Signature unique

Pour offrir à la fois sécurité et commodité aux clients Culture Cloud et à leurs employés, O.C. Tanner utilise l'authentification SSO.

Exigences techniques

Nous vous recommandons d'utiliser votre propre fournisseur d'identité pour l'authentification unique (SSO) qui peut tirer parti de l'utilisation de votre service d'authentification fédérée. En utilisant votre propre fournisseur d'identité, vous contrôlez qui a accès à Culture Cloud et vous exigez le 2FA ou d'autres méthodes de sécurité. Si vous ne disposez pas de SSO, nous proposons un service d'authentification non fédéré comme alternative.

Nous supportons à la fois SAML et OpenID Connect v1.0 pour le Single Sign-On (SSO).

Lors de l'utilisation de SAML, les éléments suivants doivent être configurés :

  • Doit supporter et utiliser SAML 2.0
  • Doit permettre l'utilisation de la liaison HTTP POST avec TLS
  • Doit permettre de fournir à O.C. Tanner une URL de métadonnées ou d'exporter un fichier XML.
  • Doit utiliser au moins une taille de clé de 2048 bits pour votre clé de signature. Doit utiliser au moins l'algorithme RSA 256 bits pour signer la réponse SAML.
  • Lorsque vous utilisez OpenID Connect v1.0 (OIDC), vous devez configurer les éléments suivants : Vous devez fournir une URL de configuration bien connue.
  • Doit fournir à O.C. Tanner son propre ensemble unique d'informations d'identification pour l'autorisation au nom de l'utilisateur authentifié.
  • Après avoir reçu votre point de terminaison de configuration bien connu, O.C. Tanner vous fournira votre URI de redirection unique après avoir configuré avec succès votre fournisseur d'identité.

Exigences relatives au fichier SSO

Nous devrons établir l'identifiant de connexion du participant qui correspondra au SSO. Pour ce faire, nous aurons besoin que vous nous fournissiez ce type d'information à partir du fichier de la population, comme l'ID de l'employé, l'email ou l'ID de connexion actuel.

Questions préliminaires

Pour mettre en place l'authentification SSO, nous vous demanderons de répondre à quelques questions préliminaires (voir ci-dessous). Une fois que vous aurez répondu à ces questions et que les exigences auront été communiquées, l'étape suivante consistera à mettre votre équipe de fédération en contact avec l'équipe de sécurité d'O.C. Tanner pour discuter de la mise en œuvre.

Disposez-vous actuellement d'une solution fédérée (fournisseur d'identité) et utilisez-vous le SSO avec d'autres fournisseurs ?

Quelle est votre solution de fournisseur d'identité ?

Répond-il aux exigences de la norme SAML ?

‍Quelest l'identifiant de connexion que vous enverrez comme sujet dans la réponse SAML ? Cet identifiant doit également figurer dans les fichiers de données envoyés dans le cadre du programme.

Êtes-vous en mesure de fournir à O.C. Tanner vos métadonnées SAML 2.0 ? Si oui, veuillez joindre le fichier de métadonnées ou l'URL.

Répond-il aux exigences d'OpenID Connect ?

Quel est le nom d'utilisateur préféré provenant d'Open ID Connect ? Cet élément de données doit également figurer dans les fichiers de données envoyés dans le cadre du programme de login ID.

Incluez-vous l'URI des JWKs pour la vérification de la signature dans vos métadonnées ou dans une configuration bien connue ?

Prenez-vous en charge le type de subvention du code d'autorisation pour OAuth ?

Les normes de votre entreprise en matière de mots de passe respectent-elles ou dépassent-elles les éléments suivants ?

  • Minimum de 8 caractères
  • Exige des mots de passe complexes
  • Maximum de 6 tentatives de connexion échouées
  • Expiration du mot de passe de 90 jours
  • Historique des 8 derniers mots de passe
  • Expiration minimale de la session de 60 minutes

Clients actuels - comment le SSO change :

Culture Cloud utilisera la même connexion SSO que celle que vous avez dans l'ancien système, mais il y a quelques différences importantes.

Nous avons ajouté une couche de sécurité à notre processus d'authentification. Notre technologie actuelle s'appuie sur l'authentification unique (SSO) initiée par le fournisseur de services (SP) ou par le fournisseur d'identité (IPD). La nouvelle technologie s'appuie à la fois sur SP/IPD pour une expérience plus transparente. Les clients actuels doivent s'assurer que le SSO initié par l'IDP et le SP est configuré et activé.

Ces descriptions se réfèrent à l'endroit où la demande SSO est faite. Si elle provient d'O.C. Tanner, il s'agit d'un SSO initié par le fournisseur de services, car nous sommes le fournisseur de services (App) qui initie le SSO pour trouver l'utilisateur authentifié. S'il provient de votre intranet ou de votre fournisseur d'identité (IDP), cela signifie que le fournisseur d'identité a initié le SSO et envoyé un utilisateur authentifié avec une demande au fournisseur de service (App) d'O.C. Tanner.

Cela signifie que l'expérience de connexion de vos employés changera légèrement avec la nouvelle technologie.

Vos employés peuvent être invités à saisir leur identifiant de connexion ou leur adresse électronique, ainsi que le nom de l'entreprise pour laquelle ils travaillent. Cela permet d'identifier l'employé et de le diriger vers votre fournisseur d'identité via SSO, puis il peut se connecter comme il le fait actuellement.

Vos employés peuvent vivre cette expérience la première fois qu'ils visitent le site ou l'application mobile, puis dans les scénarios suivants :

  • Lorsque leur session précédente a expiré
  • S'ils se sont déconnectés de leur session précédente
  • S'ils ont un nouvel ordinateur, un nouvel appareil ou un nouveau téléphone
  • S'ils utilisent un nouveau navigateur, une session incognito ou une session privée pour visiter le site web
  • Ou si l'un des éléments ci-dessus s'applique lorsqu'ils cliquent sur un lien dans le courrier électronique qu'ils reçoivent.

Lignes directrices du service d'assistance

Conseils de base pour le dépannage :

  • Culture Cloud les expériences de reconnaissance des pouvoirs ; il ne s'agit pas d'hameçonnage.
  • Culture Cloud fonctionne dans tous les navigateurs. Utilisez Edge plutôt qu'Internet Explorer. Assurez-vous que les utilisateurs disposent de la dernière version du navigateur.
  • Si un utilisateur rencontre des problèmes sur l'application mobile Culture Cloud , assurez-vous qu'il utilise la dernière version/système d'exploitation de l'application mobile sur l'App Store (iOS) ou Google Play (Android).

Comment le service d'assistance doit-il réagir si des collègues ont des difficultés à accéder à la plateforme ou à l'utiliser ?

  • Assurez-vous que l'utilisateur n'utilise pas un ancien lien marqué d'un signet ou un lien provenant d'un ancien courrier électronique.
  • Fournissez à l'utilisateur ce lien pour se connecter : www.culturecloud.com. Si le problème persiste, vérifiez si le niveau de sécurité de l'utilisateur est supérieur à celui d'un employé classique et si la liste des autorisations a été complétée pour ce niveau de sécurité supérieur.
  • Culture Cloud utilise la même connexion SSO que celle que vous avez dans l'ancien système, mais l'expérience de connexion de l'employé changera légèrement. Lorsqu'ils se connectent pour la première fois, s'ils sont déconnectés de la session précédente (tous les 28 jours, sous réserve de modifications), s'ils ont un nouvel ordinateur ou appareil, ils sont dans un nouveau navigateur, ou un lien dans les courriels. À la question "Dans quelle entreprise travaillez-vous ? veuillez saisir une étiquette d'entreprise (ces étiquettes d'entreprise ne sont pas sensibles à la casse). Les balises d'entreprise sont généralement le nom du client/de l'entreprise et/ou tous les domaines web qu'ils ont pour les courriels (par exemple, octanner.com est une balise).

Migration des données :

  • Les éléments favorisés et les adresses sauvegardées des anciens catalogues ne migreront pas.
  • Tout le reste migrera : Historique, commandes, photos des avatars si elles ont été renseignées avant la mise à jour, paramètres de confidentialité, historique du budget et données budgétaires actuelles, Cartes Virtuelles et nominations programmées.

Des questions ?

Demander une démonstration