🔐 Qu’est-ce que l’authentification unique (SSO) ?
L’authentification unique permet aux utilisateurs de se connecter à EspacesÉDU via leur compte existant d’une plateforme d’identité (comme Google Workspace, Microsoft 365, etc.), sans avoir à créer un mot de passe distinct pour EspacesÉDU.
📋 Prérequis
Pour configurer le SSO avec EspacesÉDU, vous aurez besoin d'un compte administrateur pour votre système d’identité (ex. administrateur Google ou Microsoft). Le SSO est également disponible seulement avec EspacesÉDU Pro.
En tant qu'application basée sur Internet, SpacesEDU doit être considéré comme un fournisseur de services dans le contexte du SSO. Il facilite le SSO en déléguant la connexion de l'utilisateur à l'IdP (Identity Provider) du système de gestion des comptes. Les conditions suivantes sont requises pour une intégration réussie :
Le fournisseur d'identité doit être accessible au public sur l'internet.
L'IdP doit authentifier l'utilisateur auprès du système de gestion des comptes.
L'IdP doit prendre en charge SAML 2.0 ou WS-Federation.
Une confiance doit être établie entre l'IdP et le SP par l'échange de métadonnées ou de clés secrètes/configurations.
L'IdP doit être configuré pour fournir les revendications décrites dans les spécifications des paramètres.
Paramètres
Paramètre | Requis | Info | ClaimType |
User ID | Oui | Identifiant unique | http://schemas.xmlsoap.org/ws/2005//05/identity/claims/nameidentifier |
Oui | Courriel du district / CSS | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress | |
First Name | Non | Prénom | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname |
Last Name | Non | Nom de famille | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname |
Student ID | Non | Identifiant d'élève (provincial ou local) | http://myblueprint.org/claims/studentid |
User Type | Non |
| http://myblueprint.org/claims/usertype |
School ID | Non | Unique School ID | http://myblueprint.org/claims/schoolid |
Grade | Non | 0, 1, 2, etc. | http://myblueprint.org/claims/grade |
Salutation | Non | Mr, Mrs, Miss, Ms, M, Mme, Mlle | http://myblueprint.org/claims/salutation
|
Si vos données ne sont pas conformes au format exact spécifié, adressez-vous à votre contact informatique SpacesEDU.
🔧 Étapes de configuration
IdP connus et fonctionnels
ADFS (Active Directory Federated Services) en tant qu'IdP, authentification avec AD (Active Directory)
Microsoft Azure Entra ID comme IdP, via SAML 2.0
Google WOrkspace
Étapes d'intégration ADFS/SAML 2.0
SpacesEDU supporte tout IdP implémentant SAML 2.0. Pour procéder à la configuration du SSO :
Accédez aux métadonnées du service de jetons de sécurité de myBlueprint à utiliser lors de l'établissement de la confiance entre votre IdP et myBlueprint :
Écoles canadiennes/internationales : https://auth.ca.spacesedu.com/saml2
Écoles américaines : https://auth.app.spacesedu.com/saml2
Configurez votre IdP pour qu'il envoie les réclamations requises.
Envoyez les métadonnées de votre IdP à votre contact informatique myBlueprint.
Fournir un compte de test SSO (nom d'utilisateur/email et mot de passe)
Nous examinerons et terminerons les tests pour nous assurer que le SSO fonctionne correctement. En fonction des paramètres fournis, et si les données ont été importées à l'aide de SIS Sync ou de CSV Setup, les utilisateurs peuvent être amenés à saisir des informations supplémentaires lors de leur première connexion.
Guide d'installation d'Azure Entra ID
L'intégration d'Azure nécessitera un plan qui prend en charge l'ajout d'une application non répertoriée.
Accédez à votre Azure Entra ID
Cliquez sur Ajouter puis sélectionnez Application d'entreprise
Cliquez sur Créer votre propre application
Nommez-la SpacesEDU et cliquez sur Créer
Cliquez sur Single Sign-on dans le menu de navigation de gauche
Cliquez sur SAML
Cliquez sur Télécharger le fichier de métadonnées et téléchargez le ffichier à partir du lien ci-dessous
Districts scolaires canadiens/internationaux : https://auth.ca.spacesedu.com/saml2
Districts scolaires américains : https://auth.app.spacesedu.com/saml2
Cliquez sur l'icône en forme de crayon pour modifier l'étape 2, Attributs d'utilisateur et réclamations, puis configurez vos réclamations (voir Spécifications des paramètres).
Copiez l'URL des métadonnées de la fédération d'applications et envoyez-la à votre contact Spaces.
Autoriser l'accès à l'application à tous les rôles de votre personnel et de vos élèves dans Azure
Nous recommandons d'autoriser l'accès à tous les utilisateurs (« Tout le monde ») au sein de votre organisation - les niveaux d'accès spécifiques à chaque école seront contrôlés directement dans l'application SpacesEDU.
Pour plus d'informations sur l'affectation d'utilisateurs à des applications, consultez cet article du support Microsoft.
Les utilisateurs qui ne sont pas affectés à une application recevront le message d'erreur suivant : « Erreur AADSTS50105 - L'utilisateur connecté n'est pas assigné à un rôle pour l'application ».
Pour résoudre l'erreur mentionnée ci-dessus, il suffit de s'assurer que l'utilisateur est assigné à un rôle ayant accès à l'application SAML SpacesEDU.
Notez que les groupes imbriqués ne peuvent pas être utilisés à cette fin - les groupes doivent être directement affectés à l'application.
Guide de configuration de Google Workspace
Notez - les utilisateurs avec des comptes Google / Google Workspace peuvent utiliser automatiquement l'option de 'Connexion avec Google' pour connecter à EspacesÉDU avec OAuth. Cependant, il est nécessaire de suivre ces étapes afin de rediriger automatiquement les utilisateurs de votre domaine vers la connexion via Google.
Accédez à la page d'administration de votre espace de travail Google
Allez dans Applications > Applications Web et mobiles.
Cliquez sur Ajouter une application, puis sur Ajouter une application SAML personnalisée.
Saisissez EspacesÉDU comme nom de votre application et cliquez sur Continuer.
Téléchargez le fichier de métadonnées IdP et envoyez-le à votre contact pour la mise en œuvre d'EspacesÉDU.
Cliquez sur Continuer, puis configurez les détails du fournisseur de services comme suit.
Écoles canadiennes/internationales :
URL DE L'AEC : https://auth.ca.spacesedu.com/saml2/Acs
ID de l'entité : https://ca.spacesedu.com
Écoles américaines :
URL DE L'AEC : https://auth.app.spacesedu.com/saml2/Acs
ID de l'entité : https://app.spacesedu.com
L'identifiant du nom peut être n'importe quelle valeur, à condition qu'il soit unique pour tous les utilisateurs. À moins que vous ne souhaitiez utiliser une valeur différente pour votre ID de nom, vous pouvez laisser la valeur par défaut (courriel principal, format « undefined »).
Cliquez sur Continuer, puis configurez vos demandes sur la page Mappage d'attributs.
Les principaux attributs à sélectionner sous « Attributs d'annuaire Google » sont : l'adresse électronique principale, le prénom et le nom de famille.
Pour les attributs de l'application, saisissez le claimtype au format URL complet pour le paramètre correspondant, comme indiqué dans la section Spécifications des paramètres (par exemple, courriel principal > http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress).
L'application est désactivée par défaut pour tout le monde - activez-la pour tous les utilisateurs en cliquant sur Accès utilisateur, en sélectionnant Activé pour tout le monde et en cliquant sur SAUVEGARDER.
🧩 Questions fréquentes
Q : Peut-on utiliser plusieurs fournisseurs d'identité ?
R : Non. Chaque organisation est liée à un seul fournisseur à la fois (ex : Google ou Microsoft).
Q : Les comptes existants seront-ils affectés ?
R : Non. Les comptes existants pourront continuer à utiliser leur mode de connexion actuel, sauf si vous imposez le SSO à tous les utilisateurs.
Q : Peut-on tester avec un seul compte avant d’activer le SSO à grande échelle ?
R : Oui, nous vous recommandons de tester avec un petit groupe avant le déploiement complet.
💬 Besoin d’aide ?
📧 Écrivez-nous avec l'option de messagerie dans votre compte, ou à bonjour@spacesedu.com — notre équipe sera ravie de vous aider!