Description
La fonctionnalité "Enterprise SSO" permet aux utilisateurs de se connecter à Piano Analytics par l'intermédiaire de la plateforme d'identification (IdP) de leur organisation. L'un des principaux avantages à l'utilisation de notre SSO est de garantir un accès sécurisé à Piano Analytics, limité aux utilisateurs vérifiés de votre plateforme IdP.
Nous supportons des connecteurs simplifiés pour les IdP suivants :
- Microsoft Azure AD
- Google Workspace
- Okta Workforce
Nous supportons également les protocoles suivants :
- OpenID generic (OIDC) - connecteur à privilégier
- SAML 2.0
Pour plus d'informations sur le tarif de cette fonctionnalité, contactez votre responsable de compte.
Ci-dessous vous trouverez une liste des informations à nous fournir afin que nous puissions procéder à l'activation de la SSO sur votre compte. En cas de question ou difficulté, vous pouvez contacter notre centre support.
Bon à savoir
Le SSO sera activé sur tous les domaines emails que vous fournirez pour l'activation. Tout utilisateur ayant un email utilisant ces domaines sera de facto un utilisateur SSO.
Configuration Microsoft Azure AD
Vous devez tout d'abord enregistrer une application sur Azure AD, avec les informations suivantes :
- type = Application Web
- redirect url = https://auth.piano.io/login/callback
Une fois cette action terminée, vous devrez transmettre les informations suivantes à notre équipe support:
- Azure AD domain name
- Azure AD Tenant ID
- Client ID de l'application
- Client Secret value de l'application
- Type de tenant (single, multiple tenants,...)
- Liste des domaines email secondaires sur lesquels activer la SSO (optionnel)
Vous trouverez plus d'information sur la configuration de Microsoft Azure AD sur cette page.
Configuration Google Workspace
Vous devez tout d'abord créer et configurer votre application Google avec les informations suivantes :
- Authorized JavaScript origins: https://auth.piano.io/
- Authorized redirect URIs: https://auth.piano.io/login/callback
Une fois cette action terminée, vous devrez transmettre les informations suivantes à notre équipe support:
- Client ID de l'application
- Client Secret de l'application
- Google Workspace Domain sur lequel activer la SSO
- Liste des domaines email secondaires sur lesquels activer la SSO (optionnel)
Vous trouverez plus d'information sur la configuration de Google Workspace sur cette page.
Configuration OpenID generic (OIDC)
Vous devez tout d'abord créer et configurer votre application avec les informations suivantes :
- Callback URL: https://auth.piano.io/login/callback
Une fois cette action terminée, vous devrez transmettre les informations suivantes à notre équipe support:
- Client ID de l'application
- Client Secret de l'application
- URL "Well-known"
- Domaine email sur lequel activer la SSO (optionnel)
Vous trouverez plus d'information sur la configuration d'OpenID sur cette page.
Configuration Okta Workforce
Vous devez tout d'abord créer une application sur votre tenant Okta. Cette application doit être créée et configurée avec les informations suivantes :
- Callback URL: https://auth.piano.io/login/callback
Une fois cette action terminée, vous devrez transmettre les informations suivantes à notre équipe support:
- Domaine Okta (domain-name.okta.com ou domaine personnalisé)
- Client ID de l'application
- Client Secret de l'application
- Liste des domaines emails sur lesquels activer la SSO
Vous trouverez plus d'information sur la configuration d'Okta Workforce sur cette page.
Configuration SAML 2.0
Merci de transmettre l'URL meta data de votre IDP, comprenant a minima ces informations:
- SAML login URL
- X.509 certificate used to sign the exchanges from the IDP
- Liste des domaines emails sur lesquels activer la SSO
A propos du Client Secret
Vous êtes responsable de la validité et du renouvellement de votre Client Secret en cas d'expiration.
Merci de nous contacter au moins un mois avant son expiration ou en cas de modifications, afin que nous reflétions ces changements sur votre configuration Piano Analytics.
Connexion
Les clients disposant de notre SSO Enterprise utiliseront l'une des URL ci-dessous pour se connecter au produit Piano correspondant :
- Piano Analytics : https://analytics.piano.io/explorer/#/
- VX, Composer, ID :
- https://dashboard.piano.io/ (Etats-Unis)
- https://dashboard-eu.piano.io/ (Europe)
- https://dashboard-au.piano.io/ (Australie)
- https://dashboard-ap.piano.io/ (Asie-Pacifique)
- DMP, Insight, CCE : https://login.cxense.com/
Une fois le SSO activé, un utilisateur déjà connecté à votre IdP sera automatiquement redirigé vers l'URL appropriée (voir ci-dessus).
Si un utilisateur n'est pas déjà connecté à votre IdP, il sera redirigé vers le login IdP.
Clés API
Dans la mesure où les utilisateurs SSO n'ont pas de mot de passe, ils doivent s'appuyer sur des clés API pour s'authentifier lors d'appels d'API externes. Pour en savoir plus sur les clés API, consultez cet article.
Emails
L'adresse email utilisée lors de l'enregistrement ou la réinitialisation du mot de passe sera mise à jour en fonction du IdP qui a été mis en œuvre.