Configurer l'authentification unique SAML personnalisée

Le langage de balisage d'assertion de sécurité (SAML) est une norme de communication entre les fournisseurs d'identité (IDP) et les fournisseurs de services (SP) comme ClickUp.

Vous pouvez créer une authentification unique personnalisée avec tout fournisseur d'identité prenant en charge SAML 2.0.

Nous avons également des intégrations d'authentification unique disponibles pour les plateformes suivantes :

Ce dont vous aurez besoin

  • Le SAML personnalisé est uniquement disponible sur le forfait Enterprise.
  • Pour activer le SAML personnalisé, vous devez être propriétaire ou administrateur avec la permission de rôle personnalisé pour les intégrations d'environnement de travail. 

Activer SAML personnalisé

La configuration de SAML nécessite l'utilisation de l'authentification unique (SSO). Chaque personne dans votre environnement de travail doit lier son compte ClickUp avec son compte dans l'IDP pour se connecter en utilisant l'authentification unique. 

Étape 1

Activer SAML écrase tous les paramètres SSO précédents. 

Pour activer SAML :

  1. Cliquez sur votre avatar d'environnement de travail, Paramètres, puis Sécurité & Permissions.
  2. Dans la section de l'authentification unique (SSO), sélectionnez SAML.
Image de la sécurité et de l’autorisation page indiquant l’option SAML

Étape 2

Pour configurer la solution de votre organisation, demandez à votre équipe informatique de consulter la documentation de l'IDP.

Exigences d'assertion

Un NameID unique dans n'importe quel format est requis dans l'assertion envoyée depuis votre IDP vers ClickUp. Aucun autre attribut n'est requis.

Nous recommandons de ne pas utiliser un e-mail comme NameID. Les changements d'adresse e-mail nécessitent de relier à nouveau les utilisateurs.

Configurez votre solution IDP

  1. Depuis la section Configurer l'authentification unique SAML, donnez les informations suivantes à votre équipe informatique :
    • URI de l’audience (identifiant de l’entité du prestataire de service)
    • URL de l’authentification unique (URL ACS)
    • Le certificat SP n’est requis que lors de l’utilisation du modèle de déploiement de certificat local AD FS (Windows Active Directory Federation Services).

Cette information indique à la solution IDP comment communiquer de manière sécurisée avec ClickUp.

Ensuite, vous indiquerez à ClickUp comment communiquer de manière sécurisée avec votre solution IDP.

Étape 3

Une fois que votre équipe informatique a configuré l'IDP, demandez-leur les informations suivantes :

  • URL de connexion (URL du service de connexion unique)
  • Certificat public du fournisseur d’identité

Vous pouvez en informer votre équipe informatique :

  • L'URI de l'émetteur (IDP Entity ID) n'est pas obligatoire.
  • Le certificat doit être signé et chiffré.
  1. Depuis la section Configurer l'authentification unique SAML, saisissez les informations suivantes :
    • URL de connexion (URL du service de connexion unique)
    • Certificat public IDP
      Vous devez copier l'intégralité du certificat public IDP. Si votre certificat les contient, vous n'avez pas besoin d'inclure l'en-tête BEGIN CERTIFICATE et le pied de page END CERTIFICATE .
      Vous pouvez coller le certificat dans un éditeur de texte. Par exemple, Visual Studio Code ou Text Edit.
  2. Cliquez sur Enregistrer les métadonnées.

Après avoir enregistré, une invite vous demande de vous connecter en utilisant les nouveaux paramètres SSO. 

La première connexion crée un lien entre ce compte ClickUp et le compte utilisateur IDP avec lequel vous vous connectez.

Ensuite, vous vérifierez que votre compte a été lié avec succès.

Étape 4

Pour vérifier que votre compte est correctement lié :

  1. Dans le coin supérieur droit, cliquez sur votre avatar de compte. 
  2. Sélectionnez Mes paramètres.
  3. Faites défiler jusqu'en bas de la page.
  4. Si le lien réussit, vous verrez une section unique d’authentification indiquant votre fournisseur, votre prestataire et votre environnement de travail ClickUp. 

Vous pouvez cliquer sur le bouton Relier à nouveau pour changer quel compte de votre IDP est associé à votre compte ClickUp.

Il y a aussi un bouton Dissocier. Si SAML est activé, l'authentification unique (SSO) est requise dans votre environnement de travail. Seul un propriétaire ou un administrateur avec les permissions de rôle personnalisé de l'environnement de travail permission de rôle personnalisé peut dissocier votre compte.

Téléchargez et utilisez votre certificat public IDP

Pour utiliser votre certificat public IDP :

  1. Après avoir généré un certificat actuel, téléchargez-le.
  2. Ouvrez votre dossier Téléchargements et faites un clic droit sur le fichier. 
  3. Sélectionnez Ouvrir avec.
  4. Cliquez sur Autre ou Une autre application pour sélectionner une application qui n'est pas listée.
  5. Trouvez une application qui ouvrira le fichier en texte simple. Par exemple, Visual Studio Code ou Text Edit.
  6. Suivez les instructions des étapes 3 et 4 ci-dessus.

Mettre à jour le certificat SP de ClickUp

Avant l’expiration du certificat, le propriétaire de l’environnement de travail reçoit un courriel l’informant qu’il doit mettre à jour le certificat.

Pour mettre à jour votre certificat SP ClickUp :

  1. Dans le coin supérieur gauche, cliquez sur l’avatar de votre environnement de travail.
  2. Sélectionnez **Paramètres**, puis **Sécurité et autorisations**.
  3. Dans la section Configurer l'authentification unique SAML, cliquez sur Régénérer

Exiger l'authentification unique

Chaque personne de votre environnement de travail doit lier son compte ClickUp avec son compte dans l'IDP pour se connecter via l'authentification unique. Configurer SAML nécessite l'utilisation de l'authentification unique.

Cette exigence est appliquée de la manière suivante :

  • Une fois SAML activé, la prochaine fois que l’environnement de travail membre et l’invité se connectent, il y a un lien pour se connecter avec SAML.
Capture d'écran montrant la fenêtre pop-up 'Se connecter avec SAML'.
  • Lorsqu’une personne est invitée à rejoindre votre environnement de travail, elle définit un mot de passe pour son compte ClickUp avant d’accepter l’invitation à l’environnement de travail. Une fois qu’ils ont terminé la connexion avec SAML, leur compte ClickUp sera lié à leur compte utilisateur de votre IDP.

SCIM et SAML personnalisé

  • Azure AD SSO, désormais connu sous le nom Microsoft identifiant Entra, dispose d’un provisionnement automatique limité, y compris la création et la suppression d’utilisateurs. rôle, personnalisé rôle et Teams ne peuvent pas être attribués.
  • Okta SCIM SSO offre une provision complète automatique.
  • Pour configurer SCIM pour un IDP pris en charge, le URL SCIM Base et le API jet SCIM seront présentés après l’intégration réussie de SSO avec des SAMLpersonnalisés. Les étapes pour entrer l'URL de base et le jeton API dans votre IDP varient selon le fournisseur.

Cet article vous a-t-il été utile ?