Les administrateurs Enterprise peuvent configurer l’authentification unique (SSO) SAML pour Okta ou Microsoft Entra directement depuis le dashboard Mintlify. Pour d’autres fournisseurs comme Google Workspace ou Okta OIDC, contactez-nous pour configurer le SSO.
Lorsque vous activez le provisionnement JIT (just-in-time), les utilisateurs qui se connectent via votre fournisseur d’identité sont automatiquement ajoutés à votre organisation Mintlify.
Le provisionnement JIT fonctionne uniquement pour les connexions initiées par l’IdP. Les utilisateurs doivent se connecter à partir de votre fournisseur d’identité (dashboard Okta ou portail Microsoft Entra) plutôt que de passer par la page de connexion Mintlify.
Pour activer le provisionnement JIT, vous devez avoir activé le SSO. Accédez à la page Identity & access de votre dashboard, configurez le SSO, puis activez le provisionnement JIT.
Vérifiez la propriété de vos domaines d’e-mail afin que Mintlify puisse restreindre le SSO et le provisionnement des membres aux personnes disposant d’adresses e-mail correspondantes. Lorsqu’une personne se connecte avec une adresse e-mail appartenant à un domaine vérifié, Mintlify la redirige automatiquement vers votre fournisseur d’identité. La redirection automatique fonctionne que vous exigiez ou non le SSO, tant que votre organisation dispose d’une connexion SSO active.Vous pouvez ajouter jusqu’à cinq domaines vérifiés par organisation.
Dans l’onglet SSO, dans la section Verified domains, saisissez le domaine (par exemple, example.com) et cliquez sur Add.
Mintlify génère un jeton de vérification. Dans votre fournisseur DNS, créez un enregistrement TXT avec le nom _mintlify-verification.example.com et le jeton comme valeur. Certains fournisseurs DNS ajoutent automatiquement le domaine. Si c’est le cas du vôtre, saisissez simplement _mintlify-verification comme nom d’enregistrement.
Revenez au dashboard et cliquez sur Verify. Le statut passe de Pending à Verified une fois l’enregistrement propagé.
Pour supprimer un domaine, cliquez sur le bouton de suppression à côté de celui-ci.
Les administrateurs de l’organisation peuvent exiger que toutes les personnes de l’organisation se connectent via votre fournisseur d’identité. Lorsque Require SSO est activé, Mintlify rejette les connexions par mot de passe, lien magique et Google OAuth.
Vérifiez que le SSO fonctionne de bout en bout. Dans une fenêtre de navigation privée, connectez-vous à votre dashboard Mintlify depuis le catalogue d’applications de votre fournisseur d’identité (initié par l’IdP) et depuis la page de connexion Mintlify en utilisant une adresse e-mail sur un domaine vérifié (initié par le SP). Les deux flux doivent effectuer une redirection via votre fournisseur d’identité et vous amener au dashboard.
Dans l’onglet SSO, dans la section Sign-in policy, activez Require SSO.
Vous ne pouvez exiger le SSO qu’après avoir configuré une connexion SSO. Exiger le SSO ne vérifie pas si les membres peuvent toujours se connecter ; ajoutez donc un accès de secours pour au moins un administrateur avant de l’activer.
Pour cesser d’exiger le SSO, désactivez le paramètre. Les autres méthodes de connexion redeviennent immédiatement disponibles.
Désignez les membres qui peuvent contourner le SSO et se connecter avec un mot de passe ou un lien magique. Utilisez l’accès de secours pour restaurer l’accès si votre fournisseur d’identité subit une panne ou si une mauvaise configuration verrouille les membres.
Dans l’onglet SSO, dans la section Break-glass access, saisissez l’adresse e-mail d’un membre qui doit conserver un accès hors SSO et cliquez sur Add.
Chaque e-mail de secours doit correspondre à un membre existant de votre organisation. L’accès de secours ne prend effet que lorsque Require SSO est activé.
Ajoutez un accès de secours pour les comptes administrateurs qui ne sont pas liés à votre fournisseur d’identité principal, conservez les identifiants dans un gestionnaire de mots de passe sécurisé et révisez la liste à chaque changement dans l’équipe.
Attribuez des rôles aux utilisateurs en fonction de leur appartenance à des groupes dans le fournisseur d’identité. Lorsqu’un utilisateur se connecte via SSO, Mintlify lit l’attribut groups de l’assertion SAML et associe ces groupes aux rôles du dashboard.
Ajoutez une déclaration d’attribut groups à la configuration de votre fournisseur d’identité SAML. L’attribut doit utiliser le format de nom unspecified.L’assertion SAML résultante doit inclure un AttributeStatement.
Le nom de l’attribut doit être groups (sensible à la casse)
Le format de nom doit être urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified
Chaque groupe auquel l’utilisateur appartient doit être un élément AttributeValue distinct
Okta
Microsoft Entra
Dans la configuration de votre application SAML Okta, ajoutez une déclaration d’attribut de groupe :
Name
Name format
Filter
Value
groups
Unspecified
Matches regex
.*
Ajustez le filtre pour correspondre aux groupes spécifiques que vous souhaitez envoyer à Mintlify.
Dans votre application d’entreprise Microsoft Entra :
Accédez à Single Sign-On > Attributes & Claims.
Cliquez sur Add a group claim.
Sélectionnez les groupes à inclure (tous les groupes ou des groupes spécifiques).
Sous Advanced options, cochez Customize the name of the group claim et définissez le nom sur groups.
Une fois configuré, Mintlify associe les noms de groupes de l’assertion SAML aux rôles de votre organisation. Pour configurer ou modifier les mappages groupe-rôle, contactez votre représentant de compte Mintlify.
Dans Okta, sous Applications, créez une nouvelle intégration d’application utilisant OIDC. Choisissez le type Web Application.
2
Configurer l'intégration
Sélectionnez le flux d’octroi « authorization code » et renseignez l’URL de redirection fournie par Mintlify.
3
Envoyez-nous les informations de votre IdP
Accédez à l’onglet General et repérez le client ID et le client secret. Transmettez-les-nous de manière sécurisée, avec l’URL de votre instance Okta (par exemple, <your-tenant-name>.okta.com). Vous pouvez les envoyer via un service comme 1Password ou SendSafely.