Articles sur : Organisation & Utilisateurs

Activer le SSO pour les utilisateurs du portail

Cette page explique comment activer la connexion unique (SSO) pour permettre à vos collaborateurs d'accéder à Anghello avec les identifiants de votre annuaire d'entreprise.


Audience : Administrateurs

Application : Admin (app.anghello.co)

Temps estimé : 5 minutes


En résumé


  • Protocole : OpenID Connect (OIDC) via Microsoft Entra ID (anciennement Azure Active Directory).
  • Périmètre : la connexion SSO concerne les comptes utilisateurs du portail Anghello, créés par invitation avec un rôle et un périmètre (site ou organisation). Les droits restent gérés dans Anghello.
  • Activation : dans la plupart des cas, aucune action n'est requise, vos collaborateurs invités se connectent directement via le bouton SSO. Si la politique de consentement de votre tenant est restreinte (message « Approbation requise »), une seule action de consentement par un administrateur suffit, une fois pour toute l'organisation.


Prérequis


  • Les collaborateurs concernés doivent disposer d'une adresse e-mail sur le domaine de votre organisation et avoir été invités depuis Anghello.
  • Uniquement si votre tenant exige une approbation : disposer d'un rôle permettant le consentement à l'échelle de l'organisation : Administrateur général (Global Administrator) ou Administrateur d'application cloud (Cloud Application Administrator).


Dans la plupart des cas : rien à faire


Le SSO Anghello fonctionne sans configuration préalable : vos collaborateurs invités cliquent sur « Connexion avec Microsoft », s'authentifient avec leurs identifiants d'entreprise, et accèdent à Anghello.




Si votre tenant exige une approbation : accorder le consentement (une seule fois)


Si en revanche vos collaborateurs rencontrent un message « Approbation requise » à la connexion, c'est que la politique de consentement de votre tenant exige une validation par un administrateur. Une seule action suffit alors pour la lever, pour toute l'organisation via l'une des deux méthodes équivalentes ci-dessous.


Raccourci : si la personne qui se connecte à Anghello dispose elle-même d'un rôle d'administrateur habilité, l'écran d'autorisations lui propose directement la case « Consentement pour le compte de votre organisation ». La cocher avant d'accepter produit le même effet que les deux méthodes ci-dessous, pour toute l'organisation.



Méthode A : depuis le portail Entra (recommandée)


  1. Connectez-vous au portail Microsoft Entra en tant qu'Administrateur général.
  2. Allez dans ApplicationsApplications d'entreprise.
  3. Recherchez Anghello dans la liste.
  4. Ouvrez l'application, puis le menu Autorisations.
  5. Cliquez sur « Accorder un consentement administrateur pour [votre organisation] ».
  6. Vérifiez les autorisations demandées (voir ci-dessous), puis confirmez.


L'application Anghello apparaît dans vos Applications d'entreprise dès qu'un de vos collaborateurs a tenté de se connecter une première fois. Si elle n'apparaît pas encore, utilisez la Méthode B ci-dessous : le consentement créera automatiquement l'application dans votre tenant.


Méthode B : via le lien de consentement


Ouvrez le lien suivant en étant connecté comme Administrateur général, vérifiez les autorisations puis acceptez : https://login.microsoftonline.com/organizations/adminconsent?client_id=53a260b7-14dc-4508-9815-0f95bb387600




C'est terminé : tous vos collaborateurs peuvent désormais se connecter via le bouton SSO, sans message d'approbation.


Autorisations demandées par Anghello

Anghello est un éditeur vérifié Microsoft, et les autorisations demandées sont minimales.

Par transparence, voici les autorisations sollicitées, volontairement réduites au minimum :


Autorisation

Pourquoi

Profil de base de l'utilisateur (nom, e-mail)

Identifier le collaborateur et créer son compte Anghello

Maintien de l'accès (offline_access)

Maintenir la session active sans redemander la connexion


Anghello ne demande pas l'accès à vos e-mails, à vos fichiers, ni aucun droit d'écriture sur votre annuaire.


Après activation


  • Les comptes utilisateurs sont créés par invitation depuis Anghello : vos administrateurs Anghello invitent chaque collaborateur en lui attribuant un rôle et un périmètre (un site, ou l'ensemble de l'organisation). Aucun compte n'est créé spontanément à la connexion : seuls les collaborateurs explicitement invités ont accès.
  • Le collaborateur invité active son compte à sa première connexion via le bouton « Se connecter avec le SSO », avec ses identifiants d'entreprise.
  • Les droits et profils d'accès sont attribués dans Anghello, indépendamment de votre annuaire.
  • Vos administrateurs Anghello peuvent imposer le SSO dès l'invitation : dans le formulaire « Inviter un utilisateur », le champ « Méthodes d'authentification autorisées » permet de ne sélectionner que « Azure SSO (Microsoft) ». Le compte ne pourra alors jamais se connecter par mot de passe : toute authentification transite par votre annuaire — condition pour que votre MFA et votre déprovisionnement s'appliquent réellement, sans contournement possible.


Ce que le SSO vous apporte


La connexion SSO via Entra ID vous fait bénéficier, sans configuration supplémentaire, des garanties de sécurité de votre annuaire :


  • Déprovisionnement centralisé : lorsqu'un collaborateur est désactivé dans votre annuaire, il ne peut plus se connecter à Anghello. Le cycle de vie des accès reste piloté depuis votre Entra ID. Les sessions en cours expirent quant à elles à leur échéance normale.
  • Aucun mot de passe propre à Anghello : l'authentification est entièrement déléguée à votre annuaire. Aucun identifiant ni mot de passe spécifique à Anghello n'est créé ni stocké — la surface d'attaque liée aux mots de passe disparaît.
  • MFA et accès conditionnel hérités : vos politiques d'authentification multifacteur et d'accès conditionnel Entra s'appliquent automatiquement aux connexions Anghello. Vous ne configurez rien de plus.


Maîtrise et révocation


  • Vous gardez le contrôle : vous pouvez révoquer l'accès d'Anghello à tout moment depuis Applications d'entreprise, sans nous solliciter.
  • Aucune création d'application ni partage de secret n'est requis de votre part.


Pourquoi OpenID Connect, et pas SAML 2.0 ?


Anghello s'appuie sur OpenID Connect (OIDC), le standard de fédération d'identité moderne. Dans le modèle et à l'échelle d'Anghello, il couvre l'intégralité des besoins de sécurité d'une intégration SSO :


  • Les rôles et droits sont gérés dans Anghello, attribués à l'invitation de chaque utilisateur (rôle + périmètre site ou organisation), et non dérivés de votre annuaire. L'apport principal de SAML — le mappage de groupes ou d'attributs de l'IdP vers des rôles applicatifs — n'est donc pas nécessaire.
  • Le nombre de comptes par site est limité (quelques utilisateurs par site). Le provisionnement automatisé lourd souvent associé à SAML (synchronisation de groupes, SCIM) n'apporterait pas de gain à cette échelle.
  • OIDC fournit déjà les mêmes garanties que SAML pour ce périmètre : authentification fédérée, déprovisionnement centralisé, et héritage du MFA et de l'accès conditionnel décrits ci-dessus.


SAML 2.0 n'est donc aujourd'hui ni requis, ni proposé. Si votre contexte l'impose - par exemple un fournisseur d'identité tiers compatible uniquement SAML, ou une exigence de politique IAM spécifique - contactez-nous : nous évaluerons votre besoin.


Questions fréquentes


Un collaborateur voit un message « Approbation requise ».

La politique de consentement de votre tenant impose une validation par un administrateur. Il suffit qu'un administrateur habilité réalise l'action de consentement décrite ci-dessus (Méthode A ou B), une seule fois, pour lever ce message pour l'ensemble des utilisateurs.


Que se passe-t-il si nous désactivons un compte dans Entra ?

Le collaborateur ne pourra plus se connecter à Anghello : l'authentification étant déléguée à votre annuaire, la désactivation y est répercutée dès sa prochaine tentative de connexion. Une session déjà ouverte expire à son échéance normale.


Nous avons déjà des comptes Anghello avec mot de passe. Peuvent-ils passer au SSO ?

Oui, sans aucune manipulation : à la première connexion SSO, le compte existant est automatiquement rapproché par son adresse e-mail. Le collaborateur conserve son compte, ses droits et son historique. Pour garantir ensuite que l'authentification passe exclusivement par votre annuaire, votre administrateur Anghello peut imposer le SSO sur ces comptes (voir « Après activation »).


Peut-on restreindre quels collaborateurs ont accès ?

Oui, via l'attribution de l'application d'entreprise dans Entra, et via la gestion des droits côté Anghello.


Mis à jour le : 11/06/2026

Cet article a-t-il répondu à vos questions ?

Partagez vos commentaires

Annuler

Merci !