu Cloud (), sélectionnez Settings | Single Sign-On | Identity Provider.

  3. Sélectionnez l'icône Editer ().

  4. Saisissez les informations correctes pour votre fournisseur d'identité dans les champs Point de terminaison des métadonnées du fournisseur d'identité, ID du clientet Secret du client .


Message d'erreur AADSTS50011) L'url de réponse spécifiée dans la demande ne correspond pas aux urls de réponse configurées pour l'application ..."

Vous avez peut-être saisi une URL de réponse incorrecte dans Azure.

  1. Dans le volet de navigation gauche d'Azure, sélectionnez Azure Active Directory | App Registration.

  2. Sélectionnez votre application, puis Réglages | Répondre aux URL.

  3. Sélectionnez le bouton du menu contextuel en regard de l'URL de votre réponse, puis sélectionnez Supprimer.

  4. Ajoutez à nouveau l'URL de votre réponse, puis sélectionnez Enregistrer.


Message d'erreur AADSTS7000215) Le secret du client fourni n'est pas valide. Veiller à ce que le secret envoyé dans la demande soit la valeur du secret du client, et non l'ID du secret du client

Lors de la configuration d'Azure AD, il se peut que vous ayez saisi l'ID du client dans le champ Secret du client.

  1. Vérifiez que la valeur du secret du client est correcte. Si la valeur a été copiée conformément aux instructions, localisez les secrets du client stockés dans Azure AD et vérifiez s'ils correspondent à des identifiants. Si la valeur copiée correspond à un ID, ou si vous n'avez pas copié la valeur du secret du client, supprimez le secret actuel et créez-en un nouveau. Veillez à copier la valeur secrète du client.

  2. Connectez-vous à Cloud à l'aide de vos identifiants Cloud.

  3. Dans le menu Cloud (), sélectionnez Settings | Single Sign-On | Identity Provider.

  4. Sélectionnez l'icône Editer ().

  5. Saisissez les informations correctes pour votre fournisseur d'identité dans les champs Point de terminaison des métadonnées du fournisseur d'identité, ID du clientet Secret du client . Le champ ID du client doit correspondre à l'ID de l'application et le champ secret du client doit correspondre à la valeur du secret du client de l'étape 1 (et non à l'ID secret).


Message d'erreur "Aucune licence d'accès au nuage n'est disponible. Pour obtenir des licences supplémentaires, contactez votre administrateur"

Le nombre d'utilisateurs dans votre domaine Active Directory dépasse le nombre de licences Cloud disponibles. Lorsque le nombre d'utilisateurs dans votre domaine Active Directory dépasse le nombre de licences disponibles, certains membres du personnel ne pourront pas se connecter. Pour permettre à tous les membres du personnel de se connecter, achetez une licence auprès de MyCaseware pour chaque membre du personnel ou contactez votre distributeur local.


Message d'erreur "Le compte existe déjà. L'utilisateur avec l'email ... existe déjà. Souhaitez-vous continuer ?

Cette erreur se produit lorsqu'un utilisateur est supprimé d'Azure et qu'un autre utilisateur est ajouté avec la même adresse électronique.

Pour résoudre ce problème, supprimez le compte Cloud associé à l'adresse électronique affichée dans le message d'erreur et demandez à l'utilisateur de se connecter à nouveau à l'aide du SSO.

Cette procédure ne sera plus nécessaire dans les versions ultérieures.


Message d'erreur "Le jeton reçu ne contient pas les informations suivantes : email requis pour l'accès au système. Communiquez avec votre administrateur système.

L'intégration SSO de Caseware Cloud est conçue pour reconnaître les demandes 'nom d'utilisateur' et 'email' comme des demandes distinctes. Notre intégration nécessite la mention "email" pour fonctionner correctement. La mention "email" n'est fournie que par les utilisateurs invités et les utilisateurs gérés intégrés via Office365. Si les utilisateurs de votre entreprise sont configurés via Office365, assurez-vous de suivre les instructions d'Azure pour gérer la réclamation "email" via le portail d'administration d'Office.