Description
La fonctionnalité "Enterprise SSO" permet aux utilisateurs de se connecter à Piano Analytics par l'intermédiaire de la plateforme d'identification (IdP) de leur organisation. L'un des principaux avantages à l'utilisation de notre SSO est de garantir un accès sécurisé à Piano Analytics, limité aux utilisateurs vérifiés de votre plateforme IdP.
Nous supportons des connecteurs simplifiés pour les IdP suivants :
-
Microsoft Entra ID (ancien nom Azure AD)
-
Google Workspace
-
Okta Workforce
Nous supportons également les protocoles suivants :
-
OpenID generic (OIDC) - connecteur à privilégier
-
SAML 2.0
Pour plus d'informations sur le tarif de cette fonctionnalité, contactez votre responsable de compte.
Bon à savoir
Le SSO sera activé sur tous les domaines email que vous fournirez pour l'activation - vous devez être le propriétaire des domaines d’email concernés. Tout utilisateur ayant un email utilisant ces domaines sera de facto un utilisateur SSO.
Ci-dessous vous trouverez une liste des informations à nous fournir afin que nous puissions procéder à l'activation de la SSO sur votre compte. En cas de question ou difficulté, vous pouvez contacter notre centre support.
Configuration Microsoft Entra ID (Azure AD)
Vous devez tout d'abord enregistrer une application sur Entra ID, avec les informations suivantes :
-
type = Application Web
-
redirect url = https://auth.piano.io/login/callback
Une fois cette action terminée, vous devrez transmettre les informations suivantes à notre équipe support:
-
Entra ID domain name
-
Entra ID Tenant ID
-
Client ID de l'application
-
Client Secret value de l'application
-
Type de tenant (single, multiple tenants,...)
-
Liste des domaines email secondaires sur lesquels activer la SSO (optionnel)
Vous trouverez plus d'information sur la configuration de Microsoft Entra ID sur cette page.
Configuration Google Workspace
Vous devez tout d'abord créer et configurer votre application Google avec les informations suivantes :
-
Authorized JavaScript origins: https://auth.piano.io/
-
Authorized redirect URIs: https://auth.piano.io/login/callback
Une fois cette action terminée, vous devrez transmettre les informations suivantes à notre équipe support:
-
Client ID de l'application
-
Client Secret de l'application
-
Google Workspace Domain sur lequel activer la SSO
-
Liste des domaines email secondaires sur lesquels activer la SSO (optionnel)
Vous trouverez plus d'information sur la configuration de Google Workspace sur cette page.
Configuration OpenID generic (OIDC)
Vous devez tout d'abord créer et configurer votre application avec les informations suivantes :
-
Callback URL: https://auth.piano.io/login/callback
Une fois cette action terminée, vous devrez transmettre les informations suivantes à notre équipe support:
-
Client ID de l'application
-
Client Secret de l'application
-
URL "Well-known"
-
Domaine email sur lequel activer la SSO (optionnel)
Vous trouverez plus d'information sur la configuration d'OpenID sur cette page.
Configuration Okta Workforce
Vous devez tout d'abord créer une application sur votre tenant Okta. Cette application doit être créée et configurée avec les informations suivantes :
-
Callback URL: https://auth.piano.io/login/callback
Une fois cette action terminée, vous devrez transmettre les informations suivantes à notre équipe support:
-
Domaine Okta (domain-name.okta.com ou domaine personnalisé)
-
Client ID de l'application
-
Client Secret de l'application
-
Liste des domaines emails sur lesquels activer la SSO
Vous trouverez plus d'information sur la configuration d'Okta Workforce sur cette page.
Configuration SAML 2.0
Merci de transmettre l'URL meta data de votre IDP, comprenant a minima ces informations:
-
SAML login URL
-
X.509 certificate used to sign the exchanges from the IDP
-
Liste des domaines emails sur lesquels activer la SSO
Test
Une fois que Piano a déployé sa configuration mise à jour, les tests peuvent commencer.
Vous devrez tester certaines actions de connexion avec notre application de test accessible à cette URL : https://my.piano.io/client-testing-application/
Si l'utilisateur test peut voir cette interface avec son email en tant qu'email connecté, cela nous assurera que cela fonctionnera en production.
Mise en production
Si les tests sont concluants, à la date que vous avez spécifiée, nous mettrons la nouvelle configuration en production et désactiverons l'ancienne.
A propos du Client Secret
Vous êtes responsable de la validité et du renouvellement de votre Client Secret en cas d'expiration.
Merci de nous contacter au moins un mois avant son expiration ou en cas de modifications, afin que nous reflétions ces changements sur votre configuration Piano Analytics.
Connexion
Les clients disposant de notre SSO Enterprise utiliseront l'une des URL ci-dessous pour se connecter au produit Piano correspondant :
-
Piano Analytics : http://analytics.piano.io/
-
VX, Composer, ID :
-
https://dashboard.piano.io/ (Etats-Unis)
-
https://dashboard-eu.piano.io/ (Europe)
-
https://dashboard-au.piano.io/ (Australie)
-
https://dashboard-ap.piano.io/ (Asie-Pacifique)
-
-
DMP, Insight, CCE : https://audience.piano.io
Une fois le SSO activé, un utilisateur déjà connecté à votre IdP sera automatiquement redirigé vers l'URL appropriée (voir ci-dessus).
Si un utilisateur n'est pas déjà connecté à votre IdP, il sera redirigé vers le login IdP.
Lorsque le SSO est actif sur votre domaine email, vous devez vous connecter avec les mêmes identifiants que ceux utilisés pour accéder à vos autres applications d'entreprise, et non avec un mot de passe spécifique à Piano Analytics.
L'option « Mot de passe oublié ? » sur la page de connexion Piano Analytics ne fonctionne pas pour les utilisateurs SSO — il n'y a pas de mot de passe Piano à réinitialiser. Si vous avez oublié votre mot de passe d'entreprise, réinitialisez-le via votre IdP (ou avec votre équipe IT), et non via Piano Analytics.
Clés API
Dans la mesure où les utilisateurs SSO n'ont pas de mot de passe, ils doivent s'appuyer sur des clés API pour s'authentifier lors d'appels d'API externes. Pour en savoir plus sur les clés API, consultez cet article.
Emails
L'adresse email utilisée lors de l'enregistrement ou la réinitialisation du mot de passe sera mise à jour en fonction du IdP qui a été mis en œuvre.
Problèmes courants
Erreurs "Forbidden" ou d'accès après la redirection SSO
Si votre IdP vous authentifie avec succès, mais que Piano Analytics affiche ensuite une erreur Forbidden ou « vous n'avez pas accès », les causes les plus courantes sont :
-
Votre compte n'a pas encore été enregistré dans Piano Analytics pour votre organisation. L'IdP vous reconnaît, mais Piano Analytics n'a pas été informé que vous devriez avoir accès. Contactez l'administrateur Piano de votre organisation pour confirmer que votre fiche utilisateur existe dans Access Management.
-
Votre domaine email correspond à un domaine SSO, mais votre compte a été créé sous une organisation différente. Lorsque le SSO est activé sur un domaine, tous les utilisateurs avec ce domaine email deviennent automatiquement des utilisateurs SSO — y compris les utilisateurs dont le compte a été provisionné sous une organisation différente. Votre administrateur devra peut-être ajuster votre organisation par défaut.
Erreurs HTTPS / certificat lors de la redirection SSO
Si vous voyez une erreur HTTPS ou de certificat dans le navigateur spécifiquement pendant le transfert SSO, la cause se situe généralement en dehors de Piano Analytics :
-
Essayez de désactiver votre VPN et retentez la connexion. Certains VPN installent un certificat d'inspection TLS qui interfère avec la redirection SSO.
-
Essayez un autre réseau, comme un partage de connexion personnel. Si le flux SSO aboutit sur celui-ci, demandez à votre équipe IT d'ajouter les domaines d'authentification Piano à la liste blanche afin que l'inspection ne perturbe pas le transfert.
-
Si l'erreur persiste quel que soit le réseau, la configuration de votre IdP devra peut-être être revérifiée — contactez conjointement le Support Piano et l'administrateur de votre IdP, et partagez le texte exact de l'erreur affichée dans le navigateur.