SSO & SAML

Bien que la gestion manuelle des membres de votre organisation convienne aux petites équipes ou à ceux qui souhaitent avoir un contrôle total, il arrive parfois que vous ayez besoin d’ouvrir les choses de manière plus automatisée. GitBook vous permet de configurer cela de plusieurs façons, via un SSO de domaine email basique, et une intégration SAML plus complexe.

Connexion unique via le domaine email

Lorsque vous créez ou gérez votre organisation, vous pouvez ajouter une liste de domaines email que vous souhaitez autoriser à accéder à votre organisation GitBook. Cela signifie que toute personne possédant une adresse email vérifiée correspondant à vos domaines SSO configurés sera autorisée à rejoindre votre organisation.

Vous pouvez activer le SSO de domaine email dans la section « SSO » des paramètres de votre organisation ; saisissez une liste de domaines email séparés par des virgules pour lesquels vous souhaitez autoriser l’accès SSO et c’est tout bon.

Connexion unique basée sur SAML (SSO) donne aux membres l’accès à GitBook via un fournisseur d’identité (IdP) de votre choix.‌

GitBook s’intègre facilement à votre fournisseur d’identité existant (IdP) afin que vous puissiez offrir à vos employés une connexion unique à GitBook en utilisant les mêmes identifiants et la même expérience de connexion que pour vos autres fournisseurs de services.‌

En utilisant le SSO, vos employés pourront se connecter à GitBook via l’interface familière de leur fournisseur d’identité, au lieu de la page de connexion GitBook. Le navigateur de l’employé les redirigera alors vers GitBook. L’IdP accorde l’accès à GitBook lorsque le SSO est activé et que le mécanisme de connexion propre à GitBook est désactivé. De cette façon, la sécurité de l’authentification est transférée à votre IdP et coordonnée avec vos autres fournisseurs de services.‌​

​Prérequis pour le SSO avec GitBook

• Le fournisseur d’identité (IdP) de votre entreprise doit prendre en charge le SAML 2.0 standard.

• Vous devez disposer des droits d’administrateur sur l’IdP.

• Vous devez être administrateur de l’organisation GitBook sur laquelle vous souhaitez configurer SAML.

​Configuration sur GitBook

Vous devez être un administrateur d’organisation pour activer le SSO pour votre organisation GitBook.‌

Après avoir configuré le SSO sur votre IdP, vous pourrez saisir les métadonnées. Lorsque la configuration est réussie, les administrateurs verront une boîte de confirmation et l’URL de connexion SSO pour les utilisateurs finaux sera affichée. GitBook n’envoie pas d’emails d’annonce lorsque la configuration est terminée. Il incombe à l’administrateur d’informer les employés de l’entreprise (et de leur transmettre l’URL de connexion) afin qu’ils puissent accéder à GitBook via le SSO.‌

Vous aurez besoin des éléments suivants à partir des métadonnées de votre IdP pour enregistrer un fournisseur SAML :

• Un libellé – cela peut être n’importe quoi, il sera affiché sur la page de connexion

• Un(e) ID d’entité

• Une URL de connexion unique (Single Sign On URL)

• Un(e) certificat X.509 – assurez-vous de copier et coller l’intégralité du certificat !

​Configuration sur l’IdP

La plupart des fournisseurs d’identité compatibles SAML 2.0 exigent les mêmes informations concernant le fournisseur de service (GitBook, dans ce cas) pour la configuration. Ces valeurs sont spécifiques à votre organisation GitBook et sont disponibles dans l’onglet Paramètres -> SSO de l’organisation GitBook où vous souhaitez activer le SSO.‌

La plupart de ces valeurs peuvent être copiées directement dans votre IdP pour compléter la configuration de SAML.

GitBook exige que le NameID contienne l’adresse email de l’utilisateur. Techniquement, nous recherchons : urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress comme format Name-ID – de nombreux fournisseurs (comme Google) vous permettront de définir un format tel que EMAIL.

Attributs personnalisés

GitBook récupérera les attributs personnalisés suivants de la réponse d’assertion SAML et les utilisera lors de la création de l’utilisateur.

​Création de comptes utilisateurs finaux

Pour ajouter des membres, créez des comptes pour eux dans votre IdP. La première fois qu’un nouveau membre se connecte à GitBook via l’IdP, un compte GitBook sera créé pour lui via le provisionnement automatique de l’IdP. L’utilisateur aura accès aux ressources de l’organisation en tant que membre de l’organisation.

​Suppression de comptes

Supprimer un membre de l’IdP empêchera l’utilisateur de se connecter au compte GitBook correspondant, mais ne supprimera pas le compte de GitBook. Nous conseillons également de supprimer le compte de l’organisation GitBook.

Contrôle d’accès

Une fois que vous avez configuré le SSO SAML, il revient à l’IdP de contrôler qui peut accéder à votre compte GitBook.

​Avis de sécurité

Si vous avez un compte GitBook existant avec la même adresse e-mail que celle que nous recevons du fournisseur d'identité et que vous n'êtes pas membre de l'organisation à laquelle vous essayez de vous connecter, nous ne pourrons pas vous ajouter automatiquement à l'organisation avec la configuration SAML pour des raisons de sécurité. Vous avez deux options :

1. Supprimez votre compte GitBook existant puis connectez-vous à l'organisation souhaitée avec SAML. GitBook créera alors un nouveau compte pour vous et vous serez ajouté à l'organisation

2. Ou, demandez à votre administrateur de vous inviter dans l'organisation :

Si votre organisation n'a pas activé "Imposer SSO", un administrateur de votre organisation peut inviter des utilisateurs via la page Membres dans les paramètres de votre organisation.

Si votre organisation a activé "Imposer SSO", un administrateur devra utiliser le point de terminaison API invitations de GitBook pour inviter des utilisateurs dans l'organisation. Un appel à cette API ressemblerait à ceci :

curl --request POST --header "Authorization: Bearer <your_access_token>" --url "https://api.gitbook.com/v1/orgs/<org_id>/invites" --header 'Content-Type: application/json' --data-raw '{ "sso": true, "role": "<role>", "emails":["<email>"] }'