Skip to main content
Okta permet à votre équipe de se connecter à votre espace enterprise Base44 avec ses identifiants Okta existants. Vous créez une application OIDC dans Okta, autorisez Base44 à l’utiliser, puis ajoutez ses informations dans votre espace de travail. Pour ajouter et mettre à jour les membres automatiquement, configurez séparément le provisionnement SCIM pour Okta.
L’authentification unique (SSO) pour espace de travail est disponible uniquement pour les espaces enterprise. Si vous ne voyez pas cette option, contactez votre équipe de compte Base44.

Avant de commencer

Assurez-vous d’avoir :
  • Un accès propriétaire ou administrateur à votre espace enterprise Base44.
  • Un accès administrateur à votre organisation Okta.
  • Votre workspace ID, la chaîne de caractères qui suit /workspace/ dans l’URL de votre espace enterprise.
  • Votre Okta domain, la partie avant .okta.com (par exemple, your-company).

Configurer l’authentification unique

Créez une application OIDC dans Okta, autorisez Base44 à l’utiliser, puis ajoutez ses informations dans votre espace de travail.

Étape 1 : créer une application OIDC

Créez l’application OIDC qui représente la connexion Base44. Pour créer l’application :
  1. Dans la console d’administration Okta, allez dans Applications > Applications, puis cliquez sur Create App Integration.
  2. Définissez Sign-in method sur OIDC - OpenID Connect.
  3. Définissez Application type sur Web Application.
  4. Cliquez sur Next.
Okta Create a new app integration dialog with OIDC and Web Application selected

Étape 2 : configurer l’application

Définissez le nom de l’application, les redirect URIs et qui peut l’utiliser. Pour configurer l’application :
  1. Saisissez un App name, par exemple Base44 - your workspace name.
  2. Sous Sign-in redirect URIs, ajoutez l’URL de callback de votre espace de travail, en remplaçant {{WORKSPACE_ID}} par votre workspace ID : https://app.base44.com/api/workspaces/{{WORKSPACE_ID}}/auth/sso/callback
  3. Sous Sign-out redirect URIs, ajoutez https://app.base44.com.
  4. Sous Controlled access, choisissez qui peut utiliser l’application, par exemple Allow everyone in your organization to access.
  5. Cliquez sur Save.
Okta application sign-in and sign-out redirect URI settings

Étape 3 : obtenir vos identifiants

Depuis l’onglet General de l’application, copiez :
  • Client ID
  • Client Secret
  • Votre Okta domain, uniquement le sous-domaine (par exemple, your-company, pas your-company.okta.com).

Étape 4 : autoriser Base44 dans votre authorization server

Okta n’émet des tokens qu’aux applications qu’une politique de l’authorization server autorise. Pour ajouter une règle de politique d’accès :
  1. Allez dans Security > API > Authorization Servers, puis ouvrez le serveur default.
  2. Dans l’onglet Access Policies, cliquez sur Add Rule, ou modifiez une règle existante.
  3. Nommez la règle (par exemple, Allow Base44), définissez le type d’octroi sur Authorization Code, et appliquez-la à votre application Base44 (ou à tous les clients), à tous les utilisateurs et à tous les scopes.
  4. Cliquez sur Create Rule.
Dans l’onglet General de votre application Base44 dans Okta, désactivez Federation Broker Mode. Si activé, la connexion peut échouer avec « You are not allowed to access this app. »

Étape 5 : ajouter vos informations dans Base44

Ajoutez les identifiants de l’application OIDC à votre espace de travail. Pour configurer le SSO dans Base44 :
  1. Cliquez sur le nom de votre espace de travail en haut à gauche de votre compte.
  2. Cliquez sur Settings.
  3. Cliquez sur Auth and security.
  4. Activez le paramètre à côté de Single Sign-On Configuration.
  5. Dans Select SSO Provider, choisissez Okta.
  6. Saisissez votre Client ID, Client Secret et Okta Domain (uniquement le sous-domaine).
  7. Conservez Scope à openid email profile.
  8. La Discovery URL se remplit automatiquement à partir de votre Okta domain.
  9. Cliquez sur Enable SSO.
Base44 Auth and security panel configured with Okta as the SSO provider
La Discovery URL auto-générée n’est correcte que pour une organisation Okta standard sur son domaine .okta.com par défaut. Si l’un des cas ci-dessous s’applique, la valeur par défaut est erronée et la connexion échoue. Configurez alors Okta via Advanced / Manual configuration et saisissez la Discovery URL manuellement :
  • Utilisez la Discovery URL /oauth2/default : pointez Base44 vers votre authorization server Okta pour que le claim email soit renvoyé : https://your-domain.okta.com/oauth2/default/.well-known/openid-configuration. Si votre organisation n’a pas d’authorization server personnalisé, cette adresse renvoie un 404. Dans ce cas, utilisez https://your-domain.okta.com/.well-known/openid-configuration et mappez le claim email dans le profil de votre application Okta.
  • Domaine Okta personnalisé : si votre équipe se connecte via un domaine personnalisé de marque (par exemple, login.your-company.com), utilisez ce domaine exact dans la Discovery URL, pas le your-company.okta.com par défaut. Okta émet des tokens depuis le domaine par lequel les personnes se connectent, une différence fait échouer la validation de l’émetteur (iss) et la connexion échoue.

Étape 6 : attribuer les utilisateurs

Les personnes peuvent se connecter une fois qu’elles sont attribuées à votre application Okta. Pour attribuer des utilisateurs :
  1. Dans votre application Okta, allez dans l’onglet Assignments.
  2. Cliquez sur Assign, puis sur Assign to People ou Assign to Groups.
  3. Sélectionnez les utilisateurs ou groupes qui doivent pouvoir se connecter, puis cliquez sur Assign et Save and Go Back.
Pour ajouter et mettre à jour les membres automatiquement au lieu de les attribuer manuellement, configurez le provisionnement SCIM pour Okta.

FAQ

Sélectionnez une question ci-dessous pour en savoir plus sur le SSO Okta.
Ajoutez une règle de politique d’accès sur l’authorization server par défaut (étape 4), désactivez Federation Broker Mode dans l’onglet General de l’application et confirmez que l’utilisateur est attribué à l’application.
L’authorization server par défaut d’Okta ne renvoie pas toujours le claim email. Configurez Okta via Advanced / Manual configuration et utilisez la Discovery URL /oauth2/default pour que l’e-mail soit renvoyé. Consultez la note à l’étape 5.
Oui. Les applications OIDC d’Okta ne prennent pas en charge SCIM, donc le SSO utilise une application OIDC et le SCIM utilise une application SCIM 2.0 séparée. Consultez Provisionnement SCIM pour Okta.
Cette page a été traduite à l’aide de l’IA. Pour les informations les plus précises et à jour, consultez la version anglaise.