Logo StartupKit
FR
English Deutsch Français Español Polski

SSO et provisionnement d'annuaire

Configurez l'authentification unique (SSO) SAML et le provisionnement/déprovisionnement automatique des utilisateurs depuis Google Workspace pour que les accès de votre équipe restent parfaitement alignés sur votre annuaire.

Pourquoi c’est important

Les équipes d’entreprise ont besoin de deux choses pour la conformité des accès : que les employés se connectent avec votre fournisseur d’identité (sans mot de passe Kit distinct), et que les accès soient accordés et révoqués automatiquement à mesure que les personnes arrivent et partent. Kit prend en charge les deux — l’authentification unique (SSO) SAML pour la connexion et la synchronisation d’annuaire Google Workspace pour le provisionnement et le déprovisionnement automatiques.

Les deux se configurent sous Settings → Integrations, et les deux nécessitent l’intervention d’un administrateur.

Note

Le SSO et la synchronisation d’annuaire sont indépendants. Vous pouvez activer le SSO seul, la synchronisation d’annuaire seule, ou les deux ensemble.

Partie 1 : authentification unique (SSO) SAML

Le SSO SAML permet à votre équipe de se connecter via votre fournisseur d’identité (Google Workspace, Okta, Microsoft Entra, OneLogin, etc.). Kit est le service provider (SP) ; votre fournisseur d’identité est l’IdP.

Étape 1 — Communiquez à votre IdP les détails du service provider de Kit

Dans la configuration de l’application SAML de votre IdP, utilisez ces valeurs issues de la page des paramètres SSO de Kit :

Champ dans votre IdP Valeur fournie par Kit
ACS URL / Reply URL / Single sign-on URL https://app.startupkit.app/users/auth/saml/callback
SP Entity ID / Audience URI https://app.startupkit.app/users/auth/saml/metadata
Format du Name ID Adresse e-mail

Les valeurs exactes pour votre compte sont affichées sur la page des paramètres SSO, et une metadata URL SP téléchargeable est fournie si votre IdP préfère importer les métadonnées.

Étape 2 — Vérifiez votre domaine e-mail

Kit n’accepte que les connexions SSO dont vous avez vérifié le domaine e-mail pour votre compte (par exemple acme.com). C’est ce qui empêche le fournisseur d’identité d’une autre organisation de connecter des utilisateurs à votre espace de travail. Vérifiez votre domaine sous Settings → Custom Domains / Account avant d’activer le SSO.

Étape 3 — Saisissez les détails de votre IdP dans Kit

De retour sur la page des paramètres SSO de Kit, renseignez :

  • IdP Entity ID — l’Issuer / Entity ID de l’application SAML de votre IdP
  • IdP SSO URL — l’URL de connexion exposée par votre IdP
  • IdP signing certificate — le certificat X.509 (PEM) avec lequel votre IdP signe les assertions

Vous pouvez également coller le metadata XML de votre IdP et Kit remplira ces champs pour vous.

Étape 4 — Activez le SSO

Cliquez sur Enable SSO (Activer le SSO). Votre équipe peut désormais se connecter via votre fournisseur d’identité. La connexion initiée par l’IdP (lancement de Kit depuis le tableau de bord de votre IdP) comme la connexion standard sont prises en charge.

Important

Lorsqu’une nouvelle personne se connecte via SSO pour la première fois, Kit crée son compte automatiquement, à condition que son domaine e-mail soit vérifié pour votre espace de travail. Si un utilisateur avec cette adresse e-mail existe déjà, Kit relie l’identité SSO à ce compte existant.

Partie 2 : provisionnement d’annuaire Google Workspace

La synchronisation d’annuaire maintient vos membres Kit parfaitement alignés sur votre annuaire Google Workspace. Comme Google ne pousse pas les changements vers les applications, Kit récupère les données depuis le Google Admin SDK selon une fréquence planifiée — Google fait toujours autorité.

Étape 1 — Autorisez le compte de service de Kit (délégation à l’échelle du domaine)

Un super admin Google Workspace doit autoriser le compte de service de Kit à lire votre annuaire :

  1. Ouvrez la console d’administration Google → Security → Access and data control → API controls → Domain-wide delegation.
  2. Cliquez sur Add new et saisissez le Client ID du compte de service de Kit (affiché sur la page des paramètres d’annuaire de Kit).
  3. Ajoutez ces scopes OAuth en lecture seule, séparés par des virgules :
    • https://www.googleapis.com/auth/admin.directory.user.readonly
    • https://www.googleapis.com/auth/admin.directory.group.readonly
    • https://www.googleapis.com/auth/admin.directory.group.member.readonly
  4. Autorisez. La propagation peut prendre quelques minutes.

Danger

Kit demande uniquement des scopes en lecture seule — il ne peut jamais modifier votre annuaire Google. Il lit vos utilisateurs et vos groupes pour les répliquer dans Kit.

Étape 2 — Configurez la connexion dans Kit

Sur la page des paramètres d’annuaire de Kit, renseignez :

  • Primary domain — votre domaine Workspace (par exemple acme.com)
  • Delegated admin email — un administrateur Workspace dont Kit emprunte l’identité en lecture seule pour lister l’annuaire
  • Admin group emails (facultatif) — les membres de ces groupes Google sont provisionnés en tant qu’administrateurs du compte Kit
  • Google customer ID — laissez my_customer sauf si vous gérez plusieurs organisations Google

Étape 3 — Testez la connexion

Cliquez sur Test connection (Tester la connexion). Kit lance une sonde en lecture seule et signale la réussite, ou vous indique précisément ce qui manque :

Résultat Signification
Active La délégation à l’échelle du domaine et les scopes sont correctement configurés.
Service account not authorized for domain-wide delegation Le Client ID n’a pas été ajouté dans la console d’administration (Étape 1).
Missing required directory scopes Le Client ID est autorisé, mais les scopes en lecture seule n’ont pas été accordés.

Fonctionnement du provisionnement et du déprovisionnement

Une fois la connexion Active, Kit réconcilie votre équipe automatiquement.

Comportement Détail
Fréquence de synchronisation Environ toutes les heures. Utilisez Sync now (Synchroniser maintenant) sur la page d’annuaire pour la lancer immédiatement.
Source de vérité Google Workspace. Kit la réplique — il n’écrit jamais en retour.
Nouvel utilisateur d’annuaire Un compte Kit est créé et la personne devient membre de votre espace de travail.
Utilisateur supprimé / suspendu Son adhésion à Kit est retirée, et ses API tokens ainsi que ses sessions d’applications connectées sont révoqués.
Mappage groupe → rôle Les membres de vos groupes admin configurés deviennent administrateurs Kit.
Facturation des sièges Un membre provisionné consomme un siège par défaut (réglable par connexion). Lorsque l’attribution automatique de siège est désactivée, les nouveaux utilisateurs d’annuaire ne sont pas ajoutés automatiquement.

Ce à quoi Kit ne touchera jamais

  • Le propriétaire du compte n’est jamais retiré par la synchronisation d’annuaire, même s’il est absent de l’annuaire.
  • Les membres invités manuellement ne sont jamais retirés ni reclassés — la synchronisation d’annuaire ne gère que les membres qu’elle a provisionnés.

Tip

Pour désinscrire une personne, retirez-la ou suspendez-la dans Google Workspace. À la synchronisation suivante (ou lorsque vous cliquez sur Sync now), Kit retire son accès et révoque ses tokens automatiquement.

Checklist

  • Vérifiez le domaine e-mail de votre compte
  • Configurez votre IdP avec l’ACS URL et le SP Entity ID de Kit
  • Collez votre IdP Entity ID, votre SSO URL et votre certificat de signature dans Kit
  • Activez le SSO et testez une connexion
  • Le super admin autorise le Client ID du compte de service de Kit pour la délégation à l’échelle du domaine avec les trois scopes en lecture seule
  • Saisissez le domaine principal, l’e-mail de l’administrateur délégué et les éventuels groupes admin
  • Lancez Test connection jusqu’à ce qu’il affiche Active
  • Confirmez votre politique de sièges (consommation automatique activée ou désactivée)

Tapez pour rechercher...