Guide relatif à l'authentification unique SAML
Qui peut utiliser cette fonctionnalité
Disponible dans les forfaits Organisation et Entreprise
Administrateurs de l'organisation uniquement
L'authentification unique (SSO) permet aux utilisateurs de se connecter à de nombreuses applications ou sites Web en utilisant un fournisseur d'identité. Le langage SAML (Security Assertion Markup Language) est une norme de sécurité pour la gestion de l'authentification et de l'accès.
Dans une configuration de SSO SAML, le fournisseur d'identité gère les comptes d'utilisateurs et les informations d'identification de l'organisation. Le fournisseur de services (Figma) est l'application ou le site Web qui fournit des services à l'utilisateur ou à l'organisation.
Lorsqu'ils utilisent la SSO SAML, les membres se connectent à leur Figma Organisation en utilisant le fournisseur d'identité de l'organisation.
Comment fonctionne la SSO SAML :
- Le membre tente de se connecter à Figma via la SSO SAML
- Figma envoie une demande SAML au fournisseur d'identité
- Le fournisseur d'identité vérifie les informations d'identification de ce membre
- Le fournisseur d'identité envoie une réponse à Figma pour vérifier l'identité du membre
- Figma accepte la réponse et connecte le membre à son compte Figma.
Remarque : Figma utilise SAML 2.0 pour toutes les configurations de SSO SAML. Cela inclut les configurations avec les fournisseurs d'identité pris en charge et toutes les configurations personnalisées.
Configurer la SSO SAML
Le processus de configuration de SAML dépend de votre fournisseur d'identité. Nous avons décrit ci-dessous le processus général de mise en œuvre de l'authentification unique SAML.
La SSO SAML ne s'applique qu'aux membres d'une Figma Organisation. Les invités peuvent se connecter via Google SSO ou leur adresse e-mail et leur mot de passe unique, quels que soient les paramètres SSO SAML de l'organisation.
Pour les utilisateurs de Figma for Government : tous les utilisateurs de la solution Figma for Government doivent utiliser l'authentification unique SAML. Les applications des fournisseurs d'identité de la place de marché Figma, tels que Microsoft ou Okta, ne sont pas compatibles avec Figma for Government. Veuillez suivre le flux de configuration de la fonction SAML pour l'application personnalisée, tel que décrit ci-dessous, pour votre fournisseur d'identité.
1. Confirmer les domaines
L'ajout et la vérification de domaines via la capture de domaines nous permettent de savoir qui traiter en tant que membre et qui traiter en tant qu'invité.
Par exemple : ACME Corp a trois domaines enregistrés pour son organisation : acme.org
, acmecorp.org
, et dev.acme.org
.
Toute personne disposant d'un compte acme.org
, acmecorp.org
ou d'une adresse e-mail dev.acme.org
est membre. Les membres peuvent se connecter via l'authentification unique SAML.
Toute personne disposant d'une adresse e-mail qui ne correspond pas à ces domaines est un invité et ne peut pas se connecter via SAML. Par exemple : name@gmail.com
ou name@notyourdomain.com
Remarque : si vous prévoyez d'utiliser l'authentification unique SSO, vous devez enregistrer chaque domaine que vous souhaitez utiliser dans Figma auprès de votre fournisseur d'identité. Les alias d'e-mail ne fonctionnent pas avec l'authentification unique SAML.
Attention : Pour conserver l'accès aux fichiers et projets existants, les membres doivent disposer d'un compte enregistré à l'adresse e-mail de leur entreprise. Nous vous recommandons de vous assurer que tout le monde utilise les bons e-mails dans Figma avant de configurer la SSO SAML.
2. Ajoutez Figma à votre fournisseur d'identité
Lorsque vous ajoutez Figma à votre fournisseur d'identité, celui-ci vous fournit une URL de métadonnées. Il s'agit d'un lien XML que Figma utilise pour se connecter à votre fournisseur d'identité et authentifier les utilisateurs lorsqu'ils se connectent.
Figma prend en charge les intégrations dédiées avec les fournisseurs d'identité suivants :
Remarque : vous pouvez également établir une configuration SAML personnalisée avec un fournisseur qui ne figure pas sur cette liste. Cela impliquera de configurer une application personnalisée avec votre fournisseur d'identité. Mettre en place une configuration SAML personnalisée →
* Si vous souhaitez utiliser l'authentification unique SAML de Google, vous devez configurer une configuration SAML personnalisée. En savoir plus sur l'authentification unique SAML de Google →
3. Activez l'authentification unique SAML dans Figma
Ensuite, vous devrez configurer la SSO SAML dans Figma. Cela permettra de :
- Activer la SSO SAML pour votre organisation
- Connecter votre fournisseur d'identité à votre compte Figma
- Vous permet de choisir les méthodes que les membres peuvent utiliser pour se connecter
Vous devrez décider si la connexion via l'authentification unique SAML est obligatoire ou si les utilisateurs peuvent toujours se connecter avec leur adresse e-mail et leur mot de passe. Nous vous recommandons d'autoriser la connexion par n'importe quelle méthode pendant le processus de configuration.
Si vous souhaitez configurer Google SSO, tous les utilisateurs doivent se connecter via Google SSO. Il n'y a aucun moyen de rendre cette option facultative ou de l'activer pour certains utilisateurs seulement. Définir la méthode de connexion ou d'authentification →
4. Configurer la SSO SAML dans votre fournisseur d'identité
Terminez le reste du processus de configuration avec votre fournisseur d'identité.
- SSO SAML avec Okta
- Authentification unique SAML avec Microsoft Entra ID
- Authentification unique SAML avec OneLogin
- SSO SAML pour ADFS
- Configurer une authentification unique SAML personnalisée
Remarque : Outre le nom d'utilisateur ou le nameid, Figma prend en charge quatre attributs dans une assertion SAML : givenName, familyName, displayName et title. Figma ignorera tout attribut supplémentaire.
5. Configurez le provisionnement SCIM (optionnel)
Toutes les configurations de SSO SAML prennent en charge « Just In Time » (JIT) ou le provisionnement manuel. Le provisionnement JIT permet à Figma de créer et de mettre à jour des utilisateurs dans Figma.
- Lors de la création d'un utilisateur, Figma utilise les informations des quatre attributs pris en charge dans la réponse SAML du fournisseur d'identité.
- Lors de la mise à jour d'un utilisateur dans le fournisseur d'identité, les modifications s'appliqueront lors de la prochaine connexion de l'utilisateur.
Vous pouvez choisir d'activer le provisionnement automatique via SCIM. SCIM apporte les modifications immédiatement et vous permet d'importer et de désactiver des utilisateurs.
- Fournisseurs d'identité pris en charge : vous pouvez activer le provisionnement via SCIM. Nous incluons des instructions pour configurer le provisionnement automatique via SCIM dans l'article de chaque fournisseur.
- Configuration SAML personnalisée : vous pouvez configurer le SCIM avec le fournisseur d'identité de votre choix. En savoir plus sur la mise en place d'une configuration personnalisée de SCIM →
Pour le forfait Organisation, il n'est pas possible d'attribuer le type de licence d'une personne en dehors de Figma. Figma offre à tous ceux qui rejoignent l'organisation une licence spectateur à titre d'introduction. En savoir plus sur les licences gratuites et payantes dans Figma →
Pour le forfait Enterprise, vous pouvez définir les licences des membres via SCIM. Cela vous permet de définir les licences Figma Design et FigJam d'une personne avant qu'elle ne rejoigne l'organisation. Si vous définissez le type de licence d'un membre via SCIM, Figma ignorera les paramètres de type de licence par défaut de l'organisation.
Besoin de modifier vos paramètres SSO SAML ? Vous pouvez éditer vos paramètres à tout moment.
6. Informer tes utilisateurs du changement
La première fois qu'un utilisateur se connecte à Figma en utilisant SSO, ou après avoir été approvisionné via SCIM, il recevra un e-mail de vérification de SendGrid. Cet e-mail contient un code PIN unique à 6 chiffres, qui ne sera utilisé qu'une seule fois comme mesure de sécurité supplémentaire lors de la première connexion.
Pour vous assurer que les utilisateurs ne confondent pas l'e-mail avec du spam ou une tentative d'hameçonnage, vous pouvez les informer à l'avance de cette étape supplémentaire.