Authentification unique
Pour offrir à la fois sécurité et commodité à Culture Cloud et leurs employés, O.C. Tanner utilise l’authentification SSO.
Exigences techniques
Nous vous recommandons d’utiliser votre propre fournisseur d’identité pour l’authentification unique (SSO) qui peut tirer parti de l’utilisation de votre service d’authentification fédérée. En utilisant votre propre fournisseur d’identité, vous contrôlez qui a accès à Culture Cloud et nécessitent 2FA ou d’autres méthodes de sécurité. Si vous n’avez pas d’authentification unique disponible, nous offrons un service d’authentification non fédérée comme alternative.
Nous Soutien SAML et OpenID Connect v1.0 pour l’authentification unique (SSO).
Lorsque vous utilisez SAML, nous exigeons que les éléments suivants soient configurés :
- Doit Soutien et utilisez SAML 2.0
- Doit Soutien utilisation de la liaison HTTP POST avec TLS
- Doit Soutien fournir à O.C. Tanner une URL de métadonnées ou être en mesure d’exporter un fichier XML
- Doit utiliser au moins une taille de clé de 2048 bits pour votre clé de signatureTutil utiliser au moins l’algorithme RSA 256 bits pour signer la réponse SAML
- Lorsque vous utilisez OpenID Connect v1.0 (OIDC), nous avons besoin que les éléments suivants soient configurés :Doit fournir une URL de configuration bien connue
- Doit fournir à O.C. Tanner son propre ensemble unique d’informations d’identification pour autoriser au nom de l’utilisateur authentifié
- À la réception de votre point de terminaison de configuration bien connu, O.C. Tanner vous fournira votre URI de redirection unique après avoir configuré avec succès votre fournisseur d’identité
Exigences relatives aux fichiers SSO
Nous devrons établir l’ID de connexion du participant qui correspondra à l’ESE. Pour ce faire, nous aurons besoin que vous fournissiez ce type d’informations à partir du fichier de population, telles que l’ID de l’employé, l’e-mail ou leur IDENTIFIANT de connexion actuel.
Questions préliminaires
Pour configurer l’authentification SSO, nous vous demanderons de répondre à quelques questions préliminaires (voir ci-dessous). Une fois que ces questions ont été répondues et que les exigences sont communiquées, l’étape suivante consiste à mettre l’équipe de votre fédération en contact avec l’équipe de sécurité d’O.C. Tanner pour discuter de la mise en œuvre.
Avez-vous actuellement une solution fédérée (Fournisseur d’identité) déjà en place et utilisez-vous l’authentification unique avec d’autres fournisseurs ?
Quelle est votre solution identity provider ?
Répond-il aux exigences pour SAML ?
Quel est l’ID de connexion que vous enverrez en tant que sujet dans la réponse SAML ? Cet ID de connexion doit également se trouver dans les fichiers de données envoyés dans le cadre du programme.
Êtes-vous en mesure de fournir à O.C. Tanner vos métadonnées SAML 2.0 ? Si c’est le cas, veuillez joindre le fichier de métadonnées ou l’URL.
Répond-il aux exigences d’OpenID Connect ?
Quel est le nom d’utilisateur préféré provenant d’Open ID Connect ? Cet élément de données doit également se trouver dans les fichiers de données envoyés dans le cadre du programme d’identification de connexion.
Incluez-vous l’URI JWKs pour la vérification de signature dans vos métadonnées ou votre configuration bien connue ?
As-tu Soutien le type de subvention de code d’autorisation pour OAuth?
Vos normes de mot de passe d’entreprise respectent-elles ou dépassent-elles les éléments suivants ?
- Minimum de 8 caractères
- Nécessite des mots de passe complexes
- Maximum de 6 tentatives de connexion infructueuses
- Expiration du mot de passe de 90 jours
- Historique des mots de passe des 8 derniers mots de passe
- Expiration minimale de la session de 60 minutes
Clients actuels – changements apportés à l’ESO :
Culture Cloud utilisera la même connexion SSO que vous avez dans l’héritage, mais il y a quelques différences importantes.
Nous avons ajouté une couche de sécurité à notre processus d’authentification. Notre technologie actuelle tire parti de l’authentification unique (SSO) initiée par le fournisseur de services (SP) ou initiée par le fournisseur d’identité (IPD). La nouvelle technologie tire parti à la fois de SP / IPD pour une expérience plus transparente. Les clients actuels doivent s’assurer que le SSO initié par le PCI et le SP est configuré et activé.
Ces descriptions font référence à l’endroit où la demande de SSO est faite. S’il s’agit d’O.C. Tanner, il s’agit d’un SSO initié par SP car nous sommes le fournisseur de services (application) initiant sso pour trouver l’utilisateur authentifié. S’ils provenaient d’abord de votre intranet ou de votre fournisseur d’identité( IDP), cela signifie que le fournisseur d’identité a initié l’authentification libre et a envoyé un utilisateur qui est authentifié avec une demande d’aller le fournisseur de services d’O.C. Tanner (app).
Cela signifie que l’expérience de connexion de vos employés changera légèrement avec la nouvelle technologie.
Vos employés peuvent être invités à entrer leur identifiant de connexion ou leur adresse e-mail et à entrer le nom de l’entreprise pour laquelle ils travaillent. Cela identifie l’employé et l’achemine vers votre fournisseur d’identité via SSO, puis il peut se connecter comme il le fait actuellement.
Vos employés peuvent vivre cette expérience la première fois qu’ils visitent le site ou application mobile et encore dans les scénarios suivants :
- Lorsque leur session précédente a expiré
- S’ils se sont déconnectés de leur session précédente
- S’ils ont un nouvel ordinateur, un nouvel appareil ou un nouveau téléphone
- S’ils utilisent un nouveau navigateur, incognito ou une session privée pour visiter le site Web
- Ou si l’un des ce qui précède s’applique lorsqu’ils cliquent sur un lien dans l’e-mail qu’ils reçoivent
Lignes directrices du service d’assistance
Conseils de dépannage de base :
- Culture Cloud les expériences de reconnaissance des pouvoirs ; ce n’est pas de l’hameçonnage.
- Culture Cloud fonctionne dans tous les navigateurs. Utilisez Edge plutôt qu’Internet Explorer. Assurez-vous que les utilisateurs sont sur la dernière version du navigateur.
- Si un utilisateur a des problèmes sur le Culture Cloud application mobile assurez-vous qu’ils sont sur la dernière version / système d’exploitation de l' application mobile de l’App Store (iOS) ou de Google Play (Android).
Comment le service d’assistance devrait-il réagir si les collègues ont de la difficulté à accéder à l’ou à l’utiliser plateforme?
- Assurez-vous que l’utilisateur n’utilise pas un ancien lien mis en signet ou un lien d’un ancien e-mail.
- Fournissez à l’utilisateur ce lien pour se connecter : www.culturecloud.com. Si vous rencontrez toujours des problèmes, vérifiez s’il s’agit d’un niveau de sécurité supérieur à celui d’un employé standard pour voir si la liste d’adresses autorisées a été remplie pour ce niveau de sécurité supérieur.
- Culture Cloud utilise la même connexion sso que vous avez dans l’héritage, mais l’expérience de connexion de l’employé changera légèrement. Lorsqu’ils se connectent pour la première fois, s’ils sont déconnectés de la session précédente (tous les 28 jours, sous réserve de modifications), s’ils ont un nouvel ordinateur ou un nouvel appareil, ils sont dans un nouveau navigateur ou un lien dans des e-mails. Si on vous demande : « Quelle entreprise travaillez-vous ? » Veuillez entrer une étiquette d’entreprise (ces balises d’entreprise ne sont pas sensibles à la casse). Les balises d’entreprise sont généralement le nom du client / de l’entreprise et / ou de tous les domaines Web qu’ils ont pour les e-mails (c’est-à-dire, octanner.com est une balise).
Migration des données :
- Les éléments favoris du catalogue hérité et les adresses enregistrées ne migreront pas
- Tout le reste migrera : historique, commandes, photos Avatar si elles sont remplies avant la mise à niveau, paramètres de confidentialité, historique budgétaire et données budgétaires actuelles, planifiées Cartes Virtuelles et mises en candidature
