> ## Documentation Index
> Fetch the complete documentation index at: https://documentation.onesignal.com/llms.txt
> Use this file to discover all available pages before exploring further.

# Authentification unique (SSO)

> Configurez le SSO (SAML 2.0 ou OIDC) pour votre organisation OneSignal afin que les membres de l'équipe s'authentifient via votre fournisseur d'identité.

<Note>
  Le SSO est disponible uniquement pour les clients entreprise. Contactez votre gestionnaire de compte ou `support@onesignal.com` pour commencer. Avoir un responsable produit SSO de votre équipe lors des appels de configuration permet de simplifier le processus.
</Note>

## Qu'est-ce que le SSO ?

L'authentification unique permet aux membres de l'équipe de se connecter à OneSignal via le fournisseur d'identité (IdP) de votre organisation, plutôt qu'avec un nom d'utilisateur et un mot de passe distincts. Après s'être authentifié une fois via votre IdP, l'utilisateur reçoit un jeton qui lui donne accès à OneSignal et à vos autres applications SaaS sans nouvelle invite de connexion.

OneSignal prend en charge les protocoles **SAML 2.0** et **OpenID Connect (OIDC)**. Choisissez celui que votre IdP prend en charge — les deux offrent la même expérience SSO dans OneSignal.

## Fournisseurs d'identité pris en charge

|                                                                                                                     |                                                                                                                                                            |                                                                                                                                                |
| ------------------------------------------------------------------------------------------------------------------- | ---------------------------------------------------------------------------------------------------------------------------------------------------------- | ---------------------------------------------------------------------------------------------------------------------------------------------- |
| [ADP](https://marketplace.adp.com/downloads/setting-up-sso.pdf)                                                     | [Duo](https://duo.com/docs/sso)                                                                                                                            | [OneLogin](https://www.onelogin.com/blog/saml-configuration)                                                                                   |
| [Auth0](https://auth0.com/docs/get-started/applications/enable-sso-for-applications)                                | [Google Workspace](https://support.google.com/a/answer/12032922?hl=en)                                                                                     | [Oracle](https://docs.oracle.com/en/cloud/paas/content-cloud/administer/enable-single-sign-sso.html#GUID-8C87B98B-362E-4AD4-8AB9-BD7057935AFE) |
| [Microsoft Entra ID (Azure AD)](https://learn.microsoft.com/en-us/entra/identity/hybrid/connect/how-to-connect-sso) | [JumpCloud](https://support.jumpcloud.com/support/s/article/getting-started-applications-saml-sso2)                                                        | PingFederate                                                                                                                                   |
| CAS                                                                                                                 | Keycloak                                                                                                                                                   | PingOne                                                                                                                                        |
| ClassLink                                                                                                           | [LastPass](https://support.lastpass.com/s/document-item?language=en_US\&bundleId=lastpass\&topicId=LastPass/c_lastpass_admins_toolkit_sso.html&_LANG=enus) | [Rippling](https://developer.rippling.com/docs/rippling-api/dii48ovix1887-saml-sso-guide)                                                      |
| [Cloudflare](https://developers.cloudflare.com/cloudflare-one/identity/idp-integration/)                            | [Microsoft ADFS](https://learn.microsoft.com/en-us/microsoft-365/troubleshoot/active-directory/set-up-adfs-for-single-sign-on)                             | [Salesforce](https://help.salesforce.com/s/articleView?id=sf.sso_about.htm\&type=5)                                                            |
| Custom OpenID Connect                                                                                               | miniOrange                                                                                                                                                 | Shibboleth                                                                                                                                     |
| Custom SAML                                                                                                         | NetIQ                                                                                                                                                      | Shibboleth Unsolicited                                                                                                                         |
| [CyberArk](https://docs.cyberark.com/Idaptive/Latest/en/Content/Applications/AppsOvw/ConfigSSO.htm)                 | [Okta](https://developer.okta.com/docs/guides/build-sso-integration/openidconnect/main/)                                                                   | SimpleSAMLphp                                                                                                                                  |
|                                                                                                                     |                                                                                                                                                            | [VMware](https://docs.vmware.com/en/VMware-vSphere/6.7/com.vmware.psc.doc/GUID-75D4E587-3F9B-4B50-96DA-D6DB6D1781D7.html)                      |

Si votre IdP n'est pas répertorié, contactez `support@onesignal.com` pour le demander.

***

## Configuration

Contactez `support@onesignal.com` pour commencer la configuration. L'équipe support vous fournira un lien de configuration et vous guidera à travers chaque étape.

<Steps>
  <Step title="Contacter le support et indiquer votre IdP">
    Envoyez un e-mail au support en précisant le fournisseur d'identité que vous utilisez. L'équipe vous enverra un lien de configuration et configurera la connexion du côté OneSignal.
  </Step>

  <Step title="Suivre le guide spécifique à votre IdP">
    Chaque fournisseur d'identité a un processus de configuration différent. Utilisez le tableau des [fournisseurs d'identité pris en charge](#fournisseurs-didentité-pris-en-charge) ci-dessus pour trouver le guide correspondant au vôtre.
  </Step>

  <Step title="Tester votre connexion">
    Après avoir connecté votre IdP, connectez-vous avec vos identifiants SSO pour vérifier que la connexion fonctionne.
  </Step>

  <Step title="Intégrer les membres existants de l'équipe">
    Les utilisateurs OneSignal existants peuvent cliquer sur **Continuer avec l'authentification unique** sur la page de connexion. La connexion par nom d'utilisateur et mot de passe reste disponible pendant les tests afin que l'envoi de messages ne soit pas perturbé pendant l'intégration.

    Fournissez au support les adresses e-mail que vous souhaitez activer pour les tests SSO.

    <Frame caption="Page de connexion OneSignal avec l'option SSO">
      <img src="https://mintcdn.com/onesignal/KSCNwSpBCNSQ8xdF/images/docs/f7d3f9c-signin.png?fit=max&auto=format&n=KSCNwSpBCNSQ8xdF&q=85&s=4ff34c990fa5380e8f263c1414d19ff2" alt="Page de connexion OneSignal affichant le bouton Continuer avec l'authentification unique aux côtés des champs nom d'utilisateur et mot de passe" width="856" height="984" data-path="images/docs/f7d3f9c-signin.png" />
    </Frame>
  </Step>

  <Step title="Imposer le SSO">
    Lorsque vous êtes prêt à exiger le SSO pour tous les utilisateurs, contactez le support pour imposer le SSO à votre organisation. Après l'imposition, la connexion par nom d'utilisateur et mot de passe est désactivée.
  </Step>
</Steps>

***

## Ajouter des utilisateurs à votre organisation SSO

### Inviter via le tableau de bord

Les administrateurs d'organisation peuvent inviter des utilisateurs depuis la page **Membres de l'équipe**. Consultez [Membres de l'équipe](./manage-team-members) pour les options de rôle et les autorisations.

<Steps>
  <Step title="Inviter l'utilisateur">
    Accédez à **Membres de l'équipe** et cliquez sur **Inviter à l'organisation**. Définissez le rôle de l'utilisateur lors de l'invitation.

    <Frame caption="Page Membres de l'équipe avec le bouton Inviter à l'organisation">
      <img src="https://mintcdn.com/onesignal/Z6xkXGfmy814If53/images/docs/d930dcf883e3134f1a688d4b94bb9976d447e70c55da9f4efdea7182ee37bada-Screenshot_2024-12-04_at_3.25.08_PM.png?fit=max&auto=format&n=Z6xkXGfmy814If53&q=85&s=ee79b4a6896baa1487096cfcf6b753b1" alt="Page Membres de l'équipe OneSignal affichant le bouton Inviter à l'organisation" width="2822" height="1026" data-path="images/docs/d930dcf883e3134f1a688d4b94bb9976d447e70c55da9f4efdea7182ee37bada-Screenshot_2024-12-04_at_3.25.08_PM.png" />
    </Frame>

    <Frame caption="Saisir l'adresse e-mail à inviter">
      <img src="https://mintcdn.com/onesignal/MUgio66t0sYhGEvj/images/docs/6f6bc0b-adding_person_to_app.png?fit=max&auto=format&n=MUgio66t0sYhGEvj&q=85&s=a081dd660c2ec2794a95f28e1f3ebff3" alt="Formulaire de saisie d'e-mail pour ajouter un membre de l'équipe à l'organisation OneSignal" width="660" height="350" data-path="images/docs/6f6bc0b-adding_person_to_app.png" />
    </Frame>
  </Step>

  <Step title="L'utilisateur accepte l'invitation">
    L'utilisateur invité reçoit un e-mail contenant un lien **Accepter l'invitation**.

    <Frame caption="E-mail d'invitation envoyé au nouveau membre de l'équipe">
      <img src="https://mintcdn.com/onesignal/KSCNwSpBCNSQ8xdF/images/docs/f7c4d0c-invite-email.png?fit=max&auto=format&n=KSCNwSpBCNSQ8xdF&q=85&s=d9dd9c8bd0e6a2e8393cfcf5013ca3bb" alt="E-mail d'invitation OneSignal avec le bouton Accepter l'invitation" width="900" height="674" data-path="images/docs/f7c4d0c-invite-email.png" />
    </Frame>
  </Step>

  <Step title="L'utilisateur se connecte avec le SSO">
    Après avoir accepté, l'utilisateur se connecte via le fournisseur SSO de votre organisation.

    <Frame caption="Page de connexion SSO après acceptation de l'invitation">
      <img src="https://mintcdn.com/onesignal/YOTSrtBSoqdrJ37A/images/docs/47c7434-login_to_sso.png?fit=max&auto=format&n=YOTSrtBSoqdrJ37A&q=85&s=8e6392b319a32ac40bbb6b18f01a6a99" alt="Page de connexion SSO OneSignal invitant l'utilisateur à s'authentifier via son fournisseur d'identité" width="700" height="544" data-path="images/docs/47c7434-login_to_sso.png" />
    </Frame>
  </Step>
</Steps>

### Restrictions de domaine

Le domaine de messagerie de l'utilisateur invité doit être enregistré sous votre organisation SSO. Si vous invitez quelqu'un dont le domaine de messagerie ne fait pas partie de l'organisation, une erreur se produit.

<Frame caption="Erreur lors de l'invitation d'un utilisateur hors du domaine de votre organisation SSO">
  <img src="https://mintcdn.com/onesignal/Z6xkXGfmy814If53/images/docs/d80d5d6-adding_person_to_app.png?fit=max&auto=format&n=Z6xkXGfmy814If53&q=85&s=437d5dbc5f292562f76aa9158b195785" alt="Message d'erreur OneSignal affiché lors de l'invitation d'un utilisateur dont le domaine de messagerie n'est pas enregistré dans l'organisation SSO" width="660" height="498" data-path="images/docs/d80d5d6-adding_person_to_app.png" />
</Frame>

***

## FAQ

### Qui peut utiliser le SSO ?

Le SSO est disponible uniquement pour les clients entreprise et nécessite un fournisseur d'identité existant. Si vous n'avez pas d'IdP, travaillez avec votre équipe informatique interne ou un cabinet de conseil pour en configurer un au préalable. Consultez la [page de tarification](https://onesignal.com/pricing) pour les détails des forfaits, ou contactez `support@onesignal.com` pour commencer.

### Y a-t-il une limite au nombre de sièges SSO ?

Non. Il n'y a pas de limite de sièges pour les utilisateurs d'une organisation SSO.

### Comment puis-je tester le SSO avant de l'imposer ?

Oui — pendant la [configuration](#configuration), seules les adresses e-mail que vous spécifiez sont activées pour la connexion SSO. La connexion par nom d'utilisateur et mot de passe reste active pour tous les autres, de sorte que l'envoi de messages se poursuit sans interruption.

### Pourquoi le SSO utilise-t-il des domaines de messagerie ? Combien de domaines une organisation peut-elle avoir ?

Le SSO associe les domaines de messagerie à votre organisation — par exemple, `onesignal.com` couvre toutes les adresses e-mail `@onesignal.com`. Une organisation peut avoir plusieurs domaines enregistrés pour la connexion SSO.

### Comment provisionner et déprovisionner des utilisateurs ?

Vous pouvez ajouter et supprimer des utilisateurs depuis le tableau de bord OneSignal. Le déprovisionnement et le provisionnement via votre IdP directement ne sont pas pris en charge pour le moment.

### J'ai besoin d'aide pour trouver mon administrateur d'organisation ou mes domaines de messagerie

Contactez `support@onesignal.com` — ils peuvent vous aider à identifier votre administrateur d'organisation et vous fournir une liste des domaines de messagerie enregistrés pour votre organisation.

### Que se passe-t-il si mon IdP tombe en panne ?

Les utilisateurs disposant d'une session active peuvent continuer à utiliser OneSignal. Les utilisateurs qui doivent se connecter ne pourront pas le faire tant que l'IdP n'est pas rétabli.

### Le mode mixte est-il pris en charge (SSO et nom d'utilisateur/mot de passe simultanément) ?

Le mode mixte n'est pas officiellement pris en charge. Le SSO est conçu comme méthode de connexion principale. Une solution de contournement consiste à séparer vos applications en deux organisations — l'une avec l'imposition du SSO et l'autre sans. Notez que les organisations sont également utilisées à des fins de facturation, alors contactez le support pour discuter de la meilleure approche.

### Puis-je restreindre l'accès SSO à des utilisateurs spécifiques ou imposer le SSO pour un groupe limité ?

Oui. L'accès à OneSignal via le SSO est contrôlé à deux niveaux :

1. **Fournisseur d'identité** : La plupart des IdP (par exemple, Google Workspace, Okta, Microsoft Entra ID) vous permettent d'activer ou de désactiver des applications par utilisateur, groupe ou unité organisationnelle. Configurez votre IdP pour n'accorder l'application OneSignal qu'aux utilisateurs qui en ont besoin.
2. **Invitation OneSignal** : Les utilisateurs doivent également être [invités à votre organisation OneSignal](./manage-team-members) via le tableau de bord. Même si un utilisateur peut s'authentifier via votre IdP, il ne peut pas accéder à OneSignal tant qu'un administrateur d'organisation ne l'a pas invité.

Les deux niveaux doivent accorder l'accès pour qu'un utilisateur puisse se connecter. Pour faire du SSO la seule méthode de connexion, [imposez le SSO](#configuration) (étape 5) — cela désactive la connexion par nom d'utilisateur/mot de passe pour tous les membres de l'organisation.

### Puis-je connecter plusieurs IdP à une organisation ?

Non. Chaque organisation prend en charge un seul IdP. Contactez le support si vous avez des exigences supplémentaires.

***

<Columns cols={2}>
  <Card title="Membres de l'équipe" icon="users" href="./manage-team-members">
    Invitez des utilisateurs, attribuez des rôles et gérez les autorisations au sein de votre organisation.
  </Card>

  <Card title="Tarification" icon="credit-card" href="https://onesignal.com/pricing">
    Comparez les forfaits et découvrez les fonctionnalités incluses à chaque niveau.
  </Card>
</Columns>
