> ## Documentation Index
> Fetch the complete documentation index at: https://mintlify-mintlify-0dbda2de.mintlify.site/llms.txt
> Use this file to discover all available pages before exploring further.

# Authentification unique (SSO)

> Configurez l'authentification unique avec des fournisseurs SAML ou OIDC comme Okta, Azure AD et Google Workspace pour sécuriser l'accès de l'équipe.

<Info>
  Le SSO est disponible avec les [offres Enterprise](https://mintlify.com/pricing?ref=sso).
</Info>

Les administrateurs Enterprise peuvent configurer l'authentification unique (SSO) SAML pour Okta ou Microsoft Entra directement depuis le dashboard Mintlify. Pour d'autres fournisseurs comme Google Workspace ou Okta OIDC, [contactez-nous](mailto:support@mintlify.com) pour configurer le SSO.

<div id="configure-sso">
  ## Configurer le SSO
</div>

<div id="okta">
  ### Okta
</div>

<Steps>
  <Step title="Configurer le SSO Okta dans votre dashboard Mintlify">
    1. Dans votre dashboard Mintlify, accédez à la page [Identity & access](https://app.mintlify.com/settings/organization/sso).
    2. Cliquez sur **Configure**.
    3. Sélectionnez **Okta SAML**.
    4. Copiez la **Single sign on URL** et l'**Audience URI**.
  </Step>

  <Step title="Créer une application SAML dans Okta">
    1. Dans Okta, sous **Applications**, créez une nouvelle intégration d'application utilisant SAML 2.0.

    2. Saisissez les informations suivantes à partir de Mintlify :
       * **Single sign on URL** : l'URL que vous avez copiée depuis votre dashboard Mintlify
       * **Audience URI** : l'URI que vous avez copiée depuis votre dashboard Mintlify
       * **Name ID Format** : `EmailAddress`

    3. Ajoutez ces déclarations d'attribut :

       | Name        | Name format | Value            |
       | ----------- | ----------- | ---------------- |
       | `firstName` | Basic       | `user.firstName` |
       | `lastName`  | Basic       | `user.lastName`  |
  </Step>

  <Step title="Copier l'URL de metadata Okta">
    Dans Okta, allez dans l'onglet **Sign On** de votre application et copiez l'URL de metadata.
  </Step>

  <Step title="Enregistrer dans Mintlify">
    De retour dans le dashboard Mintlify, collez l'URL de metadata et cliquez sur **Save changes**.
  </Step>
</Steps>

<div id="microsoft-entra">
  ### Microsoft Entra
</div>

<Steps>
  <Step title="Configurer le SSO Microsoft Entra dans votre dashboard Mintlify">
    1. Dans votre dashboard Mintlify, accédez à la page [Identity & access](https://app.mintlify.com/settings/organization/sso).
    2. Cliquez sur **Configure**.
    3. Sélectionnez **Microsoft Entra ID SAML**.
    4. Copiez la **Single sign on URL** et l'**Audience URI**.
  </Step>

  <Step title="Créer une application d'entreprise dans Microsoft Entra">
    1. Dans Microsoft Entra, accédez à **Enterprise applications**.
    2. Cliquez sur **New application**.
    3. Cliquez sur **Create your own application**.
    4. Sélectionnez "Integrate any other application you don't find in the gallery (Non-gallery)."
  </Step>

  <Step title="Configurer SAML dans Microsoft Entra">
    1. Dans Microsoft Entra, accédez à **Single Sign-On**.
    2. Cliquez sur **SAML**.
    3. Sous **Basic SAML Configuration**, saisissez ce qui suit :
       * **Identifier (Entity ID)** : l'Audience URI depuis Mintlify
       * **Reply URL (Assertion Consumer Service URL)** : la Single sign on URL depuis Mintlify

    Laissez les autres valeurs vides et cliquez sur **Save**.
  </Step>

  <Step title="Configurer Attributes & Claims dans Microsoft Entra">
    1. Dans Microsoft Entra, accédez à **Attributes & Claims**.
    2. Sélectionnez **Unique User Identifier (Name ID)** sous "Required Claim."
    3. Modifiez l'attribut Source en `user.primaryauthoritativeemail`.
    4. Sous **Additional claims**, créez les éléments suivants :
       | Name        | Value            |
       | ----------- | ---------------- |
       | `firstName` | `user.givenname` |
       | `lastName`  | `user.surname`   |
  </Step>

  <Step title="Copier l'URL de metadata Microsoft Entra">
    Sous **SAML Certificates**, copiez l'**App Federation Metadata URL**.
  </Step>

  <Step title="Enregistrer dans Mintlify">
    De retour dans le dashboard Mintlify, collez l'URL de metadata et cliquez sur **Save changes**.
  </Step>

  <Step title="Affecter des utilisateurs">
    Dans Microsoft Entra, accédez à **Users and groups**. Affectez les utilisateurs qui doivent avoir accès à votre dashboard Mintlify.
  </Step>
</Steps>

<div id="jit-provisioning">
  ## Provisionnement JIT (just-in-time)
</div>

Lorsque vous activez le provisionnement JIT (just-in-time), les utilisateurs qui se connectent via votre fournisseur d'identité sont automatiquement ajoutés à votre organisation Mintlify.

<Note>
  Le provisionnement JIT fonctionne uniquement pour les connexions initiées par l'IdP. Les utilisateurs doivent se connecter à partir de votre fournisseur d'identité (dashboard Okta ou portail Microsoft Entra) plutôt que de passer par la page de connexion Mintlify.
</Note>

Pour activer le provisionnement JIT, vous devez avoir activé le SSO. Accédez à la page [Identity & access](https://app.mintlify.com/settings/organization/sso) de votre dashboard, configurez le SSO, puis activez le provisionnement JIT.

<div id="verified-domains">
  ## Domaines vérifiés
</div>

Vérifiez la propriété de vos domaines d'e-mail afin que Mintlify puisse restreindre le SSO et le provisionnement des membres aux personnes disposant d'adresses e-mail correspondantes. Lorsqu'une personne se connecte avec une adresse e-mail appartenant à un domaine vérifié, Mintlify la redirige automatiquement vers votre fournisseur d'identité. La redirection automatique fonctionne que vous exigiez ou non le SSO, tant que votre organisation dispose d'une connexion SSO active.

Vous pouvez ajouter jusqu'à cinq domaines vérifiés par organisation.

1. Accédez à la page [Identity & access](https://app.mintlify.com/settings/organization/sso) de votre dashboard.
2. Dans l'onglet **SSO**, dans la section **Verified domains**, saisissez le domaine (par exemple, `example.com`) et cliquez sur **Add**.
3. Mintlify génère un jeton de vérification. Dans votre fournisseur DNS, créez un enregistrement TXT avec le nom `_mintlify-verification.example.com` et le jeton comme valeur. Certains fournisseurs DNS ajoutent automatiquement le domaine. Si c'est le cas du vôtre, saisissez simplement `_mintlify-verification` comme nom d'enregistrement.
4. Revenez au dashboard et cliquez sur **Verify**. Le statut passe de **Pending** à **Verified** une fois l'enregistrement propagé.

Pour supprimer un domaine, cliquez sur le bouton <Icon icon="trash" /> de suppression à côté de celui-ci.

<div id="require-sso">
  ## Require SSO
</div>

Les administrateurs de l'organisation peuvent exiger que toutes les personnes de l'organisation se connectent via votre fournisseur d'identité. Lorsque Require SSO est activé, Mintlify rejette les connexions par mot de passe, lien magique et Google OAuth.

1. Accédez à la page [Identity & access](https://app.mintlify.com/settings/organization/sso) de votre dashboard.
2. Vérifiez que le SSO fonctionne de bout en bout. Dans une fenêtre de navigation privée, connectez-vous à votre dashboard Mintlify depuis le catalogue d'applications de votre fournisseur d'identité (initié par l'IdP) et depuis la [page de connexion Mintlify](https://app.mintlify.com/login) en utilisant une adresse e-mail sur un domaine vérifié (initié par le SP). Les deux flux doivent effectuer une redirection via votre fournisseur d'identité et vous amener au dashboard.
3. Dans l'onglet **SSO**, dans la section **Sign-in policy**, activez **Require SSO**.

<Warning>
  Vous ne pouvez exiger le SSO qu'après avoir configuré une connexion SSO. Exiger le SSO ne vérifie pas si les membres peuvent toujours se connecter ; ajoutez donc un accès de secours pour au moins un administrateur avant de l'activer.
</Warning>

Pour cesser d'exiger le SSO, désactivez le paramètre. Les autres méthodes de connexion redeviennent immédiatement disponibles.

<div id="break-glass-access">
  ## Accès de secours
</div>

Désignez les membres qui peuvent contourner le SSO et se connecter avec un mot de passe ou un lien magique. Utilisez l'accès de secours pour restaurer l'accès si votre fournisseur d'identité subit une panne ou si une mauvaise configuration verrouille les membres.

1. Accédez à la page [Identity & access](https://app.mintlify.com/settings/organization/sso) de votre dashboard.
2. Dans l'onglet **SSO**, dans la section **Break-glass access**, saisissez l'adresse e-mail d'un membre qui doit conserver un accès hors SSO et cliquez sur **Add**.

Chaque e-mail de secours doit correspondre à un membre existant de votre organisation. L'accès de secours ne prend effet que lorsque Require SSO est activé.

<Tip>
  Ajoutez un accès de secours pour les comptes administrateurs qui ne sont pas liés à votre fournisseur d'identité principal, conservez les identifiants dans un gestionnaire de mots de passe sécurisé et révisez la liste à chaque changement dans l'équipe.
</Tip>

<div id="map-rbac-roles-with-saml-groups">
  ## Mapper les rôles RBAC avec les groupes SAML
</div>

Attribuez des [rôles](/fr/dashboard/roles) aux utilisateurs en fonction de leur appartenance à des groupes dans le fournisseur d'identité. Lorsqu'un utilisateur se connecte via SSO, Mintlify lit l'attribut `groups` de l'assertion SAML et associe ces groupes aux rôles du dashboard.

<div id="configure-group-attribute-statements">
  ### Configurer les déclarations d'attribut de groupe
</div>

Ajoutez une déclaration d'attribut `groups` à la configuration de votre fournisseur d'identité SAML. L'attribut doit utiliser le format de nom `unspecified`.

L'assertion SAML résultante doit inclure un `AttributeStatement`.

```xml Example SAML assertion theme={null}
<saml2:AttributeStatement xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion">
    <saml2:Attribute Name="groups" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
        <saml2:AttributeValue xmlns:xs="http://www.w3.org/2001/XMLSchema"
                              xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
                              xsi:type="xs:string">Everyone</saml2:AttributeValue>
        <saml2:AttributeValue xmlns:xs="http://www.w3.org/2001/XMLSchema"
                              xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
                              xsi:type="xs:string">Engineering</saml2:AttributeValue>
        <saml2:AttributeValue xmlns:xs="http://www.w3.org/2001/XMLSchema"
                              xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
                              xsi:type="xs:string">Admins</saml2:AttributeValue>
    </saml2:Attribute>
</saml2:AttributeStatement>
```

**Exigences clés :**

* Le nom de l'attribut doit être `groups` (sensible à la casse)
* Le format de nom doit être `urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified`
* Chaque groupe auquel l'utilisateur appartient doit être un élément `AttributeValue` distinct

<Tabs>
  <Tab title="Okta">
    Dans la configuration de votre application SAML Okta, ajoutez une déclaration d'attribut de groupe :

    | Name     | Name format | Filter        | Value |
    | -------- | ----------- | ------------- | ----- |
    | `groups` | Unspecified | Matches regex | `.*`  |

    Ajustez le filtre pour correspondre aux groupes spécifiques que vous souhaitez envoyer à Mintlify.
  </Tab>

  <Tab title="Microsoft Entra">
    Dans votre application d'entreprise Microsoft Entra :

    1. Accédez à **Single Sign-On** > **Attributes & Claims**.
    2. Cliquez sur **Add a group claim**.
    3. Sélectionnez les groupes à inclure (tous les groupes ou des groupes spécifiques).
    4. Sous **Advanced options**, cochez **Customize the name of the group claim** et définissez le nom sur `groups`.
  </Tab>
</Tabs>

Une fois configuré, Mintlify associe les noms de groupes de l'assertion SAML aux rôles de votre organisation. Pour configurer ou modifier les mappages groupe-rôle, contactez votre représentant de compte Mintlify.

<div id="change-or-remove-sso-provider">
  ## Modifier ou supprimer le fournisseur SSO
</div>

1. Accédez à la page [Identity & access](https://app.mintlify.com/settings/organization/sso) de votre dashboard.
2. Cliquez sur **Configure**.
3. Sélectionnez votre fournisseur SSO préféré ou choisissez de ne pas utiliser le SSO.

Si vous supprimez le SSO, les utilisateurs devront s'authentifier à l'aide d'un mot de passe, d'un lien magique ou de Google OAuth.

<div id="other-providers">
  ## Autres fournisseurs
</div>

Pour les fournisseurs autres que Microsoft Entra ou Okta SAML, [contactez-nous](mailto:support@mintlify.com) pour configurer le SSO.

<div id="google-workspace-with-saml">
  ### Google Workspace avec SAML
</div>

<Steps>
  <Step title="Créer une application">
    1. Dans Google Workspace, accédez à **Web and mobile apps**.
    2. Cliquez sur **Add custom SAML app** dans le menu déroulant **Add app**.

    <Frame>
      <img src="https://mintcdn.com/mintlify-mintlify-0dbda2de/aVWPvwbDeojcwVEa/images/gsuite-add-custom-saml-app.png?fit=max&auto=format&n=aVWPvwbDeojcwVEa&q=85&s=c41d154c9cb08a3e89eb9c2a0f5c86df" alt="Capture d'écran de la page de création d'application SAML de Google Workspace avec l'élément de menu &#x22;Add custom SAML app&#x22; mis en évidence" width="3804" height="1860" data-path="images/gsuite-add-custom-saml-app.png" />
    </Frame>
  </Step>

  <Step title="Envoyez-nous les informations de votre IdP">
    Copiez l'URL SSO, l'Entity ID et le certificat x509 fournis, puis envoyez-les à l'équipe Mintlify.

    <Frame>
      <img src="https://mintcdn.com/mintlify-mintlify-0dbda2de/aVWPvwbDeojcwVEa/images/gsuite-saml-metadata.png?fit=max&auto=format&n=aVWPvwbDeojcwVEa&q=85&s=8b0de459f98caa88177c8ff3231220a7" alt="Capture d'écran de la page d'application SAML de Google Workspace avec l'URL SSO, l'Entity ID et le certificat x509 mis en évidence. Les valeurs spécifiques de chacun apparaissent floutées." width="3800" height="1850" data-path="images/gsuite-saml-metadata.png" />
    </Frame>
  </Step>

  <Step title="Configurer l'intégration">
    Sur la page Service provider details, saisissez les éléments suivants :

    * ACS URL (fournie par Mintlify)
    * Entity ID (fourni par Mintlify)
    * Name ID format : `EMAIL`
    * Name ID : `Basic Information > Primary email`

    <Frame>
      <img src="https://mintcdn.com/mintlify-mintlify-0dbda2de/aVWPvwbDeojcwVEa/images/gsuite-sp-details.png?fit=max&auto=format&n=aVWPvwbDeojcwVEa&q=85&s=f738f53157c7ca30d944ae146efb8288" alt="Capture d'écran de la page Service provider details avec les champs de saisie ACS URL et Entity ID mis en évidence." width="3788" height="1864" data-path="images/gsuite-sp-details.png" />
    </Frame>

    À la page suivante, ajoutez les déclarations d'attribut suivantes :

    | Google Directory Attribute | App Attribute |
    | -------------------------- | ------------- |
    | `First name`               | `firstName`   |
    | `Last name`                | `lastName`    |

    Une fois cette étape terminée et les utilisateurs affectés à l'application, informez notre équipe et nous activerons le SSO pour votre compte.
  </Step>
</Steps>

<div id="okta-oidc">
  ### Okta (OIDC)
</div>

<Steps>
  <Step title="Créer une application">
    Dans Okta, sous **Applications**, créez une nouvelle intégration d'application utilisant OIDC. Choisissez le type **Web Application**.
  </Step>

  <Step title="Configurer l'intégration">
    Sélectionnez le flux d'octroi « authorization code » et renseignez l'URL de redirection fournie par Mintlify.
  </Step>

  <Step title="Envoyez-nous les informations de votre IdP">
    Accédez à l'onglet **General** et repérez le client ID et le client secret. Transmettez-les-nous de manière sécurisée, avec l'URL de votre instance Okta (par exemple, `<your-tenant-name>.okta.com`). Vous pouvez les envoyer via un service comme 1Password ou SendSafely.
  </Step>
</Steps>
