Comment configurer correctement l'authentification unique SAML (SSO) dans WordPress

Chez WPBeginner, nous avons toujours cherché à simplifier les choses pour notre équipe et nos utilisateurs. Lorsque nous avons mis en place l'authentification unique SAML (SSO), sa valeur s'est rapidement avérée.

Notre équipe pouvait accéder à tous ses outils avec une seule connexion, et nous avions l'esprit tranquille en sachant que notre sécurité était renforcée.

Le SSO SAML est une solution solide pour toute entreprise axée sur l'efficacité et la sécurité.

Il permet à votre équipe de se connecter une seule fois pour accéder à tout, tout en vous permettant de contrôler les autorisations des utilisateurs. Les entreprises qui utilisent le SSO constatent moins de tickets de support et une meilleure productivité globale.

Dans ce guide, nous vous expliquerons comment configurer l'authentification unique SAML, vous aidant ainsi à transformer la manière dont votre site gère les connexions.

Qu'est-ce que l'authentification unique SAML ?

SAML signifie Security Assertion Markup Language. C'est un moyen sécurisé pour votre site WordPress de communiquer avec d'autres services, tels que Google et Office 365.

Par contraste, SSO signifie authentification unique (single sign-on). Cela signifie que les utilisateurs peuvent utiliser un seul mot de passe pour plusieurs services.

Avec le SSO SAML, les utilisateurs peuvent se connecter à votre site en utilisant leurs identifiants existants de ces services. Cela signifie qu'il n'est plus nécessaire de se souvenir de noms d'utilisateur et de mots de passe supplémentaires – juste une seule connexion pour tout.

C’est particulièrement utile pour les organisations et les entreprises où les gens utilisent de nombreuses plateformes en ligne différentes. Par exemple, chez WPBeginner, nous utilisons l'authentification unique (SSO) pour permettre aux membres de notre équipe d'accéder facilement à leurs outils avec une seule connexion.

Gardant tout cela à l'esprit, voyons comment vous pouvez facilement configurer SAML SSO dans WordPress. Vous pouvez utiliser ces liens rapides pour naviguer dans le tutoriel :

• Étape 1 : Installer miniOrange SAML Single Sign On
• Étape 2 : Connecter votre site à un fournisseur d'identité
• Étape 3 : Configurer les paramètres SAML SSO de WordPress
• Authentification unique SAML WordPress : Foire aux questions
• Conseils de sécurité WordPress pour rendre la connexion plus sûre

Étape 1 : Installer miniOrange SAML Single Sign On

Le moyen le plus simple d'activer SAML SSO sur votre site Web WordPress est d'utiliser le plugin miniOrange SAML Single Sign On.

Il est gratuit et vous permet de connecter votre site à divers fournisseurs d'identité, tels que Google Apps, Okta, OneLogin, Salesforce, Azure B2C, Keycloak, ADFS, Shibboleth 2, Auth0 et Sharepoint.

De plus, ce plugin permet aux utilisateurs d'accéder à plusieurs sites et applications en utilisant une seule connexion. Cela dit, vous pouvez répéter les mêmes étapes ci-dessous avec le reste des sites auxquels votre équipe devrait pouvoir accéder.

Cela dit, si vous gérez un réseau WordPress multisite, vous n'avez besoin de faire les étapes qu'une seule fois sur votre site réseau principal, et le SSO fonctionnera automatiquement sur tous vos sites.

Tout d'abord, vous devrez installer le plugin. Si vous débutez avec les plugins WordPress, nous avons un guide pratique qui vous explique comment installer un plugin WordPress étape par étape.

Une fois le plugin installé, rendez-vous sur votre tableau de bord WordPress et naviguez vers miniOrange SAML 2.0 SSO » Configuration du plugin.

Ensuite, basculez vers l'onglet « Métadonnées du fournisseur de services ». Laissez cette page ouverte, car nous aurons besoin des informations ici à l'étape suivante.

Étape 2 : Connecter votre site à un fournisseur d'identité

Maintenant que le plugin est installé dans WordPress, il est temps de connecter votre site Web à un fournisseur d'identité SAML (SAML IdP).

Un SAML IdP est un service qui gère les comptes d'utilisateurs et authentifie les utilisateurs. Pensez-y comme à un hub central où les utilisateurs se connectent une seule fois, et cette connexion leur donne accès à diverses applications, y compris votre site WordPress.

Pour cet exemple, nous utiliserons Google Apps comme notre SAML IdP. Cependant, pour utiliser Google Apps comme SAML IdP, vous aurez besoin d'un compte Google Admin, qui est différent de votre compte Gmail habituel.

Un compte Google Admin gère les utilisateurs et les paramètres de Google Workspace de votre organisation. Il ne se termine généralement pas par une extension @gmail.com.

Tout d’abord, rendez-vous sur la page de la console d’administration Google.

Dans le menu latéral, accédez à la section « Applications » et cliquez sur « Applications Web et mobiles ».

À partir de là, ouvrez le menu déroulant « Ajouter une application ».

Ensuite, sélectionnez « Ajouter une application SAML personnalisée ».

Maintenant, donnez un nom à votre application SAML personnalisée (quelque chose comme « miniOrange Custom SAML ») et une brève description (comme « Une application SAML SSO pour WordPress »).

Une fois que vous êtes satisfait, cliquez sur « Continuer ».

Ici, vous verrez deux options pour configurer le SSO WordPress.

Nous allons choisir l'option la plus simple (option 1) qui consiste à télécharger les métadonnées de l'IdP. Cette méthode est beaucoup plus rapide, car vous n'aurez pas à saisir manuellement vos métadonnées IdP et à copier-coller votre certificat x509 plus tard.

Cliquez sur « Télécharger les métadonnées » pour commencer.

Ensuite, faites défiler tout en bas.

Cliquez sur « Continuer ».

Sur la page suivante, vous verrez un formulaire pour les détails de votre fournisseur de services.

Dans notre cas, il s'agit de notre site Web WordPress avec l'aide de miniOrange.

Maintenant, revenez à votre tableau de bord WordPress, où vous avez laissé la page du plugin miniOrange ouverte sur l'onglet « Métadonnées du fournisseur de services ».

Faites défiler vers le bas pour trouver les informations de votre fournisseur de services (URL ACS et ID d'entité). Gardez cette page ouverte, car vous devrez passer d'une page à l'autre entre cette page et la console d'administration Google.

Revenez maintenant à la console d'administration Google et copiez-collez ces informations dans les champs correspondants.

Assurez-vous de cocher également la case « Réponse signée ».

En descendant la page, sélectionnez « EMAIL » pour le format de l’ID de nom et choisissez « Informations de base > E-mail principal » pour l’ID de nom.

Ensuite, cliquez sur « Continuer ».

La prochaine étape consiste à ajouter des champs utilisateur et à les mapper entre Google Directory et votre site WordPress (plugin miniOrange).

C'est essentiellement comme choisir quelles informations des comptes Google sont transférées sur votre site WordPress.

Cliquez sur « Ajouter un mappage » pour commencer. Ensuite, ajoutons le champ « Prénom » de Google et mappons-le à l'attribut « firstname ».

Une fois que vous avez terminé de mapper les champs souhaités, faites défiler vers le bas.

Ensuite, cliquez sur « Terminer ».

Vous arriverez maintenant sur la page de l'application SAML personnalisée dans votre console d'administration Google.

La dernière étape consiste à activer l'application pour vos utilisateurs. Alors, cliquez sur « Désactivé pour tout le monde ».

Maintenant, basculez-la sur « Activé pour tout le monde ».

Enfin, cliquez sur « Enregistrer » pour finaliser la configuration.

Étape 3 : Configurer les paramètres SAML SSO de WordPress

Revenons à la page du plugin miniOrange SSO dans votre espace d'administration WordPress. Nous allons maintenant configurer votre SSO WordPress.

Maintenant, passez à l'onglet « Configuration du fournisseur de services » et sélectionnez « Google Apps ».

Faites défiler vers le bas et accédez à l'onglet « Télécharger les métadonnées IdP ».

Ici, vous devrez saisir le nom du fournisseur d'identité (probablement quelque chose comme « GoogleApps ») et télécharger le fichier XML que vous avez téléchargé précédemment depuis la console d'administration Google.

Une fois que tout est rempli, cliquez sur « Télécharger ».

Félicitations ! Vous avez connecté avec succès votre blog WordPress à votre IdP SAML Google Apps. Configurons maintenant quelques paramètres supplémentaires.

Tout d'abord, passez à l'onglet « Mappage des attributs/rôles ».

Ici, vous pouvez définir comment les informations utilisateur de Google Apps sont mappées aux comptes utilisateur dans WordPress.

Faites défiler vers le bas jusqu'à la section « Mappage des rôles » et sélectionnez le rôle utilisateur par défaut que vous souhaitez attribuer aux nouveaux utilisateurs qui se connectent via SAML SSO.

Dans cet exemple, nous avons sélectionné « Éditeur ». Cliquez sur « Mettre à jour » une fois que vous avez fait votre choix.

Ensuite, passez à l'onglet « Redirection & Liens SSO ».

C'est ici que vous pouvez ajouter un bouton pratique de connexion unique à votre page de connexion WordPress pour la commodité de l'utilisateur.

Assurez-vous simplement que l'option intitulée « Ajouter un bouton de connexion unique sur la page de connexion WordPress » est activée.

Ce petit changement ajoutera un bouton « Se connecter avec [nom du fournisseur d'identité] » à votre écran de connexion WordPress, ce qui permettra aux utilisateurs de se connecter plus facilement avec leurs identifiants Google Apps existants.

Voici à quoi ressemble le nôtre :

Authentification unique SAML WordPress : Foire aux questions

Nous avons couvert les étapes de configuration de WordPress SAML SSO, mais vous pourriez encore avoir quelques questions. Examinons-en quelques-unes courantes :

SAML et SSO sont-ils la même chose ?

Non, SAML et SSO ne sont pas la même chose. SAML (Security Assertion Markup Language) est un protocole spécifique utilisé pour implémenter le SSO.

Il existe d'autres moyens d'obtenir le SSO que d'utiliser SAML. Cependant, SAML est une option populaire et sécurisée pour implémenter le SSO dans une variété d'applications, y compris WordPress.

Quelle est la différence entre SAML SSO et une connexion en un clic avec un plugin ?

Oui, il existe des plugins de connexion WordPress qui offrent une fonctionnalité en un clic, ce qui est une option beaucoup plus simple par rapport à SAML SSO.

La principale différence réside dans leur fonctionnement. SAML SSO nécessite la création d'une application personnalisée dans votre console d'administration Google pour une communication sécurisée. Cela demande plus de configuration mais offre plus de sécurité et une gestion centralisée des utilisateurs.

D'autre part, les plugins de connexion en un clic utilisent des protocoles existants comme OAuth pour se connecter à des services comme Google. Vous n'avez pas besoin des privilèges d'administrateur Google, mais cela pourrait ne pas offrir le même niveau de sécurité que SAML SSO.

Le SSO et la connexion sociale sont-ils la même chose ?

La connexion sociale est un type de SSO qui permet aux utilisateurs de se connecter à votre site WordPress en utilisant leurs identifiants de réseaux sociaux existants (comme Facebook). SAML SSO, en revanche, est une option plus sécurisée et flexible qui peut être utilisée avec une plus large gamme de fournisseurs d'identité, pas seulement les plateformes de médias sociaux.

Pour plus d'informations sur l'ajout d'options de connexion sociale à votre site WordPress, vous pouvez consulter notre guide sur comment ajouter la connexion sociale dans WordPress.

Conseils de sécurité WordPress pour rendre la connexion plus sûre

Bien que la connexion SAML SSO soit assez sécurisée, voici quelques conseils supplémentaires que vous pouvez mettre en œuvre pour renforcer davantage votre sécurité WordPress :

• Appliquez des mots de passe forts pour vos utilisateurs WordPress.
• Activez l'authentification à deux facteurs (2FA) pour une couche de protection supplémentaire.
• Limitez le nombre de tentatives de connexion pour empêcher les attaques par force brute.
• Gardez un œil sur les tentatives de connexion suspectes en surveillant vos journaux de connexion.
• Restreignez l'accès à votre zone d'administration WordPress par adresse IP.
• Sauvegardez régulièrement votre site WordPress en cas de failles de sécurité.
• Maintenez à jour votre cœur de WordPress, vos plugins et vos thèmes pour corriger les vulnérabilités de sécurité.
• Forcez la déconnexion de tous les utilisateurs et faites-leur changer de mot de passe dans WordPress de temps en temps.

Nous espérons que cet article vous a aidé à apprendre comment configurer SAML SSO dans WordPress. Vous pourriez également vouloir consulter notre guide sur comment obtenir un certificat SSL gratuit pour votre site Web et notre sélection d'experts des plugins WordPress indispensables pour développer votre site Web.

Si cet article vous a plu, abonnez-vous à notre chaîne YouTube pour des tutoriels vidéo WordPress. Vous pouvez également nous retrouver sur Twitter et Facebook.