Guide d'intégration SSO pour l'entreprise
Intégrer tracio.ai avec SAML, OIDC et des fournisseurs d'identité personnalisés. Pas à pas pour Okta, Auth0 et Azure AD avec exemples de code.
Les clients d'entreprise exigent une intégration Single Sign-On (SSO) pour leur tableau de bord tracio.ai. Ce guide explique comment connecter tracio.ai à votre fournisseur d'identité à l'aide de SAML 2.0 ou d'OpenID Connect (OIDC), avec des instructions spécifiques pour les trois fournisseurs les plus courants : Okta, Auth0 et Azure AD.
Protocoles pris en charge
tracio.ai prend en charge deux protocoles SSO : SAML 2.0 et OpenID Connect. SAML est le standard d'entreprise traditionnel, largement pris en charge par les fournisseurs d'identité historiques. OIDC est le standard moderne bâti sur OAuth 2.0, avec une mise en œuvre plus simple et un meilleur support mobile. Nous recommandons OIDC pour les nouvelles intégrations et SAML pour les organisations qui l'ont adopté comme standard.
Les deux protocoles suivent le même flux : l'utilisateur tente d'accéder au tableau de bord tracio.ai, est redirigé vers votre fournisseur d'identité pour s'authentifier, puis est ramené vers tracio.ai avec une assertion ou un token signé. tracio.ai valide l'assertion, crée ou met à jour la session utilisateur et accorde l'accès selon le rôle mappé.
Intégration Okta
Pour Okta, créez une nouvelle intégration d'application dans votre console d'administration Okta. Sélectionnez OIDC comme méthode de connexion et Web Application comme type d'application. Définissez l'URI de redirection de connexion sur https://dashboard.tracio.ai/auth/callback/oidc. Définissez l'URI de redirection de déconnexion sur https://dashboard.tracio.ai/auth/logout.
Dans le tableau de bord tracio.ai, sous Settings > Authentication, saisissez votre domaine Okta, votre client ID et votre client secret. tracio.ai découvrira automatiquement les endpoints OIDC à partir de votre URL de métadonnées Okta. Configurez le mappage groupe-vers-rôle pour attribuer les rôles tracio.ai (Admin, Analyst, Viewer) selon l'appartenance aux groupes Okta.
Intégration Auth0
Créez une nouvelle Regular Web Application dans votre tableau de bord Auth0. Ajoutez https://dashboard.tracio.ai/auth/callback/oidc aux Allowed Callback URLs. Ajoutez https://dashboard.tracio.ai aux Allowed Logout URLs. Activez les connexions appropriées (database, social, enterprise) sous l'onglet Connections de l'application.
Dans tracio.ai, saisissez votre domaine Auth0, votre client ID et votre client secret. L'endpoint de découverte OIDC d'Auth0, à l'adresse https://your-domain.auth0.com/.well-known/openid-configuration, fournit toutes les métadonnées nécessaires. Utilisez les Rules ou Actions d'Auth0 pour inclure des claims personnalisés dans l'ID token en vue du mappage des rôles.
Intégration Azure AD
Dans le portail Azure, accédez à Azure Active Directory > App registrations > New registration. Définissez l'URI de redirection sur https://dashboard.tracio.ai/auth/callback/oidc. Sous Certificates & secrets, créez un nouveau client secret. Sous API permissions, assurez-vous que les permissions openid, profile et email sont accordées.
Dans tracio.ai, saisissez votre tenant ID Azure AD, votre client ID et votre client secret. L'URL de métadonnées OIDC suit le modèle https://login.microsoftonline.com/{tenant-id}/v2.0/.well-known/openid-configuration. Mappez les groupes Azure AD ou les app roles vers les rôles tracio.ai dans la configuration du mappage des rôles.
Mappage des rôles et provisioning
tracio.ai prend en charge trois rôles : Admin (accès complet, y compris la gestion des clés API et la facturation), Analyst (accès en lecture/écriture aux événements, signaux et règles) et Viewer (accès en lecture seule au tableau de bord). Les rôles sont mappés depuis les groupes ou claims de votre fournisseur d'identité.
Nous prenons également en charge SCIM 2.0 pour le provisioning et le déprovisioning automatisés des utilisateurs. Lorsqu'un employé est ajouté au groupe approprié dans votre fournisseur d'identité, il est automatiquement provisionné dans tracio.ai avec le bon rôle. Lorsqu'il en est retiré, son accès est révoqué en quelques minutes. SCIM garantit que la gestion du cycle de vie des utilisateurs reste centralisée dans votre fournisseur d'identité.