Verrouillez votre domaine
L’authentification unique n’est pas un simple interrupteur. Ce sont trois contrôles qui fonctionnent ensemble pour décider exactement qui peut accéder à l’inventaire de votre entreprise. Comprendre comment ils s’imbriquent rend évident pourquoi le SSO laisse entrer les bonnes personnes et tient toutes les autres à l’écart.
1. Vérification de domaine : prouver qu’il est à vous
Avant toute chose, vous revendiquez votre domaine de messagerie (par exemple votreentreprise.com) et
prouvez qu’il vous appartient en publiant un enregistrement DNS TXT que nous générons. Seule une personne qui
contrôle le DNS de votre domaine peut le faire, si bien qu’un domaine vérifié est un signal fort et
infalsifiable indiquant que ce domaine appartient réellement à votre entreprise. Rien en aval ne s’active
tant que cette vérification n’est pas passée.
2. Exiger le SSO : fermer les portes dérobées
Avec un domaine vérifié, vous pouvez exiger le SSO pour tous ses membres. Une fois activé, une personne dont l’e-mail est sur votre domaine ne peut plus se faufiler avec un mot de passe distinct, car la connexion est redirigée vers votre fournisseur d’identité à chaque fois. Cela ferme la porte dérobée du « mais j’ai créé un compte il y a des lustres » et fait passer chaque connexion par le MFA et les politiques imposés par votre IdP.
3. Auto-provisionnement : les bonnes personnes, automatiquement
Activez l’auto-provisionnement et la première fois qu’une personne de votre domaine vérifié se connecte via le SSO, elle est ajoutée automatiquement à l’entreprise, sans invitation manuelle. Un nouveau collaborateur rejoint le bon groupe dans votre IdP, se connecte, et il est opérationnel. Laissez-le désactivé et l’accès reste sur invitation uniquement, le SSO servant simplement de méthode de connexion.
Comment ils se combinent
- Domaine vérifié + exigence de SSO = seuls les membres authentifiés de votre domaine entrent, et uniquement via votre IdP.
- + Auto-provisionnement = l’intégration est automatique, entièrement pilotée par les groupes de votre fournisseur d’identité.
- Retirez quelqu’un dans votre IdP = la prochaine connexion échoue, partout. L’accès ne traîne pas.
Chaque contrôle est une case à cocher dans les paramètres d’authentification unique (SSO) de votre entreprise. La configuration complète (de l’ajout d’un domaine à l’activation de ces options) se trouve sur la page de la fonctionnalité d’authentification unique.