Comment configurer correctement l'authentification unique SAML (SSO) dans WordPress

Chez WPBeginner, nous avons toujours cherché à simplifier les choses pour notre équipe et nos utilisateurs. Lorsque nous avons mis en place l'authentification unique (SSO) SAML dans WordPress, elle a rapidement prouvé sa valeur pour notre équipe et a amélioré notre sécurité.

Notre équipe pouvait accéder à tous ses outils avec une seule connexion, et nous avions l'esprit tranquille en sachant que notre sécurité était renforcée.

Le SSO SAML est une solution solide pour toute entreprise axée sur l'efficacité et la sécurité. Il permet à votre équipe de se connecter une seule fois pour accéder à tout, tout en vous permettant de contrôler les autorisations des utilisateurs. 

De nombreuses entreprises constatent que le SSO aide à réduire les demandes de support liées aux mots de passe et améliore la productivité en facilitant l'accès des utilisateurs aux outils dont ils ont besoin.

Dans ce guide, nous vous expliquerons comment configurer correctement l'authentification unique (SSO) SAML, vous aidant ainsi à transformer la façon dont votre site gère les connexions.

Qu'est-ce que l'authentification unique (SSO) SAML ?

L'authentification unique (SSO) SAML permet aux utilisateurs de se connecter à WordPress en utilisant les identifiants d'un autre service de confiance, tel que Google Workspace, Okta ou Microsoft Entra ID.

SAML signifie Security Assertion Markup Language. C'est un protocole sécurisé qui permet à votre site WordPress de communiquer avec un fournisseur d'identité pour vérifier les connexions des utilisateurs.

Avec le SSO activé, les utilisateurs n'ont besoin de se connecter qu'une seule fois pour accéder à plusieurs applications et plateformes sans avoir à saisir de noms d'utilisateur et de mots de passe distincts à chaque fois.

Ceci est particulièrement utile pour les entreprises, les écoles, les sites d'adhésion et les équipes distantes qui gèrent plusieurs outils en ligne. Par exemple, chez WPBeginner, le SSO aide les membres de l'équipe à accéder en toute sécurité aux outils dont ils ont besoin avec une seule connexion.

Pourquoi utiliser l'authentification unique (SSO) SAML dans WordPress ?

La configuration du SSO SAML dans WordPress peut améliorer à la fois la sécurité et l'expérience utilisateur, tout en simplifiant grandement la gestion des comptes.

Voici quelques-uns des plus grands avantages :

• Améliorer la sécurité du site Web : Le SSO réduit les risques liés aux mots de passe et vous permet d'utiliser des méthodes d'authentification plus fortes comme l'authentification multifacteur (MFA).
• Simplifier l'expérience de connexion : Les utilisateurs n'ont besoin que d'une seule connexion pour accéder à plusieurs outils et sites Web.
• Gérer les utilisateurs plus facilement : Les administrateurs peuvent contrôler l'accès et les autorisations des utilisateurs à partir d'un seul fournisseur d'identité centralisé.
• Réduire les problèmes de connexion et les demandes de support : Moins de mots de passe oubliés signifie moins de tickets de support liés à l'authentification.
• Accélérer l'intégration et le départ des employés : Vous pouvez rapidement accorder ou révoquer l'accès aux employés, étudiants ou membres de l'équipe.

Dans cette optique, examinons comment configurer correctement l'authentification unique (SSO) SAML dans WordPress. Vous pouvez utiliser les liens rapides ci-dessous pour naviguer dans le tutoriel :

Étape 1 : Installer miniOrange SAML Single Sign On

Le moyen le plus simple d'activer SAML SSO sur votre site WordPress est d'utiliser le plugin miniOrange SAML Single Sign On.

Il est gratuit et vous permet de connecter votre site à des fournisseurs d'identité comme Google Apps. Le plugin prend également en charge d'autres fournisseurs d'identité tels que Okta, OneLogin, Salesforce, Azure B2C, Keycloak, ADFS, Shibboleth 2, Auth0 et Sharepoint dans ses versions payantes.

De plus, ce plugin permet aux utilisateurs d'accéder à plusieurs sites et applications en utilisant une seule connexion. Cela dit, vous pouvez répéter les mêmes étapes ci-dessous avec le reste des sites auxquels votre équipe devrait pouvoir accéder.

Note : Si vous gérez un réseau WordPress multisite, la prise en charge du multisite est disponible dans les versions payantes du plugin.

Tout d'abord, vous devrez installer le plugin. Si vous êtes novice en matière de plugins WordPress, nous avons un guide pratique qui vous explique comment installer un plugin WordPress étape par étape.

Une fois le plugin installé, rendez-vous sur votre tableau de bord WordPress et naviguez vers miniOrange SAML 2.0 SSO » Configuration du plugin.

Ensuite, basculez vers l'onglet « Métadonnées du fournisseur de services ». Laissez cette page ouverte, car nous aurons besoin des informations ici à l'étape suivante.

Étape 2 : Connecter votre site à un fournisseur d'identité

Maintenant que le plugin est installé dans WordPress, il est temps de connecter votre site Web à un fournisseur d'identité SAML (SAML IdP).

Un SAML IdP est un service qui gère les comptes d'utilisateurs et authentifie les utilisateurs. Pensez-y comme à un hub central où les utilisateurs se connectent une seule fois, et cette connexion leur donne accès à diverses applications, y compris votre site WordPress.

Pour cet exemple, nous utiliserons Google Apps comme notre IdP SAML. Cependant, pour utiliser Google Apps comme IdP SAML, vous aurez besoin d'un compte Google Admin, qui est différent de votre compte Gmail habituel.

Un compte Google Admin gère les utilisateurs et les paramètres de Google Workspace de votre organisation. Il ne se termine généralement pas par une extension @gmail.com.

1. Accédez à la Google Admin Console et ajoutez une application SAML personnalisée

Tout d’abord, rendez-vous sur la page de la console d’administration Google.

Dans le menu latéral, accédez à la section « Applications » et cliquez sur « Applications Web et mobiles ».

À partir de là, ouvrez le menu déroulant « Ajouter une application ».

Ensuite, sélectionnez « Ajouter une application SAML personnalisée ».

Maintenant, donnez un nom à votre application SAML personnalisée (quelque chose comme « miniOrange Custom SAML ») et une brève description (comme « Une application SAML SSO pour WordPress »).

Une fois que vous êtes satisfait, cliquez sur « Continuer ».

2. Téléchargez les métadonnées du fournisseur d'identité

Ici, vous verrez deux options pour configurer le SSO WordPress.

Nous allons choisir l'option la plus simple (option 1) qui consiste à télécharger les métadonnées de l'IdP. Cette méthode est beaucoup plus rapide, car vous n'aurez pas à saisir manuellement vos métadonnées IdP et à copier-coller votre certificat x509 plus tard.

Cliquez sur « Télécharger les métadonnées » pour commencer.

Ensuite, faites défiler tout en bas.

Cliquez sur « Continuer ».

3. Configurez les détails du fournisseur de services

Sur la page suivante, vous verrez un formulaire pour les détails de votre fournisseur de services.

Dans notre cas, il s'agit de notre site Web WordPress avec l'aide de miniOrange.

Maintenant, revenez à votre tableau de bord WordPress, là où vous avez laissé la page du plugin miniOrange ouverte sur l'onglet « Métadonnées du fournisseur de services ».

Faites défiler vers le bas pour trouver les informations de votre fournisseur de services (URL ACS et ID d'entité). Gardez cette page ouverte, car vous devrez passer d'une page à l'autre entre cette page et la console d'administration Google.

Maintenant, retournez à la Google Admin Console et copiez-collez votre URL ACS dans le champ « URL ACS » et votre ID d'entité dans le champ « ID d'entité ».

Assurez-vous de cocher également la case « Réponse signée ».

4. Définissez le format du nom d'utilisateur

En descendant la page, sélectionnez « EMAIL » pour le format de l’ID de nom et choisissez « Informations de base > E-mail principal » pour l’ID de nom.

Ensuite, cliquez sur « Continuer ».

5. Mappez les attributs utilisateur

La prochaine étape consiste à ajouter des champs utilisateur et à les mapper entre Google Directory et votre site WordPress (plugin miniOrange).

C'est essentiellement comme choisir quelles informations des comptes Google sont transférées sur votre site WordPress.

Cliquez sur « Ajouter un mappage » pour commencer. Ensuite, ajoutons le champ « Prénom » de Google et mappons-le à l'attribut « firstname ».

Vous pouvez ajouter d'autres mappages courants comme « Nom » à « lastname » et « E-mail » à « email » si vous le souhaitez.

Une fois que vous avez terminé de mapper les champs souhaités, faites défiler vers le bas.

Ensuite, cliquez sur « Terminer ».

6. Activez l'application pour les utilisateurs

Vous arriverez maintenant sur la page de l'application SAML personnalisée dans votre console d'administration Google.

La dernière étape consiste à activer l'application pour vos utilisateurs. Alors, cliquez sur « Désactivé pour tout le monde ».

Maintenant, basculez-la sur « Activé pour tout le monde ».

Enfin, cliquez sur « Enregistrer » pour finaliser la configuration.

Étape 3 : Configurer les paramètres SAML SSO de WordPress

Retournons à la page du plugin miniOrange SSO dans votre espace d'administration WordPress. Nous allons maintenant configurer votre connexion WordPress SSO.

Maintenant, passez à l'onglet « Configuration du fournisseur de services » et sélectionnez « Google Apps ».

Faites défiler vers le bas et accédez à l'onglet « Télécharger les métadonnées IdP ».

Ici, vous devrez saisir le nom du fournisseur d'identité (probablement quelque chose comme « GoogleApps ») et télécharger le fichier XML que vous avez téléchargé précédemment depuis la console d'administration Google.

Une fois que tout est rempli, cliquez sur « Télécharger ».

Félicitations ! Vous avez connecté avec succès votre blog WordPress à votre IdP SAML Google Apps. Configurons maintenant quelques paramètres supplémentaires.

Tout d'abord, passez à l'onglet « Mappage des attributs/rôles ».

Ici, vous pouvez définir comment les informations utilisateur de Google Apps sont mappées aux comptes utilisateur dans WordPress.

Faites défiler jusqu'à la section « Mappage des rôles » et sélectionnez le rôle utilisateur par défaut que vous souhaitez attribuer aux nouveaux utilisateurs qui se connectent via SAML SSO.

Dans cet exemple, nous avons sélectionné « Abonné », qui est un rôle de faible privilège adapté à de nombreux sites Web. Cliquez sur « Mettre à jour » une fois que vous avez fait votre choix.

📍Important : Choisissez le rôle utilisateur le plus bas qui correspond à votre cas d'utilisation. Chaque utilisateur qui se connecte via SAML SSO héritera automatiquement de ce rôle. L'attribution par défaut des privilèges d'éditeur ou d'administrateur pourrait donner aux utilisateurs plus d'accès que prévu.

Ensuite, passez à l'onglet « Redirection & Liens SSO ».

C'est ici que vous pouvez ajouter un bouton pratique de connexion unique à votre page de connexion WordPress pour la commodité de l'utilisateur.

Assurez-vous simplement que l'option intitulée « Ajouter un bouton de connexion unique sur la page de connexion WordPress » est activée.

Ce petit changement ajoutera un bouton « Se connecter avec [nom du fournisseur d'identité] » à votre écran de connexion WordPress, facilitant ainsi la connexion des utilisateurs avec leurs identifiants Google Apps existants.

Voici à quoi ressemble le nôtre :

Authentification unique SAML WordPress : Foire aux questions

Nous avons couvert les étapes de configuration de WordPress SAML SSO, mais vous pourriez encore avoir quelques questions. Examinons-en quelques-unes courantes :

SAML et SSO sont-ils la même chose ?

Non, SAML et SSO ne sont pas la même chose. SAML (Security Assertion Markup Language) est un protocole spécifique utilisé pour implémenter le SSO.

Il existe d'autres moyens d'obtenir le SSO que d'utiliser SAML. Cependant, SAML est une option populaire et sécurisée pour implémenter le SSO dans une variété d'applications, y compris WordPress.

Quelle est la différence entre SAML SSO et une connexion en un clic avec un plugin ?

SAML SSO utilise un protocole d'authentification sécurisé et connecte WordPress à un fournisseur d'identité comme Google Workspace ou Okta. Cela offre une sécurité renforcée et une gestion centralisée des utilisateurs.

Les plugins de connexion en un clic sont généralement plus faciles à configurer et s'appuient souvent sur OAuth, mais ils peuvent ne pas offrir le même niveau de sécurité d'entreprise et de contrôle d'accès que SAML SSO.

WordPress offre-t-il l'authentification unique (SSO) ?

WordPress n'inclut pas de prise en charge SSO intégrée par défaut. Cependant, vous pouvez facilement ajouter la fonctionnalité SAML SSO à l'aide de plugins WordPress comme miniOrange SAML Single Sign On.

Le SSO et la connexion sociale sont-ils la même chose ?

Non, la connexion sociale est un type de SSO, mais ils ne sont pas exactement identiques. La connexion sociale permet aux utilisateurs de se connecter avec des comptes comme Google ou Facebook, tandis que SAML SSO prend en charge une gamme plus large de fournisseurs d'identité d'entreprise et offre des fonctionnalités de sécurité plus avancées.

Pour plus de détails, consultez notre guide sur la façon d'ajouter la connexion sociale dans WordPress.

Conseils de sécurité WordPress pour rendre la connexion plus sûre

Bien que la connexion SSO SAML soit assez sécurisée, voici quelques conseils supplémentaires que vous pouvez mettre en œuvre pour renforcer davantage votre sécurité WordPress :

• Appliquez des mots de passe forts pour vos utilisateurs WordPress.
• Activez l'authentification à deux facteurs (2FA) pour une couche de protection supplémentaire.
• Limitez le nombre de tentatives de connexion pour empêcher les attaques par force brute.
• Surveillez les tentatives de connexion suspectes en consultant vos journaux de connexion.
• Restreignez l'accès à votre zone d'administration WordPress par adresse IP.
• Sauvegardez régulièrement votre site WordPress en cas de violation de sécurité.
• Maintenez à jour votre cœur, vos plugins et vos thèmes WordPress pour corriger les vulnérabilités de sécurité.
• Forcez la déconnexion de tous les utilisateurs et faites-leur changer de mot de passe dans WordPress de temps en temps.

Nous espérons que cet article vous a aidé à apprendre comment configurer le SSO SAML dans WordPress. Vous voudrez peut-être aussi consulter notre guide sur comment obtenir un certificat SSL gratuit pour votre site web et notre sélection d'experts des plugins WordPress indispensables pour développer votre site web.

Si vous avez aimé cet article, abonnez-vous à notre Chaîne YouTube pour des tutoriels vidéo WordPress. Vous pouvez également nous trouver sur Twitter et Facebook.