Skip to content

Connexion initiée par le fournisseur de services (SP)

Cet article vous explique comment activer l’authentification unique SAML pour votre compte Braze et comment obtenir une trace SAML.

Conditions requises

Lors de la configuration, il vous sera demandé de fournir une URL de connexion et une URL ACS (Assertion Consumer Service).

Configuration de l’authentification unique (SSO) SAML

Étape 1 : Configurer votre fournisseur d’identité

Configurez Braze en tant que fournisseur de services (SP) dans votre fournisseur d’identité (IdP) avec les informations suivantes. De plus, configurez le mappage des attributs SAML.

Attribut SAML Requis ? Attributs SAML acceptés
email Requis email
mail
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/email
first_name Facultatif first_name
firstname
firstName
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/first_name
last_name Facultatif last_name
lastname
lastName
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/last_name

Étape 2 : Configurer Braze

Une fois la configuration de Braze terminée dans votre fournisseur d’identité, celui-ci vous fournira une URL cible et un certificat x.509 à saisir dans votre compte Braze.

Une fois que votre gestionnaire de compte a activé l’authentification unique (SSO) SAML pour votre compte, accédez à Paramètres > Paramètres d’administration > Paramètres de sécurité et basculez la section authentification unique (SSO) SAML sur ACTIVÉ.

Sur la même page, saisissez les informations suivantes :

Assurez-vous que votre certificat x.509 respecte ce format lorsque vous l’ajoutez au tableau de bord :

1
2
3

-----BEGIN CERTIFICATE-----
<certificate>
-----END CERTIFICATE-----

Paramètres de l'authentification unique (SSO) SAML avec le basculement sélectionné.

Étape 3 : Se connecter à Braze

Enregistrez vos paramètres de sécurité et déconnectez-vous. Ensuite, reconnectez-vous avec votre fournisseur d’identité.

Écran de connexion au tableau de bord avec l'authentification unique activée

Configuration de votre RelayState

  1. Dans Braze, accédez à Paramètres > Clés API.
  2. Dans l’onglet Clés API, sélectionnez le bouton Créer une clé API.
  3. Dans le champ Nom de la clé API, saisissez un nom pour votre clé.
  4. Développez le menu déroulant SSO sous Autorisations et cochez sso.saml.login.

    La section « Autorisations » avec sso.saml.login coché.

  5. Sélectionnez Créer une clé API.
  6. Dans l’onglet Clés API, copiez l’identifiant à côté de la clé API que vous avez créée.
  7. Collez la clé API RelayState dans le champ RelayState de votre IdP (il peut également apparaître sous le nom « Relay State » ou « Default Relay State » selon votre IdP).

Comportement de l’authentification unique

Les membres qui choisissent d’utiliser l’authentification unique ne pourront plus utiliser leur mot de passe comme auparavant. Les utilisateurs qui continuent à utiliser leur mot de passe pourront le faire, sauf restriction par les paramètres suivants.

Restriction

Vous pouvez restreindre les membres de votre organisation à se connecter uniquement via Google SSO ou l’authentification unique (SSO) SAML. Pour activer les restrictions, accédez à Paramètres de sécurité et sélectionnez Imposer la connexion Google SSO uniquement ou Imposer la connexion SSO SAML personnalisée uniquement.

Exemple de configuration de la section « Règles d'authentification » avec une longueur minimale de mot de passe de 8 caractères et une réutilisation de mot de passe limitée à 3 fois. Les mots de passe expireront après 180 jours et les utilisateurs seront déconnectés après 1 440 minutes d'inactivité.

En activant les restrictions, les utilisateurs Braze de votre entreprise ne pourront plus se connecter avec un mot de passe, même s’ils se sont déjà connectés avec un mot de passe auparavant.

Obtenir une trace SAML

Si vous rencontrez des problèmes de connexion liés à l’authentification unique, obtenir une trace SAML peut vous aider à résoudre les problèmes de votre connexion SSO en identifiant ce qui est envoyé dans les requêtes SAML.

Conditions préalables

Pour exécuter une trace SAML, vous aurez besoin d’un traceur SAML. Voici deux options possibles selon votre navigateur :

Étape 1 : Ouvrir le traceur SAML

Sélectionnez le traceur SAML dans la barre de navigation de votre navigateur. Assurez-vous que Pause n’est pas sélectionné, car cela empêcherait le traceur SAML de capturer ce qui est envoyé dans les requêtes SAML. Lorsque le traceur SAML est ouvert, vous le verrez remplir la trace.

Traceur SAML pour Google Chrome.

Étape 2 : Se connecter à Braze via l’authentification unique

Accédez à votre tableau de bord de Braze et essayez de vous connecter via l’authentification unique. Si vous rencontrez une erreur, ouvrez le traceur SAML et réessayez. Une trace SAML a été collectée avec succès s’il y a une ligne avec une URL comme https://dashboard-XX.braze.com/auth/saml/callback et une étiquette SAML orange.

Étape 3 : Exporter et envoyer à Braze

Sélectionnez Export. Pour Select cookie-filter profile, sélectionnez None. Ensuite, sélectionnez Export. Cela générera un fichier JSON que vous pourrez envoyer à l’assistance Braze pour une résolution des problèmes plus approfondie.

Menu « Export SAML-trace preferences » avec l'option « None » sélectionnée.

Résolution des problèmes

L’adresse e-mail de l’utilisateur est-elle correctement configurée ?

Si vous obtenez l’erreur ERROR_CODE_SSO_INVALID_EMAIL, l’adresse e-mail de l’utilisateur n’est pas valide. Vérifiez dans la trace SAML que le champ saml2:Attribute Name="email" correspond à l’adresse e-mail que l’utilisateur utilise pour se connecter. Si vous utilisez Microsoft Entra ID (anciennement Azure Active Directory), le mappage d’attribut est email = user.userprincipalname.

L’adresse e-mail est sensible à la casse et doit correspondre exactement à celle qui a été configurée dans Braze, y compris celle configurée dans votre fournisseur d’identité (comme Okta, OneLogin, Microsoft Entra ID et autres).

D’autres erreurs indiquant des problèmes avec l’adresse e-mail de l’utilisateur incluent :

  • ERROR_CODE_SSO_EMAIL_DOES_NOT_EXIST : L’adresse e-mail de l’utilisateur n’existe pas dans le tableau de bord.
  • ERROR_CODE_SSO_SESSION_SIGN_IN_EMAIL_MISSING : L’adresse e-mail de l’utilisateur est vide ou mal configurée.
  • ERROR_CODE_SSO_SESSION_SIGN_IN_EMAIL_MISMATCH ou ERROR_CODE_SSO_SIGN_IN_EMAIL_MISMATCH : L’adresse e-mail de l’utilisateur ne correspond pas à celle utilisée pour configurer l’authentification unique.

Disposez-vous d’un certificat SAML valide (certificat x.509) ?

Vous pouvez valider votre certificat SAML à l’aide de cet outil de validation SAML. Notez qu’un certificat SAML expiré est également un certificat SAML invalide.

Avez-vous téléchargé le bon certificat SAML (certificat x.509) ?

Vérifiez que le certificat dans la section ds:X509Certificate de la trace SAML correspond à celui que vous avez téléchargé dans Braze. Cela n’inclut pas l’en-tête -----BEGIN CERTIFICATE----- et le pied de page -----END CERTIFICATE-----.

Avez-vous mal saisi ou mal formaté votre certificat SAML (certificat x.509) ?

Vérifiez qu’il n’y a pas d’espaces blancs ou de caractères supplémentaires dans le certificat que vous avez soumis dans le tableau de bord de Braze.

Lorsque vous saisissez votre certificat dans Braze, il doit être encodé en PEM (Privacy Enhanced Mail) et correctement formaté (y compris l’en-tête -----BEGIN CERTIFICATE----- et le pied de page -----END CERTIFICATE-----).

Voici un exemple de certificat correctement formaté :

1
2
3

-----BEGIN CERTIFICATE-----
THIS_IS_A_MOCKED_CERTIFICATE_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
-----END CERTIFICATE-----

Le jeton de session de l’utilisateur est-il valide ?

Demandez à l’utilisateur concerné de vider le cache et les cookies de son navigateur, puis d’essayer de se reconnecter avec l’authentification unique (SSO) SAML.

Avez-vous configuré votre RelayState ?

Si vous obtenez l’erreur ERROR_CODE_SSO_INVALID_RELAY_STATE, votre RelayState pourrait être mal configuré ou inexistant. Si ce n’est pas déjà fait, vous devez configurer votre RelayState dans votre système de gestion IdP. Pour les étapes à suivre, consultez Configuration de votre RelayState.

L’utilisateur est-il bloqué dans une boucle de connexion entre Okta et Braze ?

Si un utilisateur ne peut pas se connecter parce qu’il est bloqué dans un cycle entre l’authentification unique Okta et le tableau de bord de Braze, vous devez accéder à Okta et définir la destination de l’URL SSO sur votre instance Braze (par exemple, https://dashboard-07.braze.com).

Si vous utilisez un autre IdP, vérifiez si votre entreprise a téléchargé le bon certificat SAML ou x.509 dans Braze.

Utilisez-vous une intégration manuelle ?

Si votre entreprise n’a pas téléchargé l’application Braze depuis la boutique d’applications de votre IdP, vous devez télécharger l’intégration préconfigurée. Par exemple, si Okta est votre IdP, vous devez télécharger l’application Braze depuis leur page d’intégration.

Étapes suivantes

Après avoir configuré l’authentification unique (SSO) SAML, vous pouvez :
New Stuff!