Gérer les utilisateurs et les organisations avec une authentification unique (SSO)
Sur cette page:
À propos de la gestion des utilisateurs et des organisations avec l’authentification unique
Avec l’authentification unique, les utilisateurs peuvent s’authentifier pour accéder à Qualtrics à l’aide du système de connexion interne de leur organisation. Les trois principaux avantages de ce système sont une sécurité améliorée, une expérience de connexion fluide pour les utilisateurs et une gestion des utilisateurs simplifiée pour les administrateurs de l’organisation.
- Sécurité améliorée : les utilisateurs ne peuvent pas accéder à leur compte Qualtrics à moins de s’authentifier d’abord via authentification unique.
- Expérience de connexion fluide : les utilisateurs n’auront plus besoin de se souvenir de plusieurs identifiants et mots de passe pour accéder à la plateforme Qualtrics. Au lieu de cela, un seul portail et les identifiants de connexion correspondants peuvent être utilisés pour accéder à leur portail d’organisation principal, Qualtrics, et tout autre logiciel que votre équipe informatique a intégré à votre authentification unique.
- Gestion simplifiée des utilisateurs : l’authentification unique facilite l’administration pour les licences plus importantes, car vous pouvez utiliser les informations stockées dans les systèmes informatiques de votre organisation pour gérer les utilisateurs Qualtrics. Par exemple, Qualtrics peut consommer des attributs de l’utilisateur transmis depuis votre système pour attribuer les valeurs de nom d’utilisateur, de prénom, de nom de famille et d’adresse e-mail aux comptes utilisateur. Il peut également être utilisé pour attribuer et mettre à jour automatiquement les autorisations du compte utilisateur, via un mappage du Type d’utilisateur (EN), de la Division (EN) et du Groupe (EN). Ces fonctions permettent de s’assurer que les comptes disposent toujours des autorisations appropriées et relèvent de la juridiction appropriée. Ensemble, ces fonctions réduisent la quantité de travail administratif effectué par un administrateur de l’organisation, qui aurait autrement besoin de gérer manuellement les informations et les autorisations du compte utilisateur.
Utilisateurs auto-inscrits
Qualtrics a la possibilité de créer des comptes utilisateur lorsque les utilisateurs s’authentifient avec succès, mais n’ont pas encore de compte dans votre organisation Qualtrics. Lorsqu’un utilisateur se connecte à Qualtrics via authentification unique, le système prend la valeur de nom d’utilisateur transmise à l’utilisateur depuis votre système et la recherche dans votre organisation Qualtrics. S’il n’existe aucun compte avec cette valeur de nom d’utilisateur, le système Qualtrics créera un compte pour l’utilisateur. Ce processus est communément appelé « Approvisionnement utilisateur juste à temps ».
Lorsque les utilisateurs sont créés via une auto-inscription, un suffixe sera ajouté sous la forme de #brandID à la fin de leur nom d’utilisateur Qualtrics, afin d’éviter tout problème avec les noms d’utilisateur en double dans le système Qualtrics. Le suffixe variera d’une organisation à l’autre et est formé à l’aide de l’identifiant d’organisation de l’instance Qualtrics dans laquelle se trouve l’utilisateur. Par exemple, si l’identifiant d’organisation est « fakeenvironment » alors le suffixe est « #fakeenvironment ».
Nous recommandons aux organisations compatibles avec l’authentification unique de garantir que tous les utilisateurs, utilisant l’authentification unique ou non, disposent du suffixe #brandID.
Exemple : si John Doe essaie de se connecter à l’organisation Qualtrics « fakeenvironment » via authentification unique, les événements suivants se produiront :
- Une fois que l’utilisateur s’authentifie avec succès via authentification unique, votre système transmet plusieurs attributs de l’utilisateur. La valeur de nom d’utilisateur transmise est « johndoe@email.com ».
- Le système Qualtrics vérifie ensuite si un compte existe déjà avec le nom d’utilisateur « johndoe@email.com#fakeenvironment » dans l’organisation « fakeenvironment ».
- S’il existe un compte avec l’un des noms d’utilisateur suivants (coché dans l’ordre indiqué) au sein de l’organisation « fakeenvironment », l’utilisateur sera connecté à ce compte :
- « johndoe@email.com#fakeenvironment »
- « johndoe@email.com »
- S’il n’y a aucun compte avec une de ces valeurs de nom d’utilisateur répertoriées à l’étape 3 et que l’auto-inscription est activée pour l’organisation, le système Qualtrics se tournera vers la valeur transmise pour l’adresse e-mail de l’utilisateur, afin de vérifier que le domaine de l’adresse e-mail est pris en compte dans la liste des domaines de messagerie valides (EN). Si l’adresse e-mail de l’utilisateur a un domaine valide, le système Qualtrics créera un compte avec le nom d’utilisateur « johndoe@email.com#fakeenvironment ».
Si vous transmettez des valeurs de prénom et de nom de famille pour les utilisateurs, le système Qualtrics utilisera ces valeurs pour renseigner le prénom et le nom associés aux comptes d’utilisateur. Sinon, la valeur de nom d’utilisateur sera utilisée pour renseigner les champs du prénom et du nom de famille.
Personnaliser le portail de connexion
Qualtrics a la capacité d’afficher une description de page de connexion (EN) lorsque les utilisateurs se connectent via authentification unique LDAP. Les administrateurs de l’organisation ont la possibilité de modifier le texte affiché dans l’onglet Paramètres de l’organisation de la page Admin.
Attribuer les autorisations utilisateur
MAPPAGE DU TYPE D’UTILISATEUR, DE LA DIVISION ET DU GROUPE
Lorsqu’un utilisateur se connecte à Qualtrics via authentification unique, des informations supplémentaires sur l’utilisateur peuvent être transmises depuis le système de son organisation via les attributs de l’utilisateur. Qualtrics a la possibilité d’utiliser ces informations pour attribuer et mettre à jour le type d’utilisateur (EN), la division (EN) et le groupe (EN) d’un utilisateur. C’est ce qu’on appelle couramment le mappage. Ce mappage de type d’utilisateur, de division et de groupe est mis en œuvre par l’équipe d’authentification unique de Qualtrics, en étroite collaboration avec vous et votre équipe informatique pour s’assurer que les attributs souhaités sont inclus.
Puisque les attributs de l’utilisateur sont mis à jour à chaque connexion, toute modification apportée au type d’utilisateur ou à la division d’un utilisateur par les administrateurs de l’organisation sera remplacée lors de la prochaine connexion de l’utilisateur. Cela peut être empêché d’une des manières suivantes :
- L’équipe informatique de l’organisation met à jour la valeur transmise pour l’utilisateur dans l’attribut Type d’utilisateur ou Division.
- Un administrateur de l’organisation gère les autorisations des utilisateurs au niveau de l’utilisateur (EN), au lieu de modifier leur type d’utilisateur ou leur division.
Contrairement au mappage des types d’utilisateurs et des divisions, le mappage des groupes n’écrase pas les modifications apportées par les administrateurs de l’organisation aux groupes d’utilisateurs, car les utilisateurs peuvent faire partie de plusieurs groupes à la fois.
Qualtrics ne peut référencer qu’un attribut pour le mappage du type d’utilisateur, de la division et du groupe. Les valeurs indiquant à quel type d’utilisateur ou division les utilisateurs doivent être affectés doivent être transmises dans le même attribut respectif pour tous les utilisateurs. Une certaine flexibilité est cependant possible, car Qualtrics peut configurer jusqu’à 50 conditions de mappage de groupe, chacune d’entre elles pouvant utiliser RegEx.
Exemple : vous trouverez ci-dessous des exemples de conditions de mappage de type d’utilisateur basées sur un attribut « service » :
- Si le service est égal à RH, alors Type d’utilisateur est Type d’utilisateur standard.
- Si le service est égal à RH ou à Comptabilité, alors Type d’utilisateur est Type d’utilisateur standard.
- Si le service contient RH, alors Type d’utilisateur est Type d’utilisateur standard.
- Si le service n’est pas RH, alors Type d’utilisateur est Type d’utilisateur limité.
- Si le service n’est ni RH ni Comptabilité, alors Type d’utilisateur est Type d’utilisateur limité.
Qualtrics applique le mappage du type d’utilisateur et de la division dans l’ordre en fonction des conditions de mappage du type d’utilisateur et de la division dans Qualtrics. Cela signifie que si nous configurons plusieurs conditions au système pour qu’il les prenne en compte lors de l’affectation d’utilisateurs à un certain type d’utilisateur ou à une certaine division, Qualtrics commencera par la condition la plus élevée et descendra.
Exemple : imaginez que nous disposions d’une configuration de mappage de type d’utilisateur pour affecter tous les utilisateurs du service de psychologie au type d’utilisateur standard et tous les utilisateurs du service des ventes au type d’utilisateur limité. Si un nouvel utilisateur se connecte à Qualtrics via authentification unique et transmet à la fois « Psychologie » et « Ventes » pour son département, peut-être parce qu’il enseigne des cours dans les deux domaines, le système l’affectera au type d’utilisateur décrit en premier dans le mappage. La configuration suivante entraînerait l’attribution automatique à l’utilisateur du type d’utilisateur standard :
- Si le service est égal à Psychologie, alors Type d’utilisateur est Type d’utilisateur standard.
- Si le service est égal à Ventes, alors Type d’utilisateur est Type d’utilisateur limité.
Qualtrics applique le mappage de groupe dans l’ordre en fonction des valeurs d’attribut de l’utilisateur dans la réponse SAML. Cela signifie que si nous configurons plusieurs conditions au système pour qu’il les prenne en compte lors de l’affectation d’utilisateurs à un certain type groupe, Qualtrics commencera par la condition la plus élevée et descendra.
Exemple : imaginez que nous disposions d’une configuration de mappage de groupe pour affecter tous les utilisateurs du service de psychologie au groupe Psychologie et tous les utilisateurs du service des ventes au groupe Ventes. Si un nouvel utilisateur se connecte à Qualtrics via authentification unique et transmet à la fois « Psychologie » et « Ventes » pour son département, peut-être parce qu’il enseigne des cours dans les deux domaines, le système l’affectera au groupe décrit en premier dans la réponse SAML. Si la réponse SAML a transmis les éléments suivants, l’utilisateur sera automatiquement affecté au groupe Psychologie :
<AttributeStatement>
<Attribute Name="service">
<AttributeValue>Psychologie</AttributeValue>
</Attribute>
<Attribute
<AttributeValue>Ventes</AttributeValue>
</Attribute>
</AttributeStatement>
Si les utilisateurs transmettent une valeur qui n’est pas indiquée dans les conditions de mappage du type d’utilisateur, ils seront automatiquement affectés au type d’utilisateur en auto-inscription (par défaut) (EN) de l’organisation configuré pour l’organisation par un administrateur de l’organisation.
Si les utilisateurs transmettent une valeur qui n’est pas décrite dans les conditions de mappage de la division ou du groupe, ils ne seront pas affectés à une division ou un groupe. Les utilisateurs devront être ajoutés à une division (EN) ou à un groupe (EN) par un administrateur de l’organisation.
INSCRIPTION AUTOMATIQUE DU RÔLE DANS LES TABLEAUX DE BORD EXPÉRIENCE CLIENT
Lorsqu’un utilisateur se connecte à Qualtrics via authentification unique, il peut envoyer des informations supplémentaires sur son compte à partir de votre système. Qualtrics a la possibilité d’utiliser ces informations pour attribuer et mettre à jour le rôle des Tableaux de bord Expérience client (EN) d’un compte via l’Inscription automatique du rôle (EN).
Enregistrer des informations utilisateur en tant qu’attributs de l’utilisateur des tableaux de bord Expérience client
Lorsqu’un utilisateur se connecte à Qualtrics via authentification unique, il peut envoyer des informations supplémentaires sur son compte Qualtrics à partir de votre système. Qualtrics a la possibilité de transmettre et de mettre à jour ces informations dans les Tableaux de bord Expérience client pour qu’elles soient stockées en tant qu’attributs de l’utilisateur (EN). Assurez-vous de coordonner votre équipe informatique et l’équipe d’authentification unique de Qualtrics pour déterminer les attributs que vous souhaitez reporter dans Qualtrics.
Restreindre l’accès utilisateur
DOMAINES DE MESSAGERIE VALIDES
Si l’approvisionnement utilisateur juste à temps (EN) est activé ou que l’authentification unique Google OAuth 2.0 est utilisée, Qualtrics fait référence aux domaines de messagerie valides (EN) répertoriés pour votre organisation Qualtrics lors de l’authentification des utilisateurs. Une fois que les utilisateurs se sont authentifiés avec succès via l’authentification unique et avant que Qualtrics crée un nouveau compte pour l’utilisateur, il examinera l’adresse e-mail de l’utilisateur pour vérifier que le domaine de messagerie est pris en compte dans la liste des domaines de messagerie valides de l’organisation Si le domaine de l’adresse e-mail de l’utilisateur est valide, le système Qualtrics créera un compte pour l’utilisateur de votre organisation. Si le domaine de l’adresse e-mail de l’utilisateur n’est pas valide, le système Qualtrics refusera à l’utilisateur l’accès à la plateforme.
Lorsque vous demandez à un représentant du support de Qualtrics de configurer la liste des domaines de messagerie valides de votre organisation, vous pouvez utiliser un caractère générique (*) ou spécifier certains domaines de messagerie. Le caractère générique permet à toute personne qui s’authentifie avec succès via votre authentification unique de créer un compte au sein de votre organisation Qualtrics, tandis que la spécification de certains domaines de messagerie limite les personnes pouvant créer un compte au sein de votre organisation Qualtrics. Les utilisateurs doivent s’authentifier avec succès via votre authentification unique et transmettre un domaine de messagerie valide pour créer un compte au sein de votre organisation Qualtrics.
Si une poignée d’utilisateurs avec un certain domaine de messagerie doivent avoir accès à Qualtrics, mais que vous ne souhaitez pas autoriser tous les utilisateurs avec ce domaine à s’auto-inscrire, un administrateur de l’organisation peut créer manuellement les comptes de ces utilisateurs (EN).
La validation par rapport à la liste des domaines de messagerie valides de votre organisation se produit uniquement lors de la création du compte, et non à chaque connexion.
VALIDER LE TYPE D’UTILISATEUR
Qualtrics a la capacité de valider les valeurs transmises pour l’attribut de mappage du Type d’utilisateur (EN). Cela signifie que chaque fois qu’un utilisateur tente de se connecter à Qualtrics via authentification unique, le système évalue les valeurs transmises pour l’attribut, afin de s’assurer qu’au moins une valeur est prise en compte dans les conditions de mappage du type d’utilisateur.
Exemple : imaginez que les conditions de mappage du type d’utilisateur suivantes sont configurées :
- Si le service est égal à Psychologie, alors Type d’utilisateur est Psychologie.
- Si le service est égal à Ventes, alors Type d’utilisateur est Ventes.
Si un utilisateur essaie de se connecter à Qualtrics via authentification unique, mais ne transmet ni « Psychologie » ni « Ventes » pour son service, Qualtrics refusera l’accès à l’utilisateur.