> ## Documentation Index
> Fetch the complete documentation index at: https://docs.base44.com/llms.txt
> Use this file to discover all available pages before exploring further.

# Configurer le SSO pour Okta

> Permettez à votre équipe de se connecter à votre espace enterprise Base44 avec ses identifiants Okta.

Okta permet à votre équipe de se connecter à votre espace enterprise Base44 avec ses identifiants Okta existants. Vous créez une application OIDC dans Okta, autorisez Base44 à l'utiliser, puis ajoutez ses informations dans votre espace de travail. Pour ajouter et mettre à jour les membres automatiquement, configurez séparément le [provisionnement SCIM pour Okta](/Enterprise/Okta-SCIM).

<Warning>
  L'authentification unique (SSO) pour espace de travail est disponible uniquement pour les espaces enterprise. Si vous ne voyez pas cette option, contactez votre équipe de compte Base44.
</Warning>

***

## Avant de commencer

Assurez-vous d'avoir :

* Un accès propriétaire ou administrateur à votre espace enterprise Base44.
* Un accès administrateur à votre organisation Okta.
* Votre **workspace ID**, la chaîne de caractères qui suit `/workspace/` dans l'URL de votre espace enterprise.
* Votre **Okta domain**, la partie avant `.okta.com` (par exemple, `your-company`).

***

## Configurer l'authentification unique

Créez une application OIDC dans Okta, autorisez Base44 à l'utiliser, puis ajoutez ses informations dans votre espace de travail.

### Étape 1 : créer une application OIDC

Créez l'application OIDC qui représente la connexion Base44.

**Pour créer l'application :**

1. Dans la console d'administration Okta, allez dans **Applications** > **Applications**, puis cliquez sur **Create App Integration**.
2. Définissez **Sign-in method** sur **OIDC - OpenID Connect**.
3. Définissez **Application type** sur **Web Application**.
4. Cliquez sur **Next**.

<Frame caption="Création d'une intégration d'application OIDC dans Okta">
  <img src="https://mintcdn.com/base44/oUaRpzSyJvMVshj9/images/SSOOkta1.png?fit=max&auto=format&n=oUaRpzSyJvMVshj9&q=85&s=cae204f1199c671d22d0a00287a29b19" alt="Okta Create a new app integration dialog with OIDC and Web Application selected" width="1137" height="859" data-path="images/SSOOkta1.png" />
</Frame>

### Étape 2 : configurer l'application

Définissez le nom de l'application, les redirect URIs et qui peut l'utiliser.

**Pour configurer l'application :**

1. Saisissez un **App name**, par exemple `Base44 - your workspace name`.
2. Sous **Sign-in redirect URIs**, ajoutez l'URL de callback de votre espace de travail, en remplaçant `{{WORKSPACE_ID}}` par votre workspace ID : `https://app.base44.com/api/workspaces/{{WORKSPACE_ID}}/auth/sso/callback`
3. Sous **Sign-out redirect URIs**, ajoutez `https://app.base44.com`.
4. Sous **Controlled access**, choisissez qui peut utiliser l'application, par exemple **Allow everyone in your organization to access**.
5. Cliquez sur **Save**.

<Frame caption="Configuration des redirect URIs de connexion et de déconnexion dans Okta">
  <img src="https://mintcdn.com/base44/oUaRpzSyJvMVshj9/images/SSOOkta2.png?fit=max&auto=format&n=oUaRpzSyJvMVshj9&q=85&s=1ed1a3069119d41f302243ee0a3bbfae" alt="Okta application sign-in and sign-out redirect URI settings" width="1266" height="441" data-path="images/SSOOkta2.png" />
</Frame>

### Étape 3 : obtenir vos identifiants

Depuis l'onglet **General** de l'application, copiez :

* **Client ID**
* **Client Secret**
* Votre **Okta domain**, uniquement le sous-domaine (par exemple, `your-company`, pas `your-company.okta.com`).

### Étape 4 : autoriser Base44 dans votre authorization server

Okta n'émet des tokens qu'aux applications qu'une politique de l'authorization server autorise.

**Pour ajouter une règle de politique d'accès :**

1. Allez dans **Security** > **API** > **Authorization Servers**, puis ouvrez le serveur **default**.
2. Dans l'onglet **Access Policies**, cliquez sur **Add Rule**, ou modifiez une règle existante.
3. Nommez la règle (par exemple, `Allow Base44`), définissez le type d'octroi sur **Authorization Code**, et appliquez-la à votre application Base44 (ou à tous les clients), à tous les utilisateurs et à tous les scopes.
4. Cliquez sur **Create Rule**.

<Note>
  Dans l'onglet **General** de votre application Base44 dans Okta, désactivez **Federation Broker Mode**. Si activé, la connexion peut échouer avec « You are not allowed to access this app. »
</Note>

### Étape 5 : ajouter vos informations dans Base44

Ajoutez les identifiants de l'application OIDC à votre espace de travail.

**Pour configurer le SSO dans Base44 :**

1. Cliquez sur le nom de votre espace de travail en haut à gauche de votre compte.
2. Cliquez sur **Settings**.
3. Cliquez sur **Auth and security**.
4. Activez le paramètre à côté de **Single Sign-On Configuration**.
5. Dans **Select SSO Provider**, choisissez **Okta**.
6. Saisissez votre **Client ID**, **Client Secret** et **Okta Domain** (uniquement le sous-domaine).
7. Conservez **Scope** à `openid email profile`.
8. La **Discovery URL** se remplit automatiquement à partir de votre Okta domain.
9. Cliquez sur **Enable SSO**.

<Frame caption="Paramètres SSO Okta dans votre espace de travail Base44">
  <img src="https://mintcdn.com/base44/oUaRpzSyJvMVshj9/images/SSOOkta4.png?fit=max&auto=format&n=oUaRpzSyJvMVshj9&q=85&s=f68bd5a8d3b1c57b8f8bd1f7581c0a61" alt="Base44 Auth and security panel configured with Okta as the SSO provider" width="950" height="473" data-path="images/SSOOkta4.png" />
</Frame>

<Warning>
  La Discovery URL auto-générée n'est correcte que pour une organisation Okta standard sur son domaine `.okta.com` par défaut. Si l'un des cas ci-dessous s'applique, la valeur par défaut est erronée et la connexion échoue. Configurez alors Okta via **Advanced / Manual configuration** et saisissez la Discovery URL manuellement :

  * **Utilisez la Discovery URL `/oauth2/default` :** pointez Base44 vers votre authorization server Okta pour que le claim `email` soit renvoyé : `https://your-domain.okta.com/oauth2/default/.well-known/openid-configuration`. Si votre organisation n'a pas d'authorization server personnalisé, cette adresse renvoie un 404. Dans ce cas, utilisez `https://your-domain.okta.com/.well-known/openid-configuration` et mappez le claim `email` dans le profil de votre application Okta.
  * **Domaine Okta personnalisé :** si votre équipe se connecte via un domaine personnalisé de marque (par exemple, `login.your-company.com`), utilisez ce domaine exact dans la Discovery URL, pas le `your-company.okta.com` par défaut. Okta émet des tokens depuis le domaine par lequel les personnes se connectent, une différence fait échouer la validation de l'émetteur (`iss`) et la connexion échoue.
</Warning>

### Étape 6 : attribuer les utilisateurs

Les personnes peuvent se connecter une fois qu'elles sont attribuées à votre application Okta.

**Pour attribuer des utilisateurs :**

1. Dans votre application Okta, allez dans l'onglet **Assignments**.
2. Cliquez sur **Assign**, puis sur **Assign to People** ou **Assign to Groups**.
3. Sélectionnez les utilisateurs ou groupes qui doivent pouvoir se connecter, puis cliquez sur **Assign** et **Save and Go Back**.

<Tip>
  Pour ajouter et mettre à jour les membres automatiquement au lieu de les attribuer manuellement, configurez le [provisionnement SCIM pour Okta](/Enterprise/Okta-SCIM).
</Tip>

***

## FAQ

Sélectionnez une question ci-dessous pour en savoir plus sur le SSO Okta.

<AccordionGroup>
  <Accordion title="La connexion échoue avec 'You are not allowed to access this app'">
    Ajoutez une règle de politique d'accès sur l'authorization server par défaut (étape 4), désactivez **Federation Broker Mode** dans l'onglet **General** de l'application et confirmez que l'utilisateur est attribué à l'application.
  </Accordion>

  <Accordion title="La connexion échoue avec une erreur d'e-mail">
    L'authorization server par défaut d'Okta ne renvoie pas toujours le claim `email`. Configurez Okta via **Advanced / Manual configuration** et utilisez la Discovery URL `/oauth2/default` pour que l'e-mail soit renvoyé. Consultez la note à l'étape 5.
  </Accordion>

  <Accordion title="Ai-je besoin d'applications Okta séparées pour SSO et SCIM ?">
    Oui. Les applications OIDC d'Okta ne prennent pas en charge SCIM, donc le SSO utilise une application OIDC et le SCIM utilise une application SCIM 2.0 séparée. Consultez [Provisionnement SCIM pour Okta](/Enterprise/Okta-SCIM).
  </Accordion>
</AccordionGroup>

<Note>Cette page a été traduite à l'aide de l'IA. Pour les informations les plus précises et à jour, consultez la [version anglaise](/). </Note>
