Renouveler le certificat SAML
Renouvelez le certificat SAML de UserLock SSO avant son expiration afin d’éviter toute interruption complète de l’accès SSO.
Le certificat SAML permet d’établir la relation de confiance entre UserLock SSO et vos applications SaaS fédérées. Il garantit que les demandes d’authentification proviennent bien de votre serveur UserLock et que les connexions utilisateurs restent sécurisées.
Ce certificat a une durée de vie limitée et doit être renouvelé avant son expiration.
S’il n’est pas renouvelé à temps, tous les accès SSO seront bloqués, et les utilisateurs comme les administrateurs ne pourront plus se connecter à aucune application fédérée tant que le certificat n’aura pas été remplacé et que le service SSO n’aura pas redémarré.
Ce guide explique comment surveiller, planifier et renouveler en toute sécurité le certificat SAML à l’aide de l’assistant de configuration UserLock.
Vous pouvez consulter et gérer le cycle de vie du certificat directement depuis la console UserLock ou l’assistant de configuration.
L’état du certificat est affiché dans :
Console UserLock ▸ ⚙️ Paramètres du serveur ▸ Authentification unique (SSO)
Assistant de configuration ▸ Authentification unique (SSO)
Chaque état indique l’action à effectuer :
Status | Signification | Action |
|---|---|---|
🟩 Valide | Le certificat SAML est actif et à jour. | Aucune action requise. |
🟨 Expire bientôt | Le certificat expirera dans les 30 jours. | Le renouvellement est disponible depuis l’assistant de configuration. |
🟥 Expiré | Le certificat n’est plus valide. Les accès SSO sont bloqués tant que le renouvellement n’est pas terminé. | Renouvelez immédiatement. |
Exactement un mois avant l’expiration, UserLock génère automatiquement un nouveau certificat en arrière-plan.
À partir de ce moment, le renouvellement peut être effectué à tout moment depuis l’assistant de configuration.
Si les notifications e-mail sont activées, les administrateurs reçoivent automatiquement une alerte dès que le nouveau certificat est disponible, les invitant à finaliser le renouvellement avant la date d’expiration du certificat actuel.
Recommendations
💡 Activez les notifications e-mail pour être averti à l’avance de l’expiration du certificat. Configurez les paramètres d’e-mail de UserLock pour recevoir ces alertes.
⚠️ N'attendez pas le dernier moment : si le certificat expire, tous les accès SSO (y compris administrateur) seront bloqués jusqu’à la fin du processus de renouvellement.
Pendant la procédure de renouvellement, l’authentification SSO est temporairement indisponible.
Les utilisateurs ne pourront pas se connecter aux applications fédérées tant que le nouveau certificat n’aura pas été appliqué et que le service SSO n’aura pas redémarré.
Il est donc recommandé de planifier le renouvellement pendant une période de faible activité, par exemple après les heures de travail ou lors d’une maintenance planifiée.
Cela permet de réduire au minimum l’impact sur les utilisateurs tout en garantissant une transition sécurisée avant l’expiration.
Le renouvellement du certificat SAML s’effectue entièrement à partir de l’assistant de configuration UserLock.
Ce processus guidé garantit que chaque étape est réalisée dans le bon ordre afin d’éviter toute interruption accidentelle du service.
Ouvrez l’assistant de configuration UserLock sur le serveur hébergeant le service UserLock SSO.
Accédez à Authentification unique ▸ Modifier.
L’écran affiche l’état actuel du certificat SAML.
→ Si un nouveau certificat est disponible, cliquez sur Renouveler le certificat pour lancer la procédure.
L’assistant présente alors les différentes étapes du processus.
→ Cliquez sur Démarrer pour commencer.
Avant de générer le nouveau certificat, l’assistant affiche un rappel concernant l’impact sur le service.
⚠️ Cliquez sur Générer le nouveau certificat uniquement lorsque vous êtes prêt à poursuivre les étapes suivantes.
L’assistant affiche la liste de toutes les applications SaaS configurées (par exemple : Google Workspace, Zendesk, Dropbox).
Pour chacune :
Téléchargez ou copiez le nouveau certificat affiché dans l’assistant.
Ouvrez la console d’administration de l’application concernée.
Remplacez le certificat SSO existant par le nouveau.
Cochez la case correspondante dans l’assistant une fois l’application mise à jour.
Cliquez sur Étape suivante lorsque toutes les applications ont été mises à jour.
Notes
💡 Astuce : Si vous ne savez pas comment renouveler le certificat dans une application donnée, consultez le guide de configuration SSO correspondant de UserLock pour obtenir la procédure détaillée.
Certains fournisseurs SaaS permettent aux administrateurs de se connecter sans fédération, ce qui peut éviter un blocage pendant la transition. Veillez toutefois à suivre scrupuleusement l’ensemble de la procédure.
Si Microsoft 365 fait partie des applications configurées, un écran spécifique apparaît automatiquement.
Lancez l’outil de configuration Microsoft 365 directement depuis l’assistant.
Suivez la procédure guidée pour mettre à jour la fédération et appliquer le nouveau certificat.
Cochez J’ai mis à jour le certificat Microsoft 365 une fois l’opération terminée.
Cliquez sur Étape suivante.
L’assistant arrête puis redémarre automatiquement le service.
Une fois le redémarrage terminé, cliquez sur Continuer.
Un écran de confirmation affiche la nouvelle date d’expiration du certificat.
Cliquez sur Continuer.
Vérifiez que l’état et la date du certificat ont bien été mis à jour.
🎉️ Vous pouvez maintenant fermer l’assistant. Les connexions SSO pour tous les utilisateurs et toutes les applications sont rétablies.