Configurer l'authentification unique (SAML et OIDC)

CalendarBridge permet aux administrateurs d'organisation d'activer l'authentification unique afin que vos utilisateurs se connectent à CalendarBridge avec le même fournisseur d'identité qu'ils utilisent déjà pour tout le reste. Ce guide couvre les deux protocoles pris en charge, les valeurs exactes du fournisseur de service à transmettre à votre fournisseur d'identité, les mappages d'attributs, les tests et le dépannage.

C Chad Mis à jour le 16 juin 2026 8 min de lecture

L'authentification unique en bref

L'authentification unique (SSO) permet à votre équipe de s'authentifier auprès de CalendarBridge via le fournisseur d'identité (IdP) de votre organisation plutôt qu'avec un mot de passe CalendarBridge distinct. Lorsque le SSO est imposé, chaque utilisateur de votre domaine vérifié est redirigé vers votre IdP pour se connecter, et l'accès peut être accordé ou révoqué de manière centralisée.

Protocoles pris en charge : SAML 2.0 (initié par le SP) et OpenID Connect (OIDC) / flux de code d'autorisation OAuth 2.0.
Édition CalendarBridge : le SSO et le SCIM sont disponibles sur les forfaits Groupe (Organisation) de CalendarBridge. Ils se configurent depuis le portail Gérer l'organisation par un administrateur d'organisation. Voir Types de licences de compte de groupe et Licences ci-dessous.
Architecture : CalendarBridge est une application SaaS multi-locataires. Le SSO est configuré par domaine vérifié, de sorte que chaque client possède et contrôle sa propre connexion au fournisseur d'identité. CalendarBridge récupère et fait confiance uniquement aux métadonnées/certificat IdP que vous fournissez pour votre domaine.

Fournisseurs d'identité pris en charge

CalendarBridge fonctionne avec tout fournisseur d'identité SAML 2.0 ou OIDC conforme aux normes. Le portail Gérer l'organisation inclut des guides de configuration pas à pas intégrés pour les suivants :

Fournisseur d'identité	SAML 2.0	OpenID Connect	Documentation du fournisseur
Microsoft Entra ID (Azure AD)	Oui	Oui	Configurer le SSO dans Entra ID
Okta	Oui	Oui	Créer une application SAML/OIDC dans Okta
Google Workspace	Oui	—	Configurer une application SAML personnalisée
JumpCloud	Oui	—	SSO avec une application SAML personnalisée
Tout autre IdP SAML 2.0 / OIDC	Oui	Oui	Utilisez les valeurs génériques de cet article.

info

Référencement dans la galerie Microsoft Entra ID CalendarBridge prend en charge SAML 2.0 initié par le SP et par l'IdP et valide le certificat de signature, la fenêtre de validité, l'émetteur et l'audience de l'assertion SAML. Pour la configuration Entra ID recommandée, pointez CalendarBridge vers l'App Federation Metadata URL afin que la rotation des certificats soit gérée automatiquement.

Licences

Le SSO et le provisionnement SCIM sont inclus dans les abonnements Groupe (Organisation) de CalendarBridge. CalendarBridge ne facture aucun supplément distinct pour activer le SSO. Notez que certains fournisseurs d'identité réservent leurs fonctionnalités de provisionnement/SCIM à des éditions spécifiques — par exemple, le provisionnement automatique de Google Workspace nécessite Enterprise Standard, Enterprise Plus ou Education Plus. Le provisionnement automatique des utilisateurs de Microsoft Entra ID nécessite une licence Microsoft Entra ID P1 ou P2 dans votre locataire.

Qui peut configurer le SSO (accès basé sur les rôles)

Seul un administrateur d'organisation CalendarBridge peut afficher ou modifier les paramètres SSO et SCIM. Les membres ordinaires ne voient jamais ces contrôles. Pour gérer le SSO, vous devez :

Être administrateur du compte de groupe (voir Présentation du portail d'administration de groupe), et
Disposer d'au moins un domaine vérifié sur le compte. Le SSO est lié à un domaine vérifié — voir Connecter des domaines autorisés.

lightbulb

Conservez un administrateur de secours Lorsque vous imposez le SSO, assurez-vous qu'au moins un administrateur d'organisation peut encore accéder au compte si l'IdP est indisponible. Les administrateurs CalendarBridge conservent un chemin de contournement afin que vous ne soyez jamais bloqué lors d'une panne de l'IdP.

Ouvrir l'onglet Authentification unique

Ouvrez le portail Gérer l'organisation

Depuis votre tableau de bord CalendarBridge, cliquez sur Gérer votre organisation, ou accédez directement à calendarbridge.com/dashboard/organization.
Sélectionnez l'onglet Authentification unique

Choisissez l'onglet Authentification unique. Si vous n'avez pas encore configuré le SSO, vous verrez un bouton Configurer le SSO.
Cliquez sur Configurer le SSO

Choisissez votre protocole (SAML ou OIDC), attribuez le domaine vérifié auquel cette configuration s'applique, et sélectionnez votre fournisseur d'identité pour afficher un guide de configuration intégré spécifique au fournisseur.

Configurer SAML 2.0

La configuration SAML est un échange bidirectionnel : vous transmettez les valeurs du fournisseur de service (SP) de CalendarBridge à votre IdP, et vous transmettez en retour les métadonnées de votre IdP à CalendarBridge.

Valeurs du fournisseur de service à saisir dans votre IdP

Ce sont les valeurs que vous collez dans votre fournisseur d'identité lors de la création de l'application CalendarBridge. Les valeurs exactes et prêtes à copier pour votre compte s'affichent avec des boutons Copier dans l'onglet Authentification unique — copiez-les toujours depuis le portail plutôt que de les saisir à la main.

Champ (le libellé varie selon l'IdP)	Valeur
Entity ID / Audience URI / SP Entity ID	`urn:amazon:cognito:sp:<your-pool-id>` — copiez la valeur exacte depuis l'onglet SSO.
ACS URL / Reply URL / Single sign-on URL	`https://<your-CalendarBridge-auth-domain>/saml2/idpresponse` — copiez la valeur exacte depuis l'onglet SSO.
Name ID format	`EmailAddress` (e-mail persistant)
Binding	HTTP-POST pour l'assertion ; HTTP-Redirect pour la requête.

Mappages d'attributs requis

Mappez ces revendications dans votre IdP. Saisissez le nom de l'attribut d'application exactement comme indiqué — ils sont également listés avec des boutons de copie dans le portail.

Attribut d'application (saisir exactement)	Mappé depuis (dans votre IdP)
`email`	E-mail principal / E-mail / `user.mail`
`name`	Prénom / given name / `user.givenname`

Microsoft Entra ID (Azure AD) — SAML

Créez l'application

Dans le centre d'administration Microsoft Entra, accédez à Applications d'entreprise → Nouvelle application → Créer votre propre application → « Intégrer une autre application introuvable dans la galerie ».
Ouvrez Authentification unique → SAML
Dans Configuration SAML de base, saisissez :
- Identifiant (Entity ID) : l'Entity ID de l'onglet SSO de CalendarBridge.
- URL de réponse (ACS) : l'ACS URL de l'onglet SSO de CalendarBridge.
Configurez les attributs et revendications

Ajoutez les revendications email et name à partir des mappages d'attributs ci-dessus, et définissez le Name ID sur l'e-mail de l'utilisateur.
Copiez l'App Federation Metadata URL

Sous Certificat de signature SAML, copiez l'App Federation Metadata URL (elle se termine par /federationmetadata/2007-06/federationmetadata.xml). Utiliser l'URL — plutôt que de téléverser un fichier XML statique — permet à CalendarBridge de prendre en compte automatiquement les rotations de certificats.
Attribuez les utilisateurs, puis terminez dans CalendarBridge

Attribuez les utilisateurs ou groupes qui doivent avoir accès, puis revenez à l'onglet SSO de CalendarBridge, collez l'URL des métadonnées et enregistrez.

Okta, Google Workspace, JumpCloud et autres — SAML

Le déroulement est le même pour chaque IdP : créez une application SAML personnalisée, collez les valeurs du fournisseur de service, ajoutez les mappages d'attributs, puis transmettez les métadonnées de l'IdP à CalendarBridge. Le portail affiche les chemins de menu précis pour Okta, Google Workspace et JumpCloud lorsque vous sélectionnez ce fournisseur. Vous pouvez fournir les métadonnées de l'IdP de deux manières dans l'onglet SSO de CalendarBridge :

URL des métadonnées (recommandé) — collez l'URL des métadonnées de fédération de l'IdP ; CalendarBridge la récupère à nouveau de sorte que les rotations de certificats soient prises en compte automatiquement.
XML des métadonnées — téléversez le fichier .xml de métadonnées de l'IdP si votre fournisseur ne publie pas d'URL.

Configurer OpenID Connect (OIDC)

Pour les IdP que vous préférez connecter via OIDC/OAuth 2.0, CalendarBridge utilise le flux de code d'autorisation. Vous créerez une application Web dans votre IdP et fournirez trois valeurs à CalendarBridge.

URI de redirection à saisir dans votre IdP

Champ	Valeur
URI de redirection / URI de redirection de connexion (plateforme : Web)	`https://<your-CalendarBridge-auth-domain>/oauth2/idpresponse` — copiez la valeur exacte depuis l'onglet SSO.

Valeurs à saisir dans CalendarBridge

Champ CalendarBridge	Où le trouver dans votre IdP
Discovery URL	Le document de configuration OpenID de votre IdP, par ex. `https://<your-idp>/.well-known/openid-configuration`.
Client ID	De l'enregistrement d'application que vous avez créé.
Client Secret	Un secret que vous générez dans l'enregistrement d'application.

Autorisations (scopes) demandées et pourquoi

CalendarBridge ne demande que les scopes OIDC standard minimaux nécessaires pour identifier l'utilisateur qui se connecte. Il ne demande pas l'accès aux e-mails, fichiers ou données de calendrier via la connexion SSO.

Scope	Pourquoi il est demandé (justification métier)
`openid`	Requis pour effectuer l'authentification OpenID Connect et recevoir un jeton d'identité.
`email`	Utilisé comme identifiant unique de l'utilisateur pour l'associer à votre organisation CalendarBridge et à votre domaine vérifié.
`profile`	Lit le profil de base (prénom) pour renseigner le nom d'affichage de l'utilisateur à la première connexion.

info

Consentement au moindre privilège Ce sont des scopes délégués, réservés à la connexion. Un administrateur (ou l'utilisateur, selon la politique de consentement de votre locataire) accorde le consentement une fois à la première connexion. CalendarBridge ne demande aucune autorisation d'application ni aucune autorisation de messagerie/calendrier Microsoft Graph dans le cadre du SSO.

Microsoft Entra ID — OIDC

Enregistrez l'application

Dans le centre d'administration Microsoft Entra, accédez à Inscriptions d'applications → Nouvelle inscription.
Ajoutez l'URI de redirection

Ajoutez un URI de redirection de plateforme Web défini sur l'URI de redirection OIDC de CalendarBridge affiché dans l'onglet SSO.
Créez un secret client

Sous Certificats et secrets → Nouveau secret client, créez un secret et copiez immédiatement sa valeur.
Copiez l'URL de découverte (métadonnées)

Depuis Vue d'ensemble → Points de terminaison, copiez l'URL du document de métadonnées OpenID Connect. Collez l'URL de découverte, l'ID client et le secret client dans l'onglet SSO de CalendarBridge et enregistrez.

Imposer le SSO pour votre domaine

Par défaut, l'activation du SSO le rend disponible aux utilisateurs du domaine. Cochez Imposer le SSO dans le formulaire de configuration pour le rendre obligatoire : chaque utilisateur de ce domaine vérifié doit alors se connecter via votre IdP, et la connexion directe par mot de passe est désactivée pour lui.

warning

Testez avant d'imposer Confirmez qu'un utilisateur pilote peut se connecter via le SSO (section suivante) avant d'activer l'imposition, afin de ne pas bloquer les utilisateurs à cause d'une erreur de métadonnées ou de mappage d'attributs. Les administrateurs CalendarBridge conservent un chemin de contournement pour un accès de secours.

Tester avec des utilisateurs pilotes

Confirmez que la configuration est Active

Après l'enregistrement, la carte de configuration affiche un badge de statut. Attendez qu'il indique Active. Un badge En attente signifie que CalendarBridge n'a pas encore validé les métadonnées de l'IdP ; un badge Erreur en affiche la raison en ligne.
Attribuez un utilisateur pilote dans votre IdP

Attribuez un ou deux utilisateurs de test à l'application CalendarBridge dans votre IdP, mais laissez l'imposition désactivée pour l'instant.
Connectez-vous via le SSO

Demandez à l'utilisateur pilote de se connecter à CalendarBridge avec l'e-mail/domaine de votre organisation. Il doit être redirigé vers votre IdP puis ramené à CalendarBridge en étant connecté. Vérifiez que son nom et son e-mail ont été correctement renseignés.
Déployez

Une fois le pilote réussi, attribuez le reste de vos utilisateurs et, si vous le souhaitez, activez Imposer le SSO.

Dépannage

Si la carte de configuration affiche un statut Erreur, le message affiché sur la carte explique la défaillance spécifique. Cas courants :

Symptôme / message	Cause probable et solution
Statut bloqué sur En attente ou « impossible de récupérer les métadonnées »	L'URL des métadonnées est inaccessible ou a renvoyé un contenu non XML. Vérifiez que l'URL se charge dans un navigateur, ou passez au téléversement du fichier XML de métadonnées.
Erreur « Signature invalide » / « certificat »	Le certificat de signature de l'IdP a été renouvelé et les métadonnées stockées sont obsolètes. Réenregistrez en utilisant l'URL des métadonnées de l'IdP (recommandé) afin que les rotations soient prises en compte automatiquement, ou re-téléversez le XML actuel.
Incompatibilité « Audience » / « Issuer »	L'Entity ID / Audience URI de votre IdP ne correspond pas exactement à la valeur de l'onglet SSO. Recopiez-la depuis le portail.
L'utilisateur se connecte mais le nom/e-mail est vide ou rejeté	Les mappages d'attributs `email` et `name` sont manquants ou mal nommés. Revérifiez les mappages d'attributs requis — les noms sont sensibles à la casse.
« AADSTS50105 » / utilisateur non attribué (Entra ID)	L'utilisateur n'est pas attribué à l'application d'entreprise CalendarBridge dans Entra ID. Attribuez l'utilisateur ou son groupe.
Incompatibilité d'URL de redirection/réponse	L'ACS URL (SAML) ou l'URI de redirection (OIDC) de votre IdP ne correspond pas à la valeur de l'onglet SSO. Recopiez la valeur exacte.

Obtenir de l'aide

Si vous êtes bloqué après avoir vérifié le message d'erreur sur la carte de configuration et le tableau de dépannage ci-dessus, contactez le support CalendarBridge. Indiquez le domaine de votre organisation, le protocole (SAML/OIDC), votre fournisseur d'identité et le message de statut exact affiché sur la carte.

Contacter le support CalendarBridge
Configurer la synchronisation d'annuaire SCIM (provisionnement) — automatisez la création et la désactivation des utilisateurs une fois le SSO actif.