Gérer les utilisateurs et les organisations avec une authentification unique (SSO)

Sur cette page:

À propos de la gestion des utilisateurs et des organisations avec l’authentification unique

Avec l’authentification unique, les utilisateurs peuvent s’authentifier pour accéder à Qualtrics à l’aide du système de connexion interne de leur organisation. Les trois principaux avantages de ce système sont une sécurité améliorée, une expérience de connexion fluide pour les utilisateurs et une gestion des utilisateurs simplifiée pour les administrateurs de l’organisation.

  1. Sécurité améliorée : les utilisateurs ne peuvent pas accéder à leur compte Qualtrics à moins de s’authentifier d’abord via authentification unique.
  2. Expérience de connexion fluide : les utilisateurs n’auront plus besoin de se souvenir de plusieurs identifiants et mots de passe pour accéder à la plateforme Qualtrics. Au lieu de cela, un seul portail et les identifiants de connexion correspondants peuvent être utilisés pour accéder à leur portail d’organisation principal, Qualtrics, et tout autre logiciel que votre équipe informatique a intégré à votre authentification unique.
  3. Gestion simplifiée des utilisateurs : l’authentification unique facilite l’administration pour les licences plus importantes, car vous pouvez utiliser les informations stockées dans les systèmes informatiques de votre organisation pour gérer les utilisateurs Qualtrics. Par exemple, Qualtrics peut consommer des attributs de l’utilisateur transmis depuis votre système pour attribuer les valeurs de nom d’utilisateur, de prénom, de nom de famille et d’adresse e-mail aux comptes utilisateur. Il peut également être utilisé pour attribuer et mettre à jour automatiquement les autorisations du compte utilisateur, via un mappage du Type d’utilisateur (EN), de la Division (EN) et du Groupe (EN). Ces fonctions permettent de s’assurer que les comptes disposent toujours des autorisations appropriées et relèvent de la juridiction appropriée. Ensemble, ces fonctions réduisent la quantité de travail administratif effectué par un administrateur de l’organisation, qui aurait autrement besoin de gérer manuellement les informations et les autorisations du compte utilisateur.

Utilisateurs auto-inscrits

Qualtrics a la possibilité de créer des comptes utilisateur lorsque les utilisateurs s’authentifient avec succès, mais n’ont pas encore de compte dans votre organisation Qualtrics. Lorsqu’un utilisateur se connecte à Qualtrics via authentification unique, le système prend la valeur de nom d’utilisateur transmise à l’utilisateur depuis votre système et la recherche dans votre organisation Qualtrics. S’il n’existe aucun compte avec cette valeur de nom d’utilisateur, le système Qualtrics créera un compte pour l’utilisateur. Ce processus est communément appelé « Approvisionnement utilisateur juste à temps ».

Lorsque les utilisateurs sont créés via une auto-inscription, un suffixe sera ajouté sous la forme de #brandID à la fin de leur nom d’utilisateur Qualtrics, afin d’éviter tout problème avec les noms d’utilisateur en double dans le système Qualtrics. Le suffixe variera d’une organisation à l’autre et est formé à l’aide de l’identifiant d’organisation de l’instance Qualtrics dans laquelle se trouve l’utilisateur. Par exemple, si l’identifiant d’organisation est « fakeenvironment » alors le suffixe est « #fakeenvironment ».

Nous recommandons aux organisations compatibles avec l’authentification unique de garantir que tous les utilisateurs, utilisant l’authentification unique ou non, disposent du suffixe #brandID.

Exemple : si John Doe essaie de se connecter à l’organisation Qualtrics « fakeenvironment » via authentification unique, les événements suivants se produiront :

  1. Une fois que l’utilisateur s’authentifie avec succès via authentification unique, votre système transmet plusieurs attributs de l’utilisateur. La valeur de nom d’utilisateur transmise est « johndoe@email.com ».
  2. Le système Qualtrics vérifie ensuite si un compte existe déjà avec le nom d’utilisateur « johndoe@email.com#fakeenvironment » dans l’organisation « fakeenvironment ».
  3. S’il existe un compte avec l’un des noms d’utilisateur suivants (coché dans l’ordre indiqué) au sein de l’organisation « fakeenvironment », l’utilisateur sera connecté à ce compte :
    • « johndoe@email.com#fakeenvironment »
    • « johndoe@email.com »
  4. S’il n’y a aucun compte avec une de ces valeurs de nom d’utilisateur répertoriées à l’étape 3 et que l’auto-inscription est activée pour l’organisation, le système Qualtrics se tournera vers la valeur transmise pour l’adresse e-mail de l’utilisateur, afin de vérifier que le domaine de l’adresse e-mail est pris en compte dans la liste des domaines de messagerie valides (EN). Si l’adresse e-mail de l’utilisateur a un domaine valide, le système Qualtrics créera un compte avec le nom d’utilisateur « johndoe@email.com#fakeenvironment ».

Si vous transmettez des valeurs de prénom et de nom de famille pour les utilisateurs, le système Qualtrics utilisera ces valeurs pour renseigner le prénom et le nom associés aux comptes d’utilisateur. Sinon, la valeur de nom d’utilisateur sera utilisée pour renseigner les champs du prénom et du nom de famille.

Astuce : si vous souhaitez recevoir des notifications par e-mail lorsque les utilisateurs s’inscrivent eux-mêmes via authentification unique, veuillez contacter le support de Qualtrics.
Attention : lorsque l’approvisionnement utilisateur juste à temps est désactivé pour une organisation, les comptes utilisateur doivent être créés manuellement dans Qualtrics par les administrateurs de l’organisation. Si les utilisateurs tentent de se connecter à votre organisation Qualtrics sans avoir de compte, l’accès à la plateforme leur sera refusé.

Personnaliser le portail de connexion

Qualtrics a la capacité d’afficher une description de page de connexion (EN) lorsque les utilisateurs se connectent via authentification unique LDAP. Les administrateurs de l’organisation ont la possibilité de modifier le texte affiché dans l’onglet Paramètres de l’organisation de la page Admin.

Attention : lorsque CAS (EN), SAML (EN) ou Google OAuth 2.0 (EN) sont activés pour une organisation, cette fonction ne modifiera pas le message affiché sur le portail de connexion à authentification unique. Pour modifier le portail de connexion à authentification unique pour ces types d’authentification unique, vous devez travailler avec votre équipe informatique.

Attribuer les autorisations utilisateur

MAPPAGE DU TYPE D’UTILISATEUR, DE LA DIVISION ET DU GROUPE

Lorsqu’un utilisateur se connecte à Qualtrics via authentification unique, des informations supplémentaires sur l’utilisateur peuvent être transmises depuis le système de son organisation via les attributs de l’utilisateur. Qualtrics a la possibilité d’utiliser ces informations pour attribuer et mettre à jour le type d’utilisateur (EN), la division (EN) et le groupe (EN) d’un utilisateur. C’est ce qu’on appelle couramment le mappage. Ce mappage de type d’utilisateur, de division et de groupe est mis en œuvre par l’équipe d’authentification unique de Qualtrics, en étroite collaboration avec vous et votre équipe informatique pour s’assurer que les attributs souhaités sont inclus.

Attention : CAS (EN) ou Google OAuth 2.0 (EN) ne sont pas compatibles avec ces fonctions, car ils ne peuvent pas transmettre des attributs supplémentaires au système Qualtrics.
Astuce : si l’approvisionnement utilisateur juste à temps est activé pour votre organisation, le mappage du type d’utilisateur et de la division seront appliqués à la création du compte.

Puisque les attributs de l’utilisateur sont mis à jour à chaque connexion, toute modification apportée au type d’utilisateur ou à la division d’un utilisateur par les administrateurs de l’organisation sera remplacée lors de la prochaine connexion de l’utilisateur. Cela peut être empêché d’une des manières suivantes :

  1. L’équipe informatique de l’organisation met à jour la valeur transmise pour l’utilisateur dans l’attribut Type d’utilisateur ou Division.
  2. Un administrateur de l’organisation gère les autorisations des utilisateurs au niveau de l’utilisateur (EN), au lieu de modifier leur type d’utilisateur ou leur division.

Contrairement au mappage des types d’utilisateurs et des divisions, le mappage des groupes n’écrase pas les modifications apportées par les administrateurs de l’organisation aux groupes d’utilisateurs, car les utilisateurs peuvent faire partie de plusieurs groupes à la fois.

Qualtrics ne peut référencer qu’un attribut pour le mappage du type d’utilisateur, de la division et du groupe. Les valeurs indiquant à quel type d’utilisateur ou division les utilisateurs doivent être affectés doivent être transmises dans le même attribut respectif pour tous les utilisateurs. Une certaine flexibilité est cependant possible, car Qualtrics peut configurer jusqu’à 50 conditions de mappage de groupe, chacune d’entre elles pouvant utiliser RegEx.

Exemple : vous trouverez ci-dessous des exemples de conditions de mappage de type d’utilisateur basées sur un attribut « service » :

  1. Si le service est égal à RH, alors Type d’utilisateur est Type d’utilisateur standard.
  2. Si le service est égal à RH ou à Comptabilité, alors Type d’utilisateur est Type d’utilisateur standard.
  3. Si le service contient RH, alors Type d’utilisateur est Type d’utilisateur standard.
  4. Si le service n’est pas RH, alors Type d’utilisateur est Type d’utilisateur limité.
  5. Si le service n’est ni RH ni Comptabilité, alors Type d’utilisateur est Type d’utilisateur limité.
Attention : les types d’utilisateurs, divisions et groupes personnalisés doivent être créés par un administrateur de l’organisation avant que nous puissions configurer le mappage pour affecter automatiquement les utilisateurs lors de la connexion.
Astuce : les comptes Administrateur de l’organisation sont immunisés contre le mappage du type d’utilisateur. Les comptes Administrateur de l’organisation ne peuvent être modifiés que par d’autres Administrateurs de l’organisation.
Astuce : il est recommandé d’ajouter « .* » avant et après une valeur attendue (c.-à-d. « .*étudiant.* ») si une seule valeur est répertoriée. Cela permettra d’éviter les problèmes liés à la consommation de la valeur s’il s’avère qu’elle est transmise dans un attribut à valeurs multiples.

Qualtrics applique le mappage du type d’utilisateur et de la division dans l’ordre en fonction des conditions de mappage du type d’utilisateur et de la division dans Qualtrics. Cela signifie que si nous configurons plusieurs conditions au système pour qu’il les prenne en compte lors de l’affectation d’utilisateurs à un certain type d’utilisateur ou à une certaine division, Qualtrics commencera par la condition la plus élevée et descendra.

Exemple : imaginez que nous disposions d’une configuration de mappage de type d’utilisateur pour affecter tous les utilisateurs du service de psychologie au type d’utilisateur standard et tous les utilisateurs du service des ventes au type d’utilisateur limité. Si un nouvel utilisateur se connecte à Qualtrics via authentification unique et transmet à la fois « Psychologie » et « Ventes » pour son département, peut-être parce qu’il enseigne des cours dans les deux domaines, le système l’affectera au type d’utilisateur décrit en premier dans le mappage. La configuration suivante entraînerait l’attribution automatique à l’utilisateur du type d’utilisateur standard :

  1. Si le service est égal à Psychologie, alors Type d’utilisateur est Type d’utilisateur standard.
  2. Si le service est égal à Ventes, alors Type d’utilisateur est Type d’utilisateur limité.

Qualtrics applique le mappage de groupe dans l’ordre en fonction des valeurs d’attribut de l’utilisateur dans la réponse SAML. Cela signifie que si nous configurons plusieurs conditions au système pour qu’il les prenne en compte lors de l’affectation d’utilisateurs à un certain type groupe, Qualtrics commencera par la condition la plus élevée et descendra.

Exemple : imaginez que nous disposions d’une configuration de mappage de groupe pour affecter tous les utilisateurs du service de psychologie au groupe Psychologie et tous les utilisateurs du service des ventes au groupe Ventes. Si un nouvel utilisateur se connecte à Qualtrics via authentification unique et transmet à la fois « Psychologie » et « Ventes » pour son département, peut-être parce qu’il enseigne des cours dans les deux domaines, le système l’affectera au groupe décrit en premier dans la réponse SAML. Si la réponse SAML a transmis les éléments suivants, l’utilisateur sera automatiquement affecté au groupe Psychologie :

<AttributeStatement>

<Attribute Name="service">

<AttributeValue>Psychologie</AttributeValue>

</Attribute>

<Attribute

<AttributeValue>Ventes</AttributeValue>

</Attribute>

</AttributeStatement>

Si les utilisateurs transmettent une valeur qui n’est pas indiquée dans les conditions de mappage du type d’utilisateur, ils seront automatiquement affectés au type d’utilisateur en auto-inscription (par défaut) (EN) de l’organisation configuré pour l’organisation par un administrateur de l’organisation.

Astuce : si vous souhaitez empêcher les utilisateurs de se connecter à Qualtrics lorsqu’ils ne transmettent pas une valeur indiquée dans les conditions de mappage du type d’utilisateur, Qualtrics peut le faire via Valider le type d’utilisateur (EN).

Si les utilisateurs transmettent une valeur qui n’est pas décrite dans les conditions de mappage de la division ou du groupe, ils ne seront pas affectés à une division ou un groupe. Les utilisateurs devront être ajoutés à une division (EN) ou à un groupe (EN) par un administrateur de l’organisation.

Astuce : les administrateurs de l’organisation peuvent mettre un groupe à la disposition de tous les utilisateurs de l’organisation ou d’une division spécifique lors de la création d’un nouveau groupe (EN) ou de sa mise à jour.

INSCRIPTION AUTOMATIQUE DU RÔLE DANS LES TABLEAUX DE BORD EXPÉRIENCE CLIENT

Lorsqu’un utilisateur se connecte à Qualtrics via authentification unique, il peut envoyer des informations supplémentaires sur son compte à partir de votre système. Qualtrics a la possibilité d’utiliser ces informations pour attribuer et mettre à jour le rôle des Tableaux de bord Expérience client (EN) d’un compte via l’Inscription automatique du rôle (EN).

Attention : CAS 2.0 ou Google OAuth 2.0 ne sont pas compatibles avec cette fonction, car ils ne peuvent pas transmettre des attributs supplémentaires au système Qualtrics.

Enregistrer des informations utilisateur en tant qu’attributs de l’utilisateur des tableaux de bord Expérience client

Lorsqu’un utilisateur se connecte à Qualtrics via authentification unique, il peut envoyer des informations supplémentaires sur son compte Qualtrics à partir de votre système. Qualtrics a la possibilité de transmettre et de mettre à jour ces informations dans les Tableaux de bord Expérience client pour qu’elles soient stockées en tant qu’attributs de l’utilisateur (EN). Assurez-vous de coordonner votre équipe informatique et l’équipe d’authentification unique de Qualtrics pour déterminer les attributs que vous souhaitez reporter dans Qualtrics.

Attention : CAS 2.0 ou Google OAuth 2.0 ne sont pas compatibles avec cette fonction, car ils ne peuvent pas transmettre des attributs supplémentaires au système Qualtrics.
Astuce : les attributs de l’utilisateur (EN) dérivés des attributs d’authentification unique sont mis à jour chaque fois qu’un utilisateur se connecte à la plateforme via authentification unique, que l’option Mettre à jour les attributs utilisateur à chaque connexion soit activée ou non.

Restreindre l’accès utilisateur

DOMAINES DE MESSAGERIE VALIDES

Si l’approvisionnement utilisateur juste à temps (EN) est activé ou que l’authentification unique Google OAuth 2.0 est utilisée, Qualtrics fait référence aux domaines de messagerie valides (EN) répertoriés pour votre organisation Qualtrics lors de l’authentification des utilisateurs. Une fois que les utilisateurs se sont authentifiés avec succès via l’authentification unique et avant que Qualtrics crée un nouveau compte pour l’utilisateur, il examinera l’adresse e-mail de l’utilisateur pour vérifier que le domaine de messagerie est pris en compte dans la liste des domaines de messagerie valides de l’organisation Si le domaine de l’adresse e-mail de l’utilisateur est valide, le système Qualtrics créera un compte pour l’utilisateur de votre organisation. Si le domaine de l’adresse e-mail de l’utilisateur n’est pas valide, le système Qualtrics refusera à l’utilisateur l’accès à la plateforme.

Lorsque vous demandez à un représentant du support de Qualtrics de configurer la liste des domaines de messagerie valides de votre organisation, vous pouvez utiliser un caractère générique (*) ou spécifier certains domaines de messagerie. Le caractère générique permet à toute personne qui s’authentifie avec succès via votre authentification unique de créer un compte au sein de votre organisation Qualtrics, tandis que la spécification de certains domaines de messagerie limite les personnes pouvant créer un compte au sein de votre organisation Qualtrics. Les utilisateurs doivent s’authentifier avec succès via votre authentification unique et transmettre un domaine de messagerie valide pour créer un compte au sein de votre organisation Qualtrics.

Attention : même avec le caractère générique activé, les utilisateurs doivent transmettre une valeur au format d’une adresse e-mail (p. ex., exemple@domaine) dans leur attribut d’adresse e-mail d’authentification unique pour pouvoir se connecter. Si la valeur transmise n’est pas au bon format, l’accès sera refusé aux utilisateurs.
Attention : si vous spécifiez certains domaines de messagerie, vous pouvez uniquement utiliser les domaines appartenant à votre organisation pour des raisons de sécurité.
Astuce : les configurations Google OAuth 2.0 doivent fournir des domaines de messagerie spécifiques, car ce type authentification unique ne peut pas utiliser l’option de caractère générique. Les adresses e-mail des utilisateurs sont authentifiées par rapport aux domaines de messagerie fournis à chaque tentative de connexion.

Si une poignée d’utilisateurs avec un certain domaine de messagerie doivent avoir accès à Qualtrics, mais que vous ne souhaitez pas autoriser tous les utilisateurs avec ce domaine à s’auto-inscrire, un administrateur de l’organisation peut créer manuellement les comptes de ces utilisateurs (EN).

La validation par rapport à la liste des domaines de messagerie valides de votre organisation se produit uniquement lors de la création du compte, et non à chaque connexion.

VALIDER LE TYPE D’UTILISATEUR

Qualtrics a la capacité de valider les valeurs transmises pour l’attribut de mappage du Type d’utilisateur (EN). Cela signifie que chaque fois qu’un utilisateur tente de se connecter à Qualtrics via authentification unique, le système évalue les valeurs transmises pour l’attribut, afin de s’assurer qu’au moins une valeur est prise en compte dans les conditions de mappage du type d’utilisateur.

Exemple : imaginez que les conditions de mappage du type d’utilisateur suivantes sont configurées :

  1. Si le service est égal à Psychologie, alors Type d’utilisateur est Psychologie.
  2. Si le service est égal à Ventes, alors Type d’utilisateur est Ventes.

Si un utilisateur essaie de se connecter à Qualtrics via authentification unique, mais ne transmet ni « Psychologie » ni « Ventes » pour son service, Qualtrics refusera l’accès à l’utilisateur.

Attention : CAS 2.0 ou Google OAuth 2.0 ne sont pas compatibles avec cette fonction, car ils ne peuvent pas transmettre des attributs supplémentaires au système Qualtrics.