SSO & SAML

Alors que la gestion manuelle des membres de votre organisation convient aux petites équipes ou à ceux qui souhaitent beaucoup de contrôle, parfois vous devez simplement ouvrir les choses de manière plus automatisée. GitBook vous permet de configurer cela de plusieurs façons, via un SSO basique par domaine de messagerie et une intégration SAML plus complexe.

Authentification unique via domaine de messagerie

Lorsque vous créez ou gérez votre organisation, vous pouvez ajouter une liste de domaines de messagerie auxquels vous souhaitez autoriser l'accès à votre organisation GitBook. Cela signifie que toute personne disposant d'une adresse e-mail vérifiée correspondant à vos domaines SSO configurés pourra rejoindre votre organisation.

Vous pouvez activer le SSO par domaine de messagerie dans la SSO section des Paramètresde votre organisation ; saisissez une liste de domaines de messagerie séparés par des virgules pour lesquels vous souhaitez autoriser l'accès SSO et c'est bon.

Authentification unique basée sur SAML (SSO) donne aux membres l'accès à GitBook via un fournisseur d'identité (IdP) de votre choix.

GitBook s'intègre facilement à votre fournisseur d'identité existant (IdP) afin que vous puissiez fournir à vos employés une authentification unique pour GitBook en utilisant les mêmes identifiants et la même expérience de connexion que pour vos autres fournisseurs de services.

En utilisant le SSO, vos employés pourront se connecter à GitBook en utilisant l'interface familière du fournisseur d'identité, au lieu de la page de connexion GitBook. Le navigateur de l'employé les redirigera ensuite vers GitBook. L'IdP accorde l'accès à GitBook lorsque le SSO est activé et que le mécanisme de connexion propre à GitBook est désactivé. De cette façon, la sécurité de l'authentification est transférée à votre IdP et coordonnée avec vos autres fournisseurs de services.

Prérequis pour le SSO avec GitBook

• Le fournisseur d'identité (IdP) de votre entreprise doit prendre en charge la SAML 2.0 norme.

• Vous devez disposer des autorisations administratives sur l'IdP.

• Vous devez être administrateur de l'organisation GitBook sur laquelle vous souhaitez configurer SAML.

Configuration sur GitBook

Vous devez être un administrateur de l'organisation pour activer le SSO pour votre organisation GitBook.

Après avoir configuré le SSO sur votre IdP, vous pourrez saisir les métadonnées. Lorsque la configuration est réussie, les administrateurs verront une boîte de dialogue de confirmation et l'URL de connexion SSO pour les utilisateurs finaux sera affichée. GitBook n'envoie pas d'e-mails d'annonce lorsque la configuration est terminée. Il incombe à l'administrateur d'informer les employés de l'entreprise (et de leur transmettre l'URL de connexion) afin qu'ils puissent accéder à GitBook via le SSO.

Vous aurez besoin des éléments suivants à partir des métadonnées de votre IdP pour enregistrer un fournisseur SAML :

• Un libellé – cela peut être n'importe quoi, il sera affiché sur la page de connexion

• Un ID d'entité

• Un URL de Single Sign On

• Un certificat X.509 – assurez-vous de copier-coller le certificat en entier !

Configuration sur l'IdP

La plupart des fournisseurs d'identité compatibles SAML 2.0 exigent les mêmes informations concernant le fournisseur de services (GitBook, dans ce cas) pour la configuration. Ces valeurs sont spécifiques à votre organisation GitBook et sont disponibles dans l'onglet Paramètres -> SSO de l'organisation GitBook où vous souhaitez activer le SSO.

La plupart de ces valeurs peuvent être copiées directement dans votre IdP pour compléter la configuration de SAML.

GitBook exige que le NameID contienne l'adresse e-mail de l'utilisateur. Techniquement, nous recherchons : urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress comme format de Name-ID – de nombreux fournisseurs (comme Google) vous permettront de définir un format tel que EMAIL.

Attributs personnalisés

GitBook récupérera les attributs personnalisés suivants de la réponse d'assertion SAML et les utilisera lors de la création de l'utilisateur.

Création des comptes utilisateurs finaux

Pour ajouter des membres, créez des comptes pour eux dans votre IdP. La première fois qu'un nouveau membre se connecte à GitBook via l'IdP, un compte GitBook sera créé pour lui via le provisionnement automatique de l'IdP. L'utilisateur aura accès aux ressources de l'organisation en tant que membre de l'organisation.

Suppression des comptes

La suppression d'un membre de l'IdP empêchera l'utilisateur de pouvoir se connecter au compte GitBook correspondant, mais ne supprimera pas le compte de GitBook . Nous conseillons également de supprimer le compte de l'organisation GitBook.

Contrôle d'accès

Une fois que vous avez configuré le SAML SSO, il revient à l'IdP de contrôler qui peut accéder à votre compte GitBook.

Avis de sécurité

Si vous avez un compte GitBook existant avec la même adresse e-mail que celle que nous recevons du fournisseur d'identité et que vous n'êtes pas membre de l'organisation à laquelle vous tentez de vous connecter, nous ne pourrons pas vous ajouter automatiquement à l'organisation avec la configuration SAML pour des raisons de sécurité. Vous avez deux options :

1. Supprimez votre compte GitBook existant puis connectez-vous à l'organisation souhaitée avec SAML. GitBook créera alors un nouveau compte pour vous et vous serez ajouté à l'organisation

2. Ou, demandez à votre administrateur de vous inviter dans l'organisation :

Si votre organisation n'a pas activé « Appliquer le SSO », un administrateur de votre organisation peut inviter des utilisateurs via la page Membres dans les paramètres de votre organisation.

Si votre organisation a activé « Appliquer le SSO », un administrateur devra utiliser l'API d'invitations de GitBook pour inviter des utilisateurs dans l'organisation. Un appel à cette API ressemblerait à ce qui suit ;