Authentification unique au niveau de l’organisationVersion bêta publique
Gérez l'authentification unique pour tous les comptes au sein de votre organisation.
Si votre entreprise dispose de plusieurs comptes Stripe et utilise l’authentification unique pour authentifier les utilisateurs, vous pouvez configurer l’authentification unique de manière centralisée à l’aide de Stripe Organizations. Vous pouvez ajouter des comptes ayant déjà une configuration d’authentification unique à votre organisation, ou configurer l’authentification unique pour tous vos comptes après avoir créé une organisation.
Ajouter des comptes pour lesquels vous avez configuré l’authentification unique à une organisation
Si vous avez déjà configuré l’authentification unique sur plusieurs comptes, vous devez veiller à ce que vos comptes partagent les mêmes paramètres SSO pour pouvoir les ajouter à une organisation. Pour ce faire, vous devez consolider les applications de fournisseurs d’identité (IdP) et les intégrations SSO de chaque compte Stripe en une seule intégration par IdP. Découvrez comment consolider les intégrations SSO de vos comptes Stripe existants.
Lorsque vous créez votre organisation, Stripe consolide les paramètres d’authentification unique de vos comptes sous les paramètres d’authentification des utilisateurs de votre organisation. Cette action modifie les paramètres d’authentification unique de chaque compte en lecture seule. Les utilisateurs du compte peuvent toujours se connecter à leurs comptes sans utiliser l’authentification unique. Cependant, vous pouvez uniquement modifier des paramètres spécifiques (tels que les paramètres liés aux domaines vérifiés et leur exécution) au niveau de l’organisation.
Après avoir configuré votre organisation avec l’authentification unique, vous pouvez ajouter des comptes qui n’utilisent pas l’authentification unique et des comptes qui partagent la configuration d’authentification unique de l’organisation.
Configurer l’authentification unique dans l’ensemble de l’organisation
Au lieu de configurer l’authentification unique (SSO) séparément pour chaque compte, vous pouvez le faire de manière centralisée pour tous les comptes de votre organisation. Les domaines vérifiés ou les configurations SSO au niveau de l’organisation s’appliquent à tous les comptes de l’organisation.
Configuration initiale de l’authentification unique
Pour configurer l’authentification unique sur Stripe, consultez la rubrique Authentification unique.
Paramètres d’authentification unique pour chaque domaine
Vous pouvez configurer des paramètres d’authentification unique distincts pour chaque domaine vérifié ou réutiliser les mêmes pour plusieurs domaines. Par exemple, au sein d’une même organisation, vous pouvez exiger l’authentification unique pour un domaine, définir l’authentification unique comme facultative pour un autre, ou désactiver complètement cette option pour autoriser les connexions à l’aide d’une adresse e-mail et d’un mot de passe.
Fournisseurs d’identité multiples
Stripe vous permet d’avoir plusieurs fournisseurs d’identité lorsque chaque domaine vérifié n’a qu’un seul fournisseur d’identité. Par exemple, vous pouvez configurer votre compte de façon à ce que les utilisateurs disposant d’une adresse e-mail rocketrides. s’authentifient avec Okta, et ceux disposant d’une adresse e-mail rocketdelivery. s’authentifient avec AzureAD.
Attribuer des rôles au niveau du compte et de l’organisation
L’authentification unique au niveau de l’organisation fonctionne de la même manière que l’authentification unique pour les comptes individuels. Lorsque Stripe reçoit une assertion SAML d’un fournisseur d’identité, nous examinons les comptes et les rôles spécifiés dans cette assertion SAML. Sur la base de ces informations, Stripe attribue des rôles à l’utilisateur. Vous pouvez attribuer un seul rôle au niveau du compte, un seul rôle au niveau de l’organisation ou une combinaison de rôles au niveau du compte et de l’organisation.
Lors de l’attribution de ces rôles, utilisez les préfixes Stripe-Role-{accountID} ou Stripe-Role-{org-id} pour les ID de compte et d’organisation respectivement. Nous attribuons les déclarations qui incluent un identifiant de compte au niveau du compte et les déclarations qui incluent des identifiants d’organisation au niveau de l’organisation. En savoir plus sur les rôles au niveau du compte et de l’organisation.
Dans l’extrait d’assertion SAML ci-dessous, trois affirmations sont faites pour l’utilisateur :
- Dans
acct_, l’utilisateur se voit attribuer le rôleONE developer - Dans
acct_, l’utilisateur se voit attribuer le rôleTWO developer - Dans
org_, l’utilisateur se voit attribuer le rôleALPHA view-only
Suite à ces affirmations, Stripe accorde à cet utilisateur une session avec le rôle developer (développeur) dans les comptes acct_ et acct_. De plus, nous attribuons le rôle view-only (lecture seule) à l’organisation org-ALPHA et à tous les comptes de cette organisation :
<saml2:Attribute Name="Stripe-Role-acct_ONE" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified"> <saml2:AttributeValue xmlns:xs="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">developer</saml2:AttributeValue> </saml2:Attribute> <saml2:Attribute Name="Stripe-Role-acct_TWO" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified"> <saml2:AttributeValue xmlns:xs="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">developer</saml2:AttributeValue> <saml2:Attribute Name="Stripe-Role-org_ALPHA" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified"> <saml2:AttributeValue xmlns:xs="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">view_only</saml2:AttributeValue>