Authentification unique au niveau de l’organisationVersion bêta publique
Gérez l'authentification unique pour tous les comptes au sein de votre organisation.
Si votre entreprise dispose de plusieurs comptes Stripe et utilise l’authentification unique pour authentifier les utilisateurs, vous pouvez configurer l’authentification unique de manière centralisée à l’aide de Stripe Organizations. Vous pouvez ajouter des comptes ayant déjà une configuration d’authentification unique à votre organisation, ou configurer l’authentification unique pour tous vos comptes après avoir créé une organisation.
Ajouter des comptes pour lesquels vous avez configuré l’authentification unique à une organisation
Si vous disposez de plusieurs comptes pour lesquels l’authentification unique est configurée, vous ne pouvez pas conserver leurs paramètres d’authentification unique individuels dans votre organisation. Vous devez consolider plusieurs applications d’authentification en une seule application d’authentification pour plusieurs comptes.
Lorsque vous créez votre organisation, Stripe consolide les paramètres d’authentification unique de vos comptes sous les paramètres d’authentification des utilisateurs de votre organisation. Cette action met à jour les paramètres d’authentification unique de chaque compte en lecture seule. Vous pouvez toujours vous connecter à des comptes individuels, mais la modification des paramètres tels que les domaines vérifiés et l’application se fait exclusivement au niveau de l’organisation.
Après avoir configuré votre organisation avec l’authentification unique, vous pouvez ajouter des comptes qui n’utilisent pas l’authentification unique ou qui partagent la configuration d’authentification unique de l’organisation. Vous ne pouvez pas ajouter de comptes pour lesquels vous disposez d’une authentification unique distincte.
Configurer l’authentification unique dans l’ensemble de l’organisation
Au lieu de configurer l’authentification unique (SSO) séparément pour chaque compte, vous pouvez le faire de manière centralisée pour tous les comptes de votre organisation. Les domaines vérifiés ou les configurations SSO au niveau de l’organisation s’appliquent à tous les comptes de l’organisation.
Configuration initiale de l’authentification unique
Pour configurer l’authentification unique sur Stripe, consultez la rubrique Authentification unique.
Paramètres d’authentification unique pour chaque domaine
Vous pouvez configurer des paramètres d’authentification unique distincts pour chaque domaine vérifié ou réutiliser les mêmes pour plusieurs domaines. Par exemple, au sein d’une même organisation, vous pouvez exiger l’authentification unique pour un domaine, définir l’authentification unique comme facultative pour un autre, ou désactiver complètement cette option pour autoriser les connexions à l’aide d’une adresse e-mail et d’un mot de passe.
Fournisseurs d’identité multiples
Stripe vous permet d’avoir plusieurs fournisseurs d’identité lorsque chaque domaine vérifié n’a qu’un seul fournisseur d’identité. Par exemple, vous pouvez configurer votre compte de façon à ce que les utilisateurs disposant d’une adresse e-mail rocketrides. s’authentifient avec Okta, et ceux disposant d’une adresse e-mail rocketdelivery. s’authentifient avec AzureAD.
Attribuer des rôles au niveau du compte et de l’organisation
L’authentification unique au niveau de l’organisation fonctionne de la même manière que l’authentification unique pour les comptes individuels. Lorsque Stripe reçoit une assertion SAML d’un fournisseur d’identité, nous examinons les comptes et les rôles spécifiés dans cette assertion SAML. Sur la base de ces informations, Stripe attribue des rôles à l’utilisateur. Vous pouvez attribuer un seul rôle au niveau du compte, un seul rôle au niveau de l’organisation ou une combinaison de rôles au niveau du compte et de l’organisation.
Lors de l’attribution de ces rôles, utilisez les préfixes Stripe-Role-{accountID} ou Stripe-Role-{org-id} pour les ID de compte et d’organisation respectivement. Nous attribuons les déclarations qui incluent un identifiant de compte au niveau du compte et les déclarations qui incluent des identifiants d’organisation au niveau de l’organisation. En savoir plus sur les rôles au niveau du compte et de l’organisation.
Dans l’extrait d’assertion SAML ci-dessous, trois affirmations sont faites pour l’utilisateur :
- Dans
acct_, l’utilisateur se voit attribuer le rôleONE developer - Dans
acct_, l’utilisateur se voit attribuer le rôleTWO developer - Dans
org_, l’utilisateur se voit attribuer le rôleALPHA view-only
Suite à ces affirmations, Stripe accorde à cet utilisateur une session avec le rôle developer (développeur) dans les comptes acct_ et acct_. De plus, nous attribuons le rôle view-only (lecture seule) à l’organisation org-ALPHA et à tous les comptes de cette organisation :
<saml2:Attribute Name="Stripe-Role-acct_ONE" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified"> <saml2:AttributeValue xmlns:xs="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">developer</saml2:AttributeValue> </saml2:Attribute> <saml2:Attribute Name="Stripe-Role-acct_TWO" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified"> <saml2:AttributeValue xmlns:xs="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">developer</saml2:AttributeValue> <saml2:Attribute Name="Stripe-Role-org_ALPHA" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified"> <saml2:AttributeValue xmlns:xs="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">view_only</saml2:AttributeValue>