Ai-je besoin à la fois de SAML SSO et de SCIM ?

Non. Vous pouvez utiliser SAML SSO seul avec le provisionnement juste-à-temps (les utilisateurs sont créés lors de leur première connexion). SCIM est recommandé pour les organisations souhaitant une automatisation complète du cycle de vie.

Puis-je laisser certains utilisateurs se connecter par mot de passe pendant que d'autres utilisent le SSO ?

Oui, tant que l'application du SSO est désactivée. Lorsqu'elle est activée, le SSO devient le seul mode de connexion pour les utilisateurs de votre domaine vérifié.

Que se passe-t-il pour les utilisateurs existants lorsque j'active le SSO ?

Les utilisateurs existants conservent leurs comptes. La prochaine fois qu'ils se connectent, ils sont redirigés via le SSO. Leurs données, liens et analyses sont préservés.

Comment Papermark associe-t-il les groupes SCIM aux rôles ?

Vous associez les groupes du fournisseur d'identité aux rôles Papermark (administrateur, membre, lecteur) dans la configuration SCIM. Les modifications d'appartenance aux groupes mettent à jour le rôle de l'utilisateur lors de la prochaine synchronisation.

Le SAML SSO est-il disponible sur les offres inférieures ?

Non. Le SAML SSO et le SCIM font partie de l'offre Entreprise. Contactez support@papermark.com si vous souhaitez les évaluer.

Le SAML SSO fonctionne-t-il pour les visiteurs de la salle de données ?

Le SAML SSO régit la connexion à Papermark pour les membres de votre équipe. Les utilisateurs de la salle de données continuent de s'authentifier via la vérification par e-mail, un mot de passe ou d'autres autorisations de lien.

Comment configurer le SSO SAML et le provisionnement SCIM dans Papermark ?

Pour les équipes d'entreprise, le mot de passe que vos employés utilisent pour se connecter à Papermark doit être le même que celui qu'ils utilisent partout ailleurs. Papermark prend en charge l'authentification unique (SSO) SAML 2.0 et la synchronisation d'annuaire SCIM, afin que vous puissiez connecter votre fournisseur d'identité, imposer le SSO à tous les utilisateurs et provisionner ou déprovisionner automatiquement les comptes lorsque des employés rejoignent l'entreprise ou la quittent.

Le SSO SAML et SCIM sont disponibles dans le plan Enterprise. Contactez support@papermark.com pour les activer sur votre espace de travail.

Ce que vous obtenez

Fonctionnalité	Description
SSO SAML 2.0	Les utilisateurs se connectent à Papermark avec leur fournisseur d'identité d'entreprise
Synchronisation d'annuaire SCIM	Les nouveaux utilisateurs sont provisionnés automatiquement, les partants sont déprovisionnés
Application du SSO	Bloquez les connexions par mot de passe et Google pour que le SSO soit la seule méthode d'accès
Préréglages de fournisseurs prêts à l'emploi	Configuration en un clic pour Okta, Azure AD, Google Workspace, OneLogin, et plus encore
Provisionnement juste-à-temps	Les utilisateurs sont créés lors de leur première connexion SSO si SCIM n'est pas utilisé

Fournisseurs d'identité pris en charge

Papermark fonctionne avec tout fournisseur d'identité conforme à SAML 2.0. Nous proposons des préréglages prêts à l'emploi pour :

Okta
Microsoft Entra ID (Azure AD)
Google Workspace
OneLogin
JumpCloud
Auth0
Fournisseurs SAML personnalisés

Pour le provisionnement SCIM, les mêmes fournisseurs sont pris en charge via le standard SCIM 2.0.

Étape par étape : activer le SSO SAML

Étape 1 : Ouvrir les paramètres SSO dans Papermark

Connectez-vous à Papermark en tant que propriétaire de l'espace de travail.
Accédez à Paramètres, puis Sécurité, puis SSO.
Cliquez sur Configurer le SSO SAML.

Étape 2 : Choisir votre fournisseur d'identité

Choisissez votre fournisseur dans la liste des préconfigurations. Papermark vous indique exactement les métadonnées dont il a besoin (Entity ID, ACS URL, audience URI) pour que vous puissiez les coller dans votre fournisseur d'identité.

Étape 3 : Configurer l'application dans votre fournisseur d'identité

Dans votre fournisseur d'identité :

Créez une nouvelle application SAML appelée « Papermark ».
Collez l'Entity ID, l'ACS URL et l'audience URI de Papermark issus de l'étape précédente.
Mappez les attributs suivants :
- email vers l'adresse e-mail de l'utilisateur
- firstName vers le prénom de l'utilisateur
- lastName vers le nom de famille de l'utilisateur
Téléchargez le fichier XML des métadonnées du fournisseur d'identité ou copiez l'entity ID IdP, l'URL d'authentification unique et le certificat X.509.

Étape 4 : Coller les informations IdP dans Papermark

Importez le fichier XML des métadonnées ou collez les champs individuels dans Papermark.
Cliquez sur Enregistrer.
Cliquez sur Tester la connexion SSO pour vérifier que le cycle complet fonctionne.

Une fois le test réussi, le SSO est actif pour votre espace de travail. Les utilisateurs dont les adresses e-mail correspondent à votre domaine vérifié peuvent désormais se connecter via votre fournisseur d'identité.

Étape par étape : activer la synchronisation d'annuaire SCIM

Étape 1 : Générer l'endpoint et le token SCIM

Dans Papermark, accédez à Paramètres, puis Sécurité, puis SCIM.
Cliquez sur Activer SCIM.
Copiez l'URL de base SCIM et le jeton porteur affichés à l'écran.

Étape 2 : Configurer SCIM dans votre fournisseur d'identité

Dans l'application Papermark de votre fournisseur d'identité, activez le provisionnement.
Collez l'URL de base SCIM en tant qu'URL de locataire.
Collez le jeton porteur en tant que jeton secret.
Activez les opérations suivantes :
- Créer des utilisateurs
- Mettre à jour les attributs des utilisateurs
- Désactiver des utilisateurs
Mappez votre attribut de groupe ou de rôle sur le mappage de rôles de Papermark (admin, member, viewer).

Étape 3 : Tester le provisionnement

Assignez un utilisateur test à l'application Papermark dans votre fournisseur d'identité.
Vérifiez que l'utilisateur apparaît dans les paramètres Équipe de Papermark en quelques minutes.
Supprimez l'utilisateur et confirmez qu'il est désactivé automatiquement.

Une fois le provisionnement validé pour l'utilisateur test, vous pouvez assigner l'application Papermark à tous les utilisateurs et groupes concernés dans votre fournisseur d'identité.

Imposer le SSO à tous les utilisateurs

Une fois le SSO SAML vérifié, vous pouvez imposer le SSO afin de bloquer les connexions par mot de passe et Google pour votre domaine :

Dans Paramètres, Sécurité, SSO, activez Imposer le SSO.
Confirmez la modification. Toutes les sessions actives en dehors du SSO seront invalidées.

Les propriétaires d'espaces de travail peuvent toujours se connecter via un processus de récupération en cas de mauvaise configuration du SSO, afin de ne jamais être bloqués hors de leur espace de travail.

Cas d'utilisation

Conformité informatique : imposez l'authentification via le fournisseur d'identité pour chaque employé accédant à Papermark.
Départ d'un employé : désactivez les employés partants dans votre fournisseur d'identité et SCIM les supprime automatiquement de Papermark.
Intégration des nouveaux employés : assignez l'application Papermark au groupe d'un nouvel employé et il sera provisionné avec le bon rôle dès le premier jour.
Préparation aux audits : chaque connexion passe par votre fournisseur d'identité, centralisant ainsi tous les journaux d'accès en un seul endroit.

Questions fréquemment posées

Guides connexes

Besoin d'aide ? Contactez support@papermark.com ou utilisez le chat intégré.