UserLock Single Sign-On (SSO)
UserLock étend l’authentification unique (SSO) aux applications cloud et Microsoft 365 tout en conservant Active Directory (AD) comme fournisseur d’identité de référence. Hébergé sur site ou dans un réseau virtuel, UserLock SSO offre une authentification sécurisée, fluide et centralisée en combinant SSO, authentification multifacteur (MFA) et restrictions contextuelles d’accès.
Une source d’identité unique : les utilisateurs s’authentifient avec leurs identifiants AD existants. Pas besoin de répertoires en double ni de référentiels externes.
Sécurité renforcée : basé sur la fédération SAML 2.0, enrichi avec des demandes MFA et des stratégies d’accès granulaires.
Continuité : déploiement rapide sans perturber les accès locaux existants.
Résilience : renouvellement automatique des certificats et prise en charge de serveurs SSO de secours.
Contrôle centralisé : supervision, audit et rapports unifiés sur les sessions SSO, y compris les connexions réussies et refusées.
UserLock SSO est hébergé sur site et conserve Active Directory comme fournisseur d’identité de référence.
Pour accéder aux applications SaaS, l’utilisateur s’authentifie avec ses identifiants locaux existants. En fonction des conditions définies, une authentification multifacteur peut également être demandée.
)
)
)
)
)
L’utilisateur se connecte à une application SaaS (Service Provider, SP).
L’authentification est déléguée à UserLock SSO, agissant comme fournisseur d’identité (IdP), via une requête SAML.
UserLock authentifie l’utilisateur avec les identifiants AD locaux.
Si l’authentification réussit, UserLock vérifie si une MFA est requise et applique les restrictions contextuelles (localisation, adresse IP, horaire).
UserLock renvoie au SP une assertion SAML signée, indiquant si l’accès est accordé ou refusé.
Le SP autorise ou refuse la session de l’utilisateur en conséquence.
)
)
)
)
)
UserLock SSO conserve AD local comme source d’identité de référence.
Azure AD n’est plus utilisé pour l’authentification. Microsoft 365 est redirigé vers UserLock SSO.
Azure AD Connect reste nécessaire pour synchroniser certains attributs (par ex. ImmutableID) entre les deux répertoires.
UserLock applique MFA et restrictions contextuelles aux connexions Microsoft 365, comme pour les autres applications SaaS.
UserLock SSO peut aussi être hébergé dans un réseau virtuel et utiliser Azure AD Domain Services (AAD DS) comme source d’identité de référence.
Dans ce cas, les utilisateurs s’authentifient avec leurs identifiants Azure AD, mais UserLock applique MFA et restrictions contextuelles avant d’autoriser l’accès à Microsoft 365.
Le même flux SAML s’applique : UserLock valide la session, applique les restrictions et renvoie une assertion signée à Microsoft 365.
)
)
)
)
)
Installer le service UserLock SSO sur Windows Server 2012 R2 ou supérieur.
Utiliser un certificat SSL valide et un nom de domaine public enregistré (ex.
sso.mydomain.com).Configurer le DNS (split-DNS pour la résolution interne et externe).
Gérer les applications SaaS dans la console SSO, à l’aide de modèles préconfigurés ou de profils SAML personnalisés.
Activer la MFA pour les connexions SSO (traitées comme des « connexions serveur » dans les paramètres MFA).
Note
Pour plus de détails, consultez le guide d'installation and de configuration.
UserLock SSO offre aux organisations :
Une SSO fluide pour les applications SaaS et Microsoft 365.
AD local comme fournisseur d’identité de référence, avec prise en charge optionnelle d’Azure AD Domain Services.
Une sécurité renforcée grâce à MFA et aux règles d’accès contextuelles.
Une visibilité centralisée et des rapports pour toute l’activité SSO.
Une résilience et une continuité grâce à la gestion des certificats et aux serveurs SSO de secours.
UserLock SSO constitue ainsi une solution sécurisée, flexible et efficace pour étendre l’authentification Active Directory vers le cloud.