OIDC / SSO — connexion via fournisseur d'identité
PremiumOpenID Connect (OIDC), construit sur OAuth2, permet à vos utilisateurs de se connecter à Omniscol avec leur compte d'entreprise plutôt qu'avec un mot de passe Omniscol dédié. Trois bénéfices : un seul mot de passe à retenir, désactivation centralisée à l'arrivée / au départ d'un collaborateur, application automatique de la politique de sécurité (MFA, longueur de mot de passe, expiration…) gérée côté SI.
Cette page décrit le SSO utilisateur : la connexion des personnes à Omniscol via votre fournisseur d'identité. Le cas inverse — Omniscol serveur OAuth2 / OIDC auquel des services tiers se connectent, avec son écran de gestion des clients — est traité sur OAuth2 / OIDC (fournisseur).
Fournisseurs supportés
Omniscol prend en charge :
- Google Workspace,
- Microsoft Entra ID (anciennement Azure AD),
- Keycloak,
- un fournisseur OIDC générique via son issuer / discovery URL (tout fournisseur conforme OIDC).
Configurer côté Omniscol
Dans Administration → Paramètres, section Sécurité, le bouton Configurer ouvre l'écran de configuration OIDC, qui permet de déclarer le fournisseur :
- Nom affiché — le libellé qui apparaîtra sur le bouton de
connexion (par exemple
Continuer avec Google). - Type de fournisseur — Google, Microsoft Entra ID (Azure AD), Keycloak ou OIDC générique.
- Tenant / issuer — tenant Microsoft pour Entra ID, ou URL issuer pour Keycloak et les fournisseurs OIDC génériques. Les métadonnées OIDC sont ensuite découvertes par l'application.
- Client ID et Client secret — obtenus en créant une application côté fournisseur (cf. documentation du fournisseur).
- Scopes — par défaut
openid profile email. Ajouter les scopes spécifiques au fournisseur si besoin. - Domaines autorisés — liste optionnelle de domaines de messagerie acceptés à la connexion SSO ; laissée vide, aucun filtrage par domaine n'est appliqué.
- URL de redirection — Omniscol vous donne la valeur exacte à copier dans la configuration côté fournisseur (ainsi que l'URL de redirection post-déconnexion si le fournisseur la demande).
- Connexion uniquement par SSO — une fois le SSO validé, cette option refuse la connexion par mot de passe Omniscol, sauf pour les comptes de secours décrits ci-dessous.
La configuration SSO courante est définie au niveau du compte école.
Accès de secours (break-glass)
En mode Connexion uniquement par SSO, la connexion par mot de passe Omniscol est refusée : tout le monde passe par le fournisseur d'identité. Si ce fournisseur devient indisponible — panne, secret expiré, erreur de configuration — l'accès à Omniscol serait bloqué pour tous.
Le compte de secours (« break-glass ») est le garde-fou contre ce blocage : un compte administrateur autorisé à se connecter par mot de passe Omniscol même lorsque le mode SSO exclusif est actif.
- Dans la fiche d'un compte administrateur, lorsque l'option Connexion uniquement par SSO est active, une case Break-glass (SSO only) apparaît. La cocher autorise ce compte à se connecter par mot de passe si le fournisseur d'identité est indisponible. Seuls les comptes administrateurs peuvent l'être.
- Le support Omniscol conserve par ailleurs un accès de secours indépendant.
Désignez au moins un compte de secours avant d'activer le mode SSO exclusif, et conservez son mot de passe en lieu sûr : c'est votre filet de sécurité si le fournisseur d'identité tombe.
Configurer côté fournisseur (exemples)
Google Workspace
- Console Google Cloud > APIs & Services > Credentials.
- Créer un identifiant OAuth 2.0, type Application Web.
- Coller l'URL de redirection fournie par Omniscol dans Authorized redirect URIs.
- Récupérer le Client ID et le Client secret pour les coller dans Omniscol.
Microsoft Entra ID
- Portail Azure > Entra ID > App registrations.
- New registration, type Web, URL de redirection Omniscol.
- Certificates & secrets > créer un client secret.
- API permissions > ajouter
openid,profile,email. - Récupérer Application (client) ID et le secret.
Keycloak
- Realm > Clients > Create client, type OpenID Connect.
- Valid redirect URIs : URL fournie par Omniscol.
- Credentials > récupérer le client secret.
Faire le lien avec les comptes Omniscol
Quand un utilisateur clique sur le bouton SSO, Omniscol :
- Le redirige vers le fournisseur,
- Récupère son adresse e-mail après authentification,
- Cherche un compte Omniscol avec la même adresse e-mail.
Si le compte existe et qu'il est actif, l'utilisateur est connecté. Sinon, l'accès est refusé. Conséquence : pour que SSO fonctionne, les utilisateurs doivent exister dans Omniscol avec la bonne adresse e-mail — la création n'est pas automatique côté Omniscol par défaut.
Provisioning automatique des comptes
La création automatique de comptes à la première connexion SSO
(just-in-time provisioning) n'est pas le comportement par défaut de
l'écran de configuration. Si ce mode est nécessaire, il doit être cadré
avec Omniscol.
Procédure
Configurer un fournisseur OIDC / SSO
-
OIDC / SSO permet à vos utilisateurs de se connecter avec leur compte d'entreprise (Google Workspace, Microsoft Entra ID, Keycloak, Okta…). La partie côté fournisseur dépend du fournisseur.
-
Côté fournisseur, créez d'abord une application OIDC Application Web : récupérez le Client ID et le Client secret, copiez l'URL de redirection fournie par Omniscol dans les Authorized redirect URIs du fournisseur.
-
Côté Omniscol, ouvrez les paramètres puis la configuration OIDC. Renseignez le nom affiché (libellé du bouton de connexion), le type de fournisseur, l'issuer ou le tenant selon le cas, le Client ID, le Client secret et les scopes (défaut :
openid profile email). -
Cliquez sur Tester. Vérifiez que la configuration fonctionne. Omniscol fait un aller-retour OIDC ; en cas d'erreur de discovery, de secret ou de redirection, le message d'erreur est explicite.
-
Sauvegardez. Le bouton de connexion SSO apparaît sur la page de connexion lorsque la configuration est active.
-
Important : les comptes doivent exister dans Omniscol avec la bonne adresse e-mail. La connexion SSO matche par e-mail ; pas de provisioning automatique par défaut.