Référence technique SSO / OIDC
Référence technique pour configurer Microsoft Entra ID, Salesforce Marketing Cloud et des fournisseurs OIDC personnalisés avec OmniLab.
Ce guide est le complément technique de l'article d'administration Configuration SSO. Utilisez-le lorsque votre équipe IT ou l'administrateur de votre fournisseur d'identité configure l'application et rassemble les informations requises par OmniLab.
Le SSO est activé par votre Customer Success Manager
Les clients ne configurent pas le SSO eux-mêmes. Votre Customer Success Manager vous communiquera l'URL de rappel OmniLab exacte à enregistrer dans votre fournisseur et activera ce dernier pour votre environnement une fois que vous lui aurez transmis les informations ci-dessous.
Comment OmniLab authentifie les utilisateurs
OmniLab utilise le flux Authorization Code OAuth 2.0 avec OpenID Connect (OIDC) pour la connexion. Les scopes standard demandés sont openid, email et profile. Pour Salesforce Marketing Cloud, des endpoints OAuth propres au fournisseur sont utilisés.
Déroulement général :
- L'utilisateur clique sur le bouton du fournisseur sur la page de connexion OmniLab.
- OmniLab redirige vers l'endpoint d'autorisation du fournisseur.
- Le fournisseur authentifie l'utilisateur et le redirige vers l'URL de rappel OmniLab.
- OmniLab échange le code d'autorisation contre des tokens via l'endpoint de token.
- OmniLab lit l'identité de l'utilisateur via l'endpoint user info.
- Si l'utilisateur existe dans OmniLab et est affecté à une organisation, la connexion est terminée.
Microsoft Entra ID
Étapes d'inscription de l'application
- Dans le portail Azure, créez une nouvelle application sous Inscriptions d'applications.
- Dans Authentification, ajoutez une URI de redirection (plateforme : Web) avec l'URL de rappel OmniLab exacte fournie par votre Customer Success Manager.
- Dans Certificats et secrets, créez un nouveau Secret client et notez la valeur immédiatement (elle ne s'affiche qu'une fois).
- Dans l'onglet Vue d'ensemble, notez l'ID d'application (client) et l'ID de répertoire (tenant).
Informations à transmettre à OmniLab
| Champ | Où le trouver | Remarques |
|---|---|---|
| ID d'application (client) | Portail Azure — Inscriptions d'applications — Vue d'ensemble | Identifie votre application Entra |
| ID de répertoire (tenant) | Portail Azure — Inscriptions d'applications — Vue d'ensemble | Limite la connexion à votre tenant Microsoft |
| Valeur du secret client | Portail Azure — Certificats et secrets (affiché une seule fois) | Permet à OmniLab de terminer l'échange de code |
| Nom d'affichage du bouton | Votre choix | Ce que voient les utilisateurs sur la page de connexion OmniLab |
| URL de rappel enregistrée | Confirmation uniquement | L'URL OmniLab doit apparaître dans la liste des URI de redirection |
Scopes : openid, email, profile (OIDC standard ; aucune permission supplémentaire n'est nécessaire pour la connexion seule).
Salesforce Marketing Cloud
Configuration de l'application connectée
- Dans Salesforce Marketing Cloud, accédez à Setup > Apps > API Integration et créez une nouvelle application connectée.
- Activez OAuth 2.0 et ajoutez l'URL de rappel OmniLab exacte comme URI de redirection autorisée.
- Notez le Client ID et le Client Secret après l'enregistrement.
- Notez l'URL d'autorisation, l'URL de token et l'URL user info pour votre instance Marketing Cloud.
Informations à transmettre à OmniLab
| Champ | Remarques |
|---|---|
| Client ID | Identifie votre application connectée Marketing Cloud |
| Client secret | Permet à OmniLab de terminer l'échange OAuth |
| URL d'autorisation | Démarre le flux de connexion (spécifique à l'instance) |
| URL de token | Utilisée pour l'échange code contre token |
| URL user info | Utilisée pour lire l'identité de l'utilisateur authentifié |
| URL de rappel enregistrée | Confirmation uniquement |
Fournisseur SSO d'entreprise personnalisé (compatible OIDC)
Pour tout autre fournisseur d'identité compatible OpenID Connect, rassemblez les informations suivantes :
| Champ | Remarques |
|---|---|
| Nom d'affichage du bouton | Ce que voient les utilisateurs sur la page de connexion OmniLab |
| Client ID | Identifie votre application fournisseur |
| Client secret | Permet à OmniLab de terminer l'échange de code |
| URL d'autorisation | Endpoint d'autorisation du fournisseur |
| URL de token | Endpoint de token du fournisseur |
| URL user info | Endpoint user info du fournisseur |
| Chaîne de scope | Généralement openid email profile ; ajoutez les extras requis par le fournisseur |
| URL de rappel enregistrée | L'URL de rappel OmniLab doit figurer dans la liste des redirections autorisées du fournisseur |
Si votre fournisseur publie un document de découverte OIDC (.well-known/openid-configuration), partagez cette URL avec votre Customer Success Manager — cela simplifie la configuration des endpoints.
Checklist avant mise en production
- L'application fournisseur est enregistrée et l'URL de rappel OmniLab figure dans la liste des redirections autorisées.
- Tous les secrets ont été partagés de manière sécurisée avec votre Customer Success Manager (pas par email en clair).
- Au moins un utilisateur de test existe dans OmniLab et est affecté à une organisation.
- L'email de l'utilisateur de test dans OmniLab correspond exactement à l'email que le fournisseur renverra.
- Vous avez confirmé quel environnement OmniLab (staging ou production) doit être activé.
Pour aller plus loin
Configuration SSO (vue d'ensemble admin)
Le workflow administrateur pour choisir un fournisseur et coordonner la mise en place.
SSO pour utilisateurs internes
Comment le SSO s'intègre dans le tableau d'ensemble de l'authentification interne.
Authentification
Authentification API server-to-server pour les intégrations développeur.
Patterns d'intégration courants
Utiliser des patterns OmniLab éprouvés pour la synchro CRM, l'export analytics, le self-service booking, et l'automatisation maîtrisée.
Intégration embarquée et WebView
Référence technique pour intégrer OmniLab dans une page web, une WebView mobile ou un domaine personnalisé — avec exemples HTML, JavaScript et React Native.