Authentification & SSO

La section Authentification & SSO de vos paramètres est la porte vers la sécurisation de votre plateforme Softyflow. Elle permet aux administrateurs de définir et d'appliquer méticuleusement comment les utilisateurs peuvent se connecter, de gérer des configurations sophistiquées d'authentification unique (SSO) et de mettre en œuvre des politiques de sécurité des mots de passe robustes qui s'alignent avec vos normes d'entreprise.

Un système d'authentification bien configuré est la première ligne de défense pour protéger vos applications et vos données. Il fonctionne en harmonie étroite avec la gestion des rôles pour garantir que chaque utilisateur a un accès sécurisé et approprié aux interfaces web et aux flux de processus.

Pour accéder à ces paramètres critiques, accédez à Compte > Paramètres > Authentification depuis le menu de navigation supérieur.

Le tableau de bord principal des paramètres d'authentification où tous les protocoles de sécurité sont configurés.

1. Explorer les Différentes Méthodes d'Authentification​

Softyflow fournit une suite flexible et complète de stratégies d'authentification, vous permettant de choisir les méthodes qui correspondent le mieux à la posture de sécurité et aux besoins des utilisateurs de votre organisation.

1.1. Google Authenticator (2FA)​

Cette méthode ajoute une couche de sécurité critique supplémentaire (authentification à deux facteurs) en exigeant un mot de passe unique basé sur le temps (TOTP) de l'application mobile Google Authenticator. Après avoir entré avec succès leur mot de passe standard, les utilisateurs doivent fournir un code à 6 chiffres de l'application pour compléter le processus de connexion. Cela protège efficacement contre les accès non autorisés, même si le mot de passe d'un utilisateur a été compromis.

C'est une mesure de sécurité particulièrement vitale pour les utilisateurs ayant accès à l'IDE, car ils ont la capacité de modifier les applications, les structures de données et les processus.

Activation de Google Authenticator pour appliquer un deuxième facteur d'authentification.

1.2. Microsoft Authenticator (2FA)​

Fonctionnellement similaire à Google Authenticator, cette option s'appuie sur l'application mobile Microsoft Authenticator pour fournir des codes uniques sensibles au temps. Elle offre le même niveau élevé de protection contre le vol de mot de passe et les attaques par phishing, et est un choix idéal pour les organisations qui sont standardisées sur l'écosystème Microsoft Azure et Office 365.

Configuration de Microsoft Authenticator comme fournisseur 2FA pour une sécurité renforcée.

1.3. Authentification par Code QR​

Cette méthode permet aux utilisateurs de scanner un code QR unique généré dynamiquement avec une application d'authentification compatible sur leur appareil mobile pour compléter le processus de connexion. Cette approche est souvent privilégiée pour sa commodité et sa rapidité, fournissant un flux d'accès transparent et sans mot de passe. Elle est particulièrement efficace pour lier de nouveaux appareils à un compte ou pour une utilisation dans les applications mobiles construites sur la plateforme Softyflow.

Activation de l'authentification par code QR pour activer les connexions rapides et sécurisées basées sur le mobile.

1.4. SSO avec SAML 2.0​

Softyflow fournit un support robuste pour l'authentification unique (SSO) basée sur SAML 2.0, permettant aux utilisateurs de s'authentifier de manière transparente en utilisant le fournisseur d'identité (IdP) existant de votre organisation, tel qu'Azure AD, Okta ou ADFS. C'est une fonctionnalité essentielle pour les environnements d'entreprise, car elle centralise la gestion des identifiants et fournit une expérience de connexion sans friction. L'intégration SAML fonctionne en harmonie avec la gestion des utilisateurs de Softyflow et provisionne automatiquement les attributions de rôles en fonction des attributs transmis par l'IdP.

Activation de SAML 2.0 pour l'intégration d'authentification unique de niveau entreprise.

1.4.1. Avantages Clés de l'Intégration SAML SSO​

• Gestion Centralisée des Utilisateurs : L'authentification des utilisateurs est gérée par votre IdP central, réduisant la charge administrative.
• Sécurité Renforcée : Exploite les politiques de sécurité de votre IdP, telles que l'authentification multifacteur, l'accès conditionnel et les politiques de mot de passe.
• Expérience Utilisateur Améliorée : Les utilisateurs peuvent se connecter à Softyflow avec leurs identifiants d'entreprise existants sans avoir besoin de mémoriser un autre mot de passe.
• Provisionnement Automatisé : Les nouveaux utilisateurs peuvent être créés automatiquement dans Softyflow lors de leur première connexion SSO, avec les rôles attribués en fonction des appartenances aux groupes IdP.

1.4.2. Étapes de Configuration et Exemple​

La configuration de SAML 2.0 implique une configuration bidirectionnelle de la confiance entre Softyflow (le fournisseur de services ou SP) et votre fournisseur d'identité (IdP).

Étape 1 : Dans Votre Fournisseur d'Identité (par exemple, Azure AD, Okta)

1. Créez une nouvelle application SAML pour Softyflow.
2. Vous devrez fournir l'URL du service de consommation d'assertion (ACS) de votre instance Softyflow. Cette URL est l'endroit où l'IdP enverra l'assertion SAML après qu'un utilisateur s'authentifie. Vous pouvez généralement la trouver dans votre page de configuration SAML Softyflow, et elle ressemble généralement à ceci : https://<your-softyflow-domain>/api/v1/sso/saml/acs
3. Vous aurez également besoin de l'ID d'entité pour votre instance Softyflow. C'est un identifiant unique. Il s'agit souvent de la même URL ACS ou d'un autre URI unique comme https://<your-softyflow-domain>/api/v1/sso/saml/metadata
4. Configurez l'IdP pour envoyer les attributs utilisateur nécessaires dans l'assertion SAML, tels que email, firstName, lastName et groups.
5. Une fois enregistré, l'IdP vous fournira les informations critiques suivantes dont vous aurez besoin pour l'étape suivante dans Softyflow :
   • Entrée du Fournisseur d'Identité / URL de Connexion : Le point de terminaison de connexion de l'IdP.
   • Émetteur / ID d'Entité : L'identifiant unique de l'IdP.
   • Certificat X.509 : Le certificat public utilisé pour vérifier la signature des assertions SAML.

Étape 2 : Dans Softyflow

Accédez à Compte > Paramètres > Authentification et activez le bouton SSO. Ensuite, remplissez le formulaire de configuration en utilisant les informations que vous avez obtenues de votre IdP.

Le formulaire détaillé pour configurer la connexion SAML avec votre fournisseur d'identité.

Voici un exemple de la façon de remplir les champs :

• Entrée du Fournisseur d'Identité : Collez l'URL de Connexion de votre IdP.
  • Exemple : https://your-idp.com/app/your-app-id/sso/saml
• Émetteur : Collez l'ID de l'Émetteur/Entité de votre IdP.
  • Exemple : http://www.your-idp.com/exk123abc456
• Redirection de Déconnexion : L'URL vers laquelle les utilisateurs sont envoyés après la déconnexion. Il s'agit souvent de la page de connexion principale de l'IdP ou de votre portail d'entreprise.
  • Exemple : https://your-idp.com/logout
• Format NameID : Cela spécifie le format de l'identifiant utilisateur. urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress est un choix courant et recommandé si vous utilisez l'email comme identifiant utilisateur principal.
• Activer le Chiffrement : Cochez cette case si votre IdP est configuré pour envoyer des assertions chiffrées. Vous devrez fournir votre certificat public du fournisseur de services (Softyflow) à l'IdP pour que cela fonctionne.
• Certificat : Collez le contenu complet du Certificat X.509 fourni par votre IdP. Il doit commencer par -----BEGIN CERTIFICATE----- et se terminer par -----END CERTIFICATE-----.
• Paramètres : Cette section est destinée aux configurations avancées. Par exemple, vous pouvez mapper les attributs d'assertion SAML aux propriétés utilisateur de Softyflow. C'est crucial pour le provisionnement juste-à-temps (JIT) et le mappage des rôles.
  • RelayState : Souvent laissé vide sauf si votre IdP nécessite une valeur spécifique.
  • AuthnContext : Peut être utilisé pour demander une force d'authentification spécifique de l'IdP, par exemple, urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport.

Après avoir enregistré la configuration, les utilisateurs seront redirigés vers la page de connexion de votre IdP lorsqu'ils tenteront d'accéder à Softyflow. Après une authentification réussie, ils seront redirigés vers Softyflow et connectés automatiquement.

1.5. OpenID Connect (OIDC)​

En plus de SAML, Softyflow supporte également OpenID Connect (OIDC), un protocole d'authentification moderne construit au-dessus d'OAuth 2.0. OIDC utilise les jetons Web JSON (JWT) pour transporter les informations d'identité et est la méthode préférée pour l'intégration avec les fournisseurs d'identité modernes comme Google, Azure AD, Okta et Auth0. Cette méthode est très polyvalente et peut être utilisée pour sécuriser tout, des connexions d'utilisateurs aux intégrations API et aux flux de travail d'authentification personnalisés.

2. Politiques Avancées de Gestion des Mots de Passe​

Softyflow vous permet d'appliquer des politiques de mots de passe fortes et personnalisables pour assurer une norme élevée de contrôle d'accès sur la plateforme.

Configuration des politiques de mot de passe, y compris les réinitialisations forcées, l'expiration et les règles de complexité.

2.1. Forcer la Réinitialisation à la Première Connexion​

Cette fonctionnalité de sécurité oblige les utilisateurs à réinitialiser leur mot de passe immédiatement lors de leur première connexion. C'est une étape cruciale pour améliorer la protection du compte après qu'un administrateur ait effectué la création initiale de l'utilisateur et défini un mot de passe temporaire.

2.2. Activer la Fonction "Mot de Passe Oublié"​

L'activation de cette fonction fournit aux utilisateurs une option en libre-service pour réinitialiser leur mot de passe s'ils l'oublient. Lorsqu'un utilisateur clique sur le lien "Mot de passe oublié" sur la page de connexion, le système enverra un lien de réinitialisation sécurisé et unique à son adresse email enregistrée, en utilisant les fournisseurs de courrier configurés.

2.3. Appliquer l'Expiration du Mot de Passe​

Cette politique oblige les utilisateurs à mettre à jour leur mot de passe périodiquement, réduisant les risques associés aux identifiants compromis. Vous pouvez spécifier le nombre exact de jours avant l'expiration d'un mot de passe et la création d'un nouveau. C'est particulièrement important pour les utilisateurs ayant des privilèges élevés, comme ceux ayant accès à l'IDE.

2.4. Règles Personnalisées de Complexité de Mot de Passe​

Vous pouvez utiliser des expressions régulières (regex) pour définir et appliquer des exigences spécifiques de complexité de mot de passe, telles que la longueur minimale et l'inclusion obligatoire de lettres majuscules, de chiffres ou de symboles spéciaux.

• Regex Exemple : `^(?=.[A-Z])(?=.\d)[A-Za-z\d]{8,}
• Message Accompagnateur : "Le mot de passe doit contenir au moins 8 caractères et doit inclure au moins une lettre majuscule et un chiffre."

En combinant intelligemment ces méthodes d'authentification, protocoles SSO et politiques de mots de passe, vous pouvez créer un cadre de sécurité multicouche qui protège votre plateforme tout en s'adaptant à vos pratiques informatiques internes. Ces paramètres fonctionnent en concert avec la gestion des rôles pour garantir que les utilisateurs ont le niveau d'accès approprié aux interfaces web, flux de processus et outils de surveillance.

3. Intégration de l'Authentification dans Votre Flux de Travail de Développement​

3.1. Considérations Clés du Développement​

Lors de la conception et de la construction d'applications sur la plateforme Softyflow, il est crucial de placer les exigences d'authentification et d'autorisation au premier plan :

• Conception d'Interface Web : Concevez des interfaces utilisateur dynamiques qui s'adaptent en fonction du contexte, des rôles et des permissions de l'utilisateur authentifié.
• Conception de Processus : Architecturez vos flux de travail métier pour respecter rigoureusement les limites d'authentification et d'autorisation, en veillant à ce que les tâches ne puissent être exécutées que par les utilisateurs appropriés.
• Intégration de Base de Données : Implémentez des contrôles d'accès aux données granulaires qui sont directement liés à l'identité et au rôle de l'utilisateur authentifié.
• Intégration : Utilisez de manière sécurisée les jetons d'authentification (comme les jetons OAuth ou les clés API) pour effectuer des appels à des API et des systèmes externes.

3.2. Surveillance et Audit des Activités d'Authentification​

Maintenir une vue claire des activités d'authentification sur votre plateforme pour assurer la sécurité et la conformité :

• Journaux Système : Surveiller activement les tentatives de connexion (réussies et échouées), les événements de réinitialisation de mot de passe et autres occurrences liées à la sécurité.
• Gestion des Utilisateurs : Examinez régulièrement l'historique de connexion des utilisateurs et les modèles d'accès pour identifier les anomalies ou les comptes inactifs.
• Gestion des Exécutions et des Instances : Suivre les utilisateurs authentifiés qui initient et exécutent les processus métier critiques.

3.3. Meilleures Pratiques de Sécurité Essentielles​

Implémentez une stratégie de sécurité multicouche complète en suivant ces pratiques recommandées :

1. Appliquer l'Authentification Multifacteur (MFA) : Exiger l'utilisation de la 2FA pour tous les utilisateurs, en particulier ceux ayant des privilèges administratifs ou un accès à des données sensibles.
2. Exploiter le Contrôle d'Accès Basé sur les Rôles (RBAC) : Combinez vos politiques d'authentification robustes avec une gestion des rôles granulaire pour appliquer le principe du moindre privilège.
3. Mener des Audits de Sécurité Réguliers : Utilisez les journaux système pour surveiller de manière proactive les modèles d'authentification et investiguer toute activité suspecte.
4. Maintenir la Séparation des Environnements : Configurez des exigences d'authentification distinctes et plus strictes pour votre environnement de production par rapport à vos environnements de test et de développement.

Étapes Suivantes​

Avec vos politiques d'authentification et de sécurité configurées, continuez à renforcer et à améliorer votre plateforme avec ces sujets connexes :

Étapes Suivantes dans l'Administration de la Sécurité :

• Gestion des Utilisateurs : Procédez à la création et à la gestion des comptes utilisateurs qui seront soumis à vos nouvelles règles d'authentification.
• Gestion des Rôles : Définissez les niveaux d'accès et les permissions précis qui seront accordés aux utilisateurs après leur authentification réussie.
• Paramètres : Continuez à explorer d'autres paramètres de plateforme globaux et les politiques de sécurité.
• Gestion des E-mails : Assurez-vous que vos fournisseurs de courrier électronique sont correctement configurés pour gérer les réinitialisations de mot de passe et les notifications de sécurité.
• Journaux Système : Maîtrisez l'art de surveiller les événements d'authentification et autres journaux de sécurité critiques.
• Redirection d'Accueil : Créez des pages d'accueil personnalisées et basées sur les rôles pour accueillir vos utilisateurs après leur connexion.

Étapes Suivantes dans le Développement Sécurisé :

• Configuration du Projet : Commencez le processus de construction d'applications sécurisées de niveau entreprise à partir de zéro.
• Conception d'Interface Web : Apprenez à concevoir des interfaces utilisateur sophistiquées qui sont pleinement conscientes et réactives au contexte d'authentification de l'utilisateur.
• Conception de Processus : Créez des flux de travail métier sécurisés et résilients qui intègrent les vérifications d'autorisation appropriées à chaque étape.
• Intégration : Implémentez des intégrations API sécurisées et des flux d'authentification personnalisés pour connecter Softyflow à votre écosystème informatique plus large.