Choisir le mode d’authentification
SSO (recommandé) : centralise les politiques (MFA, rotation), expérience unifiée.
E‑mail + mot de passe : utilisé en complément, pour les comptes de service / secours.
Vous pouvez autoriser un mode mixte (SSO prioritaire + comptes locaux restreints).
Pré‑requis côté IdP
Créer une application d’entreprise pour Hamilton Apps (Azure AD/ADFS/SAML/OIDC).
Préparer les informations SSO :
URL SSO/Single Sign‑On (IdP),
EntityID/Issuer,
ACS/Redirect URL (fournie par Hamilton Apps),
Certificat de signature (X.509).
Définir les revendications/claims : email (unique), name (affichage). Groupes facultatifs si vous mappez des permissions par groupes.
Étapes de configuration (côté Hamilton Apps)
Administration → Authentification & SSO.
Sélectionnez le protocole (SAML ou OIDC) compatible avec votre IdP.
Renseignez/importez les métadonnées IdP (Issuer/EntityID, SSO URL, certificat).
Configurez les endpoints ACS/Redirect (valeurs fournies par l’application).
Mappage d’attributs :
Email ↔ user.email (ou NameID au format e‑mail),
Nom/Prénom ↔ given_name/family_name ou displayName.
Définissez la politique d’accès : SSO obligatoire / mixte, durée de session, domaines autorisés.
Enregistrer puis réaliser un test avec un compte pilote.
Sécurité : conservez au moins un compte local Admin non‑SSO pour le secours (break‑glass).
Rôles & provisionnement
Le rôle (Utilisateur, Admin produit, Admin global) est géré dans Hamilton Apps.
Option groupes IdP → rôles : si vous exposez un attribut de groupe (claim), mappez‑le à des rôles/périmètres.
Provisionnement utilisateurs :
Just‑In‑Time (JIT) si activé : création à la 1ʳᵉ connexion SSO (profil minimal).
Pré‑provisionnement via import CSV / API.
Visitor — Synchronisation Azure AD (Graph) : pour gérer les profils/résidents côté Visitor (distinct du SSO).
Tests & mise en production
Groupe pilote (IT + utilisateurs clés) pendant quelques jours.
Logs/Journal : vérifiez les succès/échecs d’authentification.
Basculer en SSO obligatoire si tout est conforme.
Documenter le process de support (qui contacter, rollback si besoin).
Bonnes pratiques
MFA via l’IdP pour les profils sensibles.
Moindre privilège : rôles et périmètres (sites, groupes, zones) au plus juste.
Comptes de service dédiés (SMTP/SMS/API) hors SSO utilisateur.
Renouvellement certificat : anticipez les rollovers IdP.
Surveillance : activez les alertes sur pics d’échecs d’authentification.
Dépannage rapide
Boucle de connexion / page blanche
→ Vérifier Issuer/EntityID, SSO URL, certificat ; tester navigation privée ; contrôler l’horloge serveur (drift).Accès refusé (403/401)
→ Le claim email ne correspond à aucun compte/profil ; activer JIT ou pré‑provisionner ; vérifier rôles/périmètres.Nom non affiché / attributs manquants
→ Compléter le mappage (given_name/family_name/displayName).Groupes non pris en compte
→ Exposez le claim groupes côté IdP et reconfigurez la règle de mappage.On‑Premise
→ Ouvrir les flux sortants nécessaires vers l’IdP / proxy ; vérifier les FQDN et la chaîne de certificats.
Pré‑requis
Accès Administrateur à Hamilton Apps.
IdP opérationnel (Azure AD/ADFS/SAML/OIDC) et métadonnées disponibles.
(Option) Synchronisation Azure AD (Graph) pour Visitor si souhaitée.
Liens associés
Côté Admin
Modèle d’autorisations (rôles & permissions)
Comptes, équipes & entités
Journal d’activité & audit
Rapports & exports
Visitor — Synchronisation Azure Graph (IT)
Getting Started / Utilisateur
Authentification & SSO (vue utilisateur)
Accéder à mon compte
Côté DSI/RSSI
Modèle d’architecture (SaaS & On‑Prem)
Conformité & sécurité (PAS, RGPD)