Configurer SAML SSO
Le Single Sign-On (ou SSO) vous permet de gérer toute l'appartenance de votre organisation via un fournisseur tiers.
GitGuardian supporte le standard SAML2 pour le SSO, ce qui permet au Owner ou à n'importe quel Manager du workspace de configurer n'importe quel système Identity Provider (IdP) compatible SAML2.
Configurer le SSO
Pour configurer votre SSO, naviguez vers Settings > Authentication.
Des procédures de configuration détaillées sont disponibles pour les IdP suivants :
Pour tous les autres IdP compatibles SAML2, vous pouvez suivre la procédure générique.
Provisioning Just-In-Time (JIT)
GitGuardian supporte le provisioning Just-In-Time (JIT). Les nouveaux membres de votre workspace sont automatiquement enregistrés sur GitGuardian lors de leur première tentative de connexion avec SAML2 SSO s'ils sont autorisés côté IdP.
Vous n'avez pas besoin d'inviter les utilisateurs manuellement. Vous devez juste les autoriser côté IdP en faisant partie du « groupe GitGuardian ». Les utilisateurs qui ne font pas partie du groupe GitGuardian côté IdP seront rejetés lors de leur tentative de connexion via SSO.
GitGuardian ne supporte pas encore le déprovisioning JIT mais vous pouvez utiliser SCIM pour déprovisionner automatiquement vos utilisateurs.
Niveau d'accès par défaut
Comme GitGuardian utilise le provisioning Just-In-Time (JIT), les nouveaux membres recevront un niveau d'accès par défaut lors de leur première connexion.
« Member » est le paramètre par défaut. Vous pouvez modifier ce défaut dans votre page de paramètres d'authentification.
Si vous avez sélectionné « Member » comme niveau d'accès par défaut et que votre workspace est sous le plan Business, vous devez aussi configurer si les nouveaux Members feront partie de l'équipe « All-incidents » ou non lors de l'inscription.
Forcer le SSO
Une fois que vous avez configuré avec succès une intégration SAML2 SSO, dans votre page de paramètres d'authentification, vous avez l'option de forcer le SSO :
- Si l'option est activée (ON), tous les membres de votre workspace devront passer par votre IdP pour pouvoir accéder à votre workspace GitGuardian. Seuls les utilisateurs que vous avez autorisés côté IdP pourront se connecter à votre workspace GitGuardian.
- Si l'option est désactivée (OFF), les membres de votre workspace peuvent toujours se connecter via SSO, en passant par votre IdP, mais ils peuvent aussi s'inscrire par email.
Une fois le SSO forcé, tous les membres du workspace, y compris le owner, devront se connecter via SSO. Si le owner ne s'est jamais connecté via SSO, vous ne pourrez pas activer l'option.
Assurez-vous que votre connexion SSO fonctionne avant de forcer le SSO. En cas de problème, vous pouvez contacter l'équipe support pour de l'aide.
Paramètres liés au SCIM�
Si vous avez SCIM activé, des paramètres supplémentaires apparaissent dans la page de paramètres d'authentification :
- Default team membership permission : contrôle le niveau de permission d'incident donné aux membres synchronisés via SCIM (Can view ou Can edit).
- Enable notifications for SCIM operations : envoie des notifications lorsque les mises à jour SCIM affectent les utilisateurs ou équipes.
En savoir plus dans la section SCIM settings.
Réservation de domaine email
Après avoir configuré le SSO, vous devez réserver votre domaine email pour activer l'expérience SSO complète. Cette étape critique :
- Active la découverte SSO automatique - les utilisateurs peuvent se connecter depuis la page de connexion principale en saisissant leur email ; GitGuardian les redirige automatiquement vers votre fournisseur SSO
- Empêche la fragmentation du workspace - les utilisateurs ne peuvent pas créer de workspaces séparés avec leur email d'entreprise, garantissant que tout le monde rejoigne le même workspace
- Simplifie l'expérience utilisateur - sans la réservation de domaine, les utilisateurs doivent mettre en favori et utiliser l'URL de connexion SSO dédiée
Pour réserver votre domaine :
- Naviguez vers Settings > Email Domain Management
- Suivez les instructions pour réserver le domaine email de votre organisation
En savoir plus sur la gestion des domaines email.
FAQ
Comment vérifier que ma connexion SSO fonctionne ?
Si vous n'avez pas réservé un domaine email, souvenez-vous de votre URL de connexion SSO.
- Assurez-vous de connaître vos credentials de connexion, c'est-à-dire votre
emailetpassword. - Déconnectez-vous de l'application.
- Allez à l'URL de connexion SSO, et connectez-vous en sélectionnant l'option SSO.
Pour des raisons de sécurité supplémentaires, GitGuardian vous demandera de soumettre votre email et mot de passe pour confirmer votre identité.
Mon Identity Provider (IdP) ne supporte pas « emailAddress » comme format Name ID. Que faire ?
Si votre IdP ne supporte pas emailAddress comme format Name ID, contactez-nous. Nous vous permettrons d'utiliser unspecified comme format Name ID.
Lors de l'utilisation de unspecified comme format Name ID, vous devez vous assurer d'envoyer les adresses email de vos utilisateurs IdP comme un attribut email_address. Ceci est obligatoire, car l'email est l'identifiant unique que GitGuardian utilise pour ses utilisateurs.
Je veux configurer le MFA pour GitGuardian. Que faire ?
GitGuardian fournit maintenant nativement le MFA via vérification email pour les utilisateurs qui se connectent par email et mot de passe. La vérification est requise à la connexion et avant d'effectuer des actions sensibles dans le tableau de bord.
Pour les utilisateurs SSO, le MFA est géré par votre identity provider. Nous vous conseillons fortement d'activer le paramètre Force SSO et de configurer le MFA sur votre IdP pour garantir que tous les utilisateurs s'authentifiant à GitGuardian sont couverts.
