Passer au contenu principal
SSO est disponible avec les offres Enterprise.
Les administrateurs Enterprise peuvent configurer le SSO SAML pour Okta ou Microsoft Entra directement depuis le Tableau de bord Mintlify. Pour d’autres fournisseurs comme Google Workspace ou Okta OIDC, contactez-nous pour configurer le SSO.

Configurer le SSO

Okta

1

Configurer le SSO Okta dans votre Tableau de bord Mintlify

  1. Dans votre Tableau de bord Mintlify, accédez à la page Single Sign-On.
  2. Cliquez sur Configure.
  3. Sélectionnez Okta SAML.
  4. Copiez l’URL de Single sign on et l’Audience URI.
2

Créer une application SAML dans Okta

  1. Dans Okta, sous Applications, créez une nouvelle intégration d’application utilisant SAML 2.0.
  2. Saisissez les informations suivantes à partir de Mintlify :
    • Single sign on URL : l’URL que vous avez copiée depuis votre Tableau de bord Mintlify
    • Audience URI : l’URI que vous avez copiée depuis votre Tableau de bord Mintlify
    • Name ID Format : EmailAddress
  3. Ajoutez ces déclarations d’attribut :
    NameName formatValue
    firstNameBasicuser.firstName
    lastNameBasicuser.lastName
3

Copier l’URL de metadata Okta

Dans Okta, allez dans l’onglet Sign On de votre application et copiez l’URL de metadata.
4

Enregistrer dans Mintlify

De retour dans le Tableau de bord Mintlify, collez l’URL de metadata et cliquez sur Enregistrer les modifications.

Microsoft Entra

1

Configurer Microsoft Entra SSO dans votre tableau de bord Mintlify

  1. Dans votre tableau de bord Mintlify, accédez à la page Single Sign-On.
  2. Cliquez sur Configure.
  3. Sélectionnez Microsoft Entra ID SAML.
  4. Copiez l’URL de connexion unique et l’URI d’audience.
2

Créer une application d’entreprise dans Microsoft Entra

  1. Dans Microsoft Entra, accédez à Enterprise applications.
  2. Sélectionnez New application.
  3. Sélectionnez Create your own application.
  4. Sélectionnez « Integrate any other application you don’t find in the gallery (Non-gallery) ».
3

Configurer SAML dans Microsoft Entra

  1. Dans Microsoft Entra, accédez à Single Sign-On.
  2. Sélectionnez SAML.
  3. Sous Basic SAML Configuration, saisissez ce qui suit :
    • Identifier (Entity ID) : l’URI d’audience depuis Mintlify
    • Reply URL (Assertion Consumer Service URL) : l’URL de connexion unique depuis Mintlify
Laissez les autres valeurs vides et sélectionnez Save.
4

Configurer Attributes & Claims dans Microsoft Entra

  1. Dans Microsoft Entra, accédez à Attributes & Claims.
  2. Sélectionnez Unique User Identifier (Name ID) sous « Required Claim ».
  3. Modifiez l’attribut Source en user.primaryauthoritativeemail.
  4. Sous Additional claims, créez les éléments suivants :
    NameValue
    firstNameuser.givenname
    lastNameuser.surname
5

Copier l’URL de metadata Microsoft Entra

Sous SAML Certificates, copiez l’App Federation Metadata URL.
6

Enregistrer dans Mintlify

De retour dans le tableau de bord Mintlify, collez l’URL de metadata et cliquez sur Enregistrer les modifications.
7

Affecter des utilisateurs

Dans Microsoft Entra, accédez à Users and groups. Affectez les utilisateurs qui doivent avoir accès à votre tableau de bord Mintlify.

Provisionnement JIT

Lorsque vous activez le provisionnement JIT (just-in-time), les utilisateurs qui se connectent via votre fournisseur d’identité sont automatiquement ajoutés à votre organisation Mintlify.
Le provisionnement JIT fonctionne uniquement pour les connexions initiées par l’IdP. Les utilisateurs doivent se connecter à partir de votre fournisseur d’identité (dashboard Okta ou portail Microsoft Entra) plutôt que de passer par la page de connexion Mintlify.
Pour activer le provisionnement JIT, vous devez avoir activé le SSO. Accédez à la page Single Sign-On de votre Dashboard, configurez le SSO, puis activez le provisionnement JIT.

Exiger le SSO

Les administrateurs Enterprise peuvent exiger que les membres de l’organisation se connectent via leur fournisseur d’identité, en bloquant les autres méthodes d’authentification comme le mot de passe, le lien magique et Google OAuth. Utilisez cette option pour garantir que chaque connexion au tableau de bord passe par votre IdP afin que la gestion du cycle de vie des comptes, le MFA et les politiques d’accès soient appliqués de manière centralisée.

Activer l’application du SSO

Avant de pouvoir exiger le SSO, vous devez disposer d’une connexion SSO active et d’une connexion par défaut configurée. Tenter d’imposer le SSO sans connexion configurée renvoie une erreur afin d’éviter de verrouiller l’accès à votre organisation.
1

Configurer le SSO

Configurez une connexion SAML en suivant les étapes décrites dans Configurer le SSO et vérifiez que la connexion apparaît comme Active sur la page Single Sign-On.
2

Activer Require SSO

Sur la même page, activez Require SSO. Une fois activé, les connexions par mot de passe, lien magique et Google OAuth sont désactivées pour votre organisation. Les membres qui tentent de se connecter avec une autre méthode sont redirigés vers votre IdP.

Choisir les méthodes d’authentification autorisées

Si vous souhaitez autoriser une combinaison de méthodes plutôt que le SSO uniquement, vous pouvez choisir les méthodes autorisées pour votre organisation depuis les paramètres SSO. Les options disponibles sont :
  • SSO via votre fournisseur d’identité configuré
  • Mot de passe
  • Lien magique envoyé à l’adresse e-mail du membre
  • Google OAuth
Enregistrer une liste vide réinitialise votre organisation pour autoriser toutes les méthodes. Enregistrer une liste qui ne contient que le SSO nécessite une connexion SSO par défaut active, comme l’activation de Require SSO.

Changer d’organisation en tant qu’utilisateur non‑SSO

Si un membre appartient à plusieurs organisations et est connecté avec une méthode non‑SSO (par exemple, un mot de passe ou Google), basculer vers une organisation qui exige le SSO déclenche une élévation SSO. Le tableau de bord redirige le membre vers votre IdP pour terminer l’authentification avant que le changement d’organisation ne soit finalisé. Les sessions existantes dans d’autres organisations ne sont pas affectées.

Accès de secours (break-glass)

L’accès de secours permet à certains membres de contourner l’application du SSO et de se connecter avec un mot de passe ou un lien magique. Utilisez-le pour conserver un accès d’urgence si votre fournisseur d’identité est inaccessible ou mal configuré. Gérez la liste depuis la carte Break-glass access sur la page Single Sign-On une fois qu’une connexion SSO est active :
1

Ajouter un e-mail

Saisissez l’adresse e-mail d’un membre existant de l’organisation et cliquez sur Add. L’adresse doit correspondre à un membre qui existe déjà dans votre organisation.
2

Supprimer un e-mail

Cliquez sur l’icône de suppression à côté d’une adresse pour révoquer l’accès de secours. Le membre est de nouveau soumis à l’application du SSO lors de sa prochaine connexion.
Toute personne figurant sur la liste d’accès de secours peut se connecter sans passer par votre fournisseur d’identité. Limitez la liste à un petit nombre d’administrateurs de confiance et révisez-la régulièrement.

Mapper les rôles RBAC avec les groupes SAML

Attribuez des rôles aux utilisateurs en fonction de leur appartenance à des groupes dans le fournisseur d’identité. Lorsqu’un utilisateur se connecte via SSO, Mintlify lit l’attribut groups de l’assertion SAML et associe ces groupes aux rôles du tableau de bord.

Configurer les déclarations d’attribut de groupe

Ajoutez une déclaration d’attribut groups à la configuration de votre fournisseur d’identité SAML. L’attribut doit utiliser le format de nom unspecified. L’assertion SAML résultante doit inclure un AttributeStatement.
Example SAML assertion
<saml2:AttributeStatement xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion">
    <saml2:Attribute Name="groups" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
        <saml2:AttributeValue xmlns:xs="http://www.w3.org/2001/XMLSchema"
                              xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
                              xsi:type="xs:string">Everyone</saml2:AttributeValue>
        <saml2:AttributeValue xmlns:xs="http://www.w3.org/2001/XMLSchema"
                              xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
                              xsi:type="xs:string">Engineering</saml2:AttributeValue>
        <saml2:AttributeValue xmlns:xs="http://www.w3.org/2001/XMLSchema"
                              xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
                              xsi:type="xs:string">Admins</saml2:AttributeValue>
    </saml2:Attribute>
</saml2:AttributeStatement>
Exigences clés :
  • Le nom de l’attribut doit être groups (sensible à la casse)
  • Le format de nom doit être urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified
  • Chaque groupe auquel l’utilisateur appartient doit être un élément AttributeValue distinct
Dans la configuration de votre application SAML Okta, ajoutez une déclaration d’attribut de groupe :
NameName formatFilterValue
groupsUnspecifiedMatches regex.*
Ajustez le filtre pour correspondre aux groupes spécifiques que vous souhaitez envoyer à Mintlify.
Une fois configuré, Mintlify associe les noms de groupes de l’assertion SAML aux rôles de votre organisation. Pour configurer ou modifier les mappages groupe-rôle, contactez votre représentant de compte Mintlify.

Modifier ou supprimer le fournisseur SSO

  1. Accédez à la page Single Sign-On dans votre Dashboard.
  2. Cliquez sur Configure.
  3. Sélectionnez votre fournisseur SSO préféré ou choisissez de ne pas utiliser le SSO.
Si vous désactivez le SSO, les utilisateurs devront s’authentifier à l’aide d’un mot de passe, d’un lien magique ou de Google OAuth.

Autres fournisseurs

Pour les fournisseurs autres que Microsoft Entra ou Okta SAML, contactez-nous pour configurer le SSO.

Google Workspace avec SAML

1

Créer une application

  1. Dans Google Workspace, accédez à Web and mobile apps.
  2. Sélectionnez Add custom SAML app dans le menu déroulant Add app.
Capture d’écran de la page de création d’application SAML de Google Workspace avec l’élément de menu « Add custom SAML app » mis en évidence
2

Envoyez-nous les informations de votre IdP

Copiez l’URL SSO, l’Entity ID et le certificat x509 fournis, puis envoyez-les à l’équipe Mintlify.
Capture d’écran de la page d’application SAML de Google Workspace avec l’URL SSO, l’Entity ID et le certificat x509 mis en évidence. Les valeurs spécifiques de chacun sont floutées.
3

Configurer l’intégration

Sur la page Service provider details, saisissez les éléments suivants :
  • ACS URL (fournie par Mintlify)
  • Entity ID (fourni par Mintlify)
  • Name ID format : EMAIL
  • Name ID : Basic Information > Primary email
Capture d’écran de la page Service provider details avec les champs de saisie ACS URL et Entity ID mis en évidence.
À la page suivante, ajoutez les déclarations d’attribut suivantes :
Google Directory AttributeApp Attribute
First namefirstName
Last namelastName
Une fois cette étape terminée et les utilisateurs attribués à l’application, informez notre équipe et nous activerons le SSO pour votre compte.

Okta (OIDC)

1

Créer une application

Dans Okta, sous Applications, créez une nouvelle intégration d’application utilisant OIDC. Choisissez le type d’application Web Application.
2

Configurer l’intégration

Sélectionnez le flux d’octroi « code d’autorisation » et renseignez l’URL de redirection fournie par Mintlify.
3

Envoyez-nous les informations de votre IdP

Accédez à l’onglet General et repérez le Client ID et le client secret. Veuillez nous les transmettre de manière sécurisée, ainsi que l’URL de votre instance Okta (par exemple, <your-tenant-name>.okta.com). Vous pouvez les envoyer via un service comme 1Password ou SendSafely.