Entreprise

Authentification unique via SAML et OIDC

Placez Ciao sous les contrôles d'identité que vous exploitez déjà — SAML ou OIDC, MFA optionnelle, provisionnement juste-à-temps et politiques de session appliquées là où elles doivent l'être : à votre IdP.

Ciao prend en charge l'authentification unique via SAML et OIDC, avec MFA optionnelle et contrôle d'accès basé sur les rôles. Contrairement aux outils basés sur des mots de passe qui créent un silo d'identité parallèle, le SSO place Ciao derrière votre fournisseur d'identité existant — les nouveaux arrivants obtiennent l'accès via votre annuaire, les politiques de session et de ré-authentification suivent les règles de votre IdP, et les personnes qui partent perdent l'accès dès que votre IdP les désactive.

Idéal pourÉquipes IT et identitéÉvaluateurs sécurité examinant le contrôle d'accèsIntégration entreprise

Publié 2026-07-03 · Dernière mise à jour 2026-07-03

Pourquoi le SSO est habituellement la première exigence entreprise

Tout outil qui gère ses propres mots de passe est un outil que votre processus de départ peut manquer. Pour une plateforme où un utilisateur connecté peut demander des changements sur un logiciel de production, ce risque est plus aigu que pour un produit de tableau de bord : un compte orphelin n'est pas seulement une question d'exposition de données mais aussi une question de contrôle des changements. Les revues de sécurité ont raison de placer le SSO en tête de liste des exigences.

Le SSO déplace l'authentification de Ciao derrière le fournisseur d'identité que vous gouvernez déjà. Les revues d'accès se déroulent en un seul endroit, la politique MFA s'applique de manière cohérente, et le processus arrivée-mutation-départ que vos auditeurs acceptent déjà s'étend pour couvrir le développement assisté par IA sans magasin de comptes parallèle à réconcilier.

Il y a un avantage plus discret pour les personnes qui font le travail : un mot de passe de moins, un rituel de connexion de moins, et un accès qui apparaît dès le premier jour car l'annuaire — pas une file de tickets — fait foi. Les contrôles qui rendent le chemin sécurisé également le chemin pratique sont les seuls contrôles que les gens suivent réellement, et le SSO en est l'exemple le plus clair dans la pile d'identité.

Ce que fournit Ciao

Les capacités d'identité ci-dessous font partie de la plateforme entreprise, et chacune est vérifiable pendant l'intégration ou l'évaluation :

  • SAML et OIDC — SSO via les deux principaux protocoles, afin que Ciao fonctionne avec l'IdP que vous exploitez aujourd'hui plutôt que d'exiger un fournisseur spécifique.
  • MFA optionnelle — La MFA peut être appliquée via la politique de votre IdP, avec une MFA optionnelle disponible côté Ciao dans le cadre de la configuration d'identité.
  • Contrôle d'accès basé sur les rôles — Le SSO s'associe au RBAC, si bien que l'authentification répond à qui vous êtes et les rôles répondent à ce que vous pouvez faire — entre espaces de travail et projets.
  • Provisionnement juste-à-temps — Les comptes peuvent être créés dès la première connexion réussie via votre IdP, si bien que l'intégration ne dépend pas de la création manuelle de comptes.
  • Actions d'administration auditées — Les changements d'identité et d'accès sont des actions d'administration, et les actions d'administration sont enregistrées dans la piste d'audit en ajout seul.

Comment fonctionne la configuration

  1. 1. Choisir le protocole

    SAML ou OIDC, selon la préférence de votre équipe IdP. Aucun des deux n'est « inférieur » — choisissez celui que votre outillage d'identité gère le mieux.

  2. 2. Créer l'application dans votre IdP

    Enregistrez Ciao dans votre fournisseur d'identité comme vous le feriez pour toute application SSO, et affectez les utilisateurs ou groupes qui devraient avoir accès.

  3. 3. Échanger la configuration

    Métadonnées, points de terminaison et certificats sont échangés entre votre IdP et Ciao pendant l'intégration, l'équipe entreprise accompagnant vos ingénieurs identité.

  4. 4. Tester avec un groupe pilote

    Vérifiez la connexion, la création de compte juste-à-temps et l'affectation des rôles avec un petit groupe avant d'ouvrir l'accès plus largement.

  5. 5. Déployer et réviser

    Étendez l'affectation à l'ensemble de la population, puis confirmez dans la piste d'audit que les événements d'accès et les actions d'administration sont enregistrés comme votre revue l'attend.

Provisionnement juste-à-temps et ce qu'il ne résout pas

Le provisionnement juste-à-temps crée un compte Ciao la première fois qu'un utilisateur se connecte via votre IdP. Cela supprime l'étape manuelle à l'intégration et évite que des comptes pré-créés restent inutilisés. Ce que le JIT ne fait pas, c'est le déprovisionnement : un utilisateur qui ne se reconnecte jamais doit quand même voir son accès retiré au niveau de l'IdP, et l'automatisation du cycle de vie est mieux gérée par SCIM. La plupart des déploiements entreprise utilisent le SSO avec JIT pour l'arrivée et SCIM pour le cycle de vie complet — la page SCIM couvre cette seconde moitié.

Pendant l'évaluation, testez explicitement le parcours JIT : affectez un utilisateur test dans l'IdP, connectez-vous une fois, et confirmez que le compte arrive avec le rôle prévu par votre correspondance. Le test de cinq minutes en dit plus que n'importe quel schéma d'architecture.

Politiques de session et MFA

La durée de session, la fréquence de ré-authentification et les règles de renforcement d'authentification relèvent du fournisseur d'identité, là où votre équipe sécurité les ajuste déjà, et le SSO signifie que les sessions Ciao suivent la politique appliquée par votre IdP à la connexion. La MFA fonctionne de la même façon : appliquez-la dans la politique IdP qui gouverne l'accès à Ciao, avec une MFA optionnelle disponible côté plateforme. Le résultat pratique pour les évaluateurs est une surface de politique unique à auditer plutôt que des paramètres de session par outil qui divergent.

Lorsque votre politique change — sessions plus courtes, règles de renforcement plus strictes — vous la changez une seule fois, à l'IdP, et l'accès à Ciao suit sans audit de paramètres parallèle côté plateforme.

Notes de vérification

Les affirmations d'identité sont peu coûteuses à vérifier : configurez une connexion test pendant l'évaluation et observez la connexion, la création de compte JIT et la correspondance des rôles se dérouler avec votre propre IdP. Le dossier de sécurité, disponible sur demande via la page de contact, documente l'architecture d'identité par écrit, et les rapports SOC 2 Type II sous NDA couvrent les contrôles de gestion d'accès audités derrière elle.

Capacités en un coup d'œil

CapacitéMécanismeNotes
Authentification uniqueSAML ou OIDCFonctionne avec les fournisseurs d'identité conformes aux standards
Authentification multifacteurPolitique IdP, plus MFA optionnelle sur CiaoÀ appliquer là où votre équipe gouverne déjà la MFA
Création de compteJuste-à-temps à la première connexionS'associe à SCIM pour le cycle de vie complet
AutorisationContrôle d'accès basé sur les rôlesPortée par espace de travail et par projet
PreuvesPiste d'audit en ajout seulActions d'administration enregistrées pour révision

Questions fréquentes

Quels fournisseurs d'identité sont pris en charge ?

Tout fournisseur d'identité qui implémente SAML ou OIDC — les IdP couramment exploités en entreprise, comme Okta, Microsoft Entra ID et Google Workspace, parlent tous ces protocoles. La configuration est réalisée avec votre équipe identité pendant l'intégration.

Pouvons-nous exiger que tous les utilisateurs se connectent uniquement via SSO ?

Imposer le SSO comme unique voie de connexion est une question de configuration d'identité traitée pendant l'intégration — soulevez-la auprès de l'équipe entreprise et votre configuration sera confirmée par rapport à l'exigence plutôt que présumée.

Que se passe-t-il lorsqu'un employé quitte l'entreprise ?

Désactivez-le au niveau de l'IdP et il ne pourra plus s'authentifier auprès de Ciao. Avec le provisionnement SCIM en place, la désactivation se propage également comme un événement de cycle de vie, et les actions d'administration associées sont enregistrées dans la piste d'audit en ajout seul.

Quelle est la différence entre JIT et SCIM ?

Le JIT crée un compte lors de la première connexion d'un utilisateur ; il ne gère que l'arrivée. SCIM pousse en continu les événements de création, mise à jour et désactivation depuis votre IdP, couvrant tout le cycle de vie. La plupart des déploiements entreprise utilisent les deux ensemble.

Le SSO est-il inclus, ou une option payante ?

Le SSO via SAML et OIDC fait partie de l'offre entreprise de Ciao. Les programmes de production sérieux démarrent à 10 000 USD par an — confirmez le périmètre du plan avec les ventes afin que les exigences d'identité figurent dans l'accord dès le départ.

Pages associées

Obtenez le dossier sécurité.

Authentification unique : SAML et OIDC | Ciao