Ce guide explique comment configurer Méthodes de connexion et
Authentification multifactorielle dans FoxPlan pour une entreprise.

Où configurer dans FoxPlan #

1. Se connecter en tant que Administrateur d'entreprise.
2. Aller à Paramètres → Compte FoxPlan.
3. Ouvert :
   • Méthodes de connexion (paramètres SSO)
   • Authentification multifactorielle (paramètres de l'AMF)

Étiquettes FoxPlan (UI) #

Méthodes de connexion #

• Méthodes de connexion autorisées
• Connexion Google
• Connexion Microsoft
• Mot de passe
• SSO d'entreprise

Important : Les administrateurs d'entreprise gardent toujours Mot de passe l'ouverture de session est activée.

Authentification multifactorielle #

• Méthodes d'authentification multifactorielle disponibles
• Pas d'AMF
• TOTP (Google Authenticator / Microsoft Authenticator / Okta / Keycloak / ...)
• Courriel

Comment fonctionne le flux de connexion #

1. L'utilisateur saisit son adresse électronique et clique sur Suivant.
2. FoxPlan résout le problème de l'entreprise lié à cet e-mail.
3. FoxPlan affiche les méthodes disponibles pour cette entreprise.
4. L'utilisateur continue avec le mot de passe ou le SSO selon les méthodes activées.

MFA Comportement #

• La contestation de l'AMF est demandée Mot de passe les flux d'inscription.
• Pour les flux SSO, l'assurance de l'authentification est gérée par votre fournisseur d'identité (IdP).

Configuration du SSO d'entreprise (OIDC) #

Enterprise SSO prend en charge les fournisseurs OIDC tels que Okta, Keycloak,
Google, Microsoft, et des fournisseurs OIDC personnalisés.

1) Configuration du fournisseur d'identité #

• Créer une application OIDC de type Web.
• Configurer l'URI de redirection (callback) vers FoxPlan :

  {origin}/login/oauth2/code/{registrationId}

• Collecter :
  • Identifiant du client
  • Secret du client (si le mode d'authentification de votre client IdP en prévoit un)
  • URI de l'émetteur

2) Formulaire FoxPlan SSO #

• Fournisseur: Google / Microsoft / Okta / Keycloak / OIDC personnalisé
• Nom d'affichage
• Identifiant du client
• Secret du client
• URI de l'émetteur (obligatoire pour les fournisseurs OIDC standard)
• Scopes: openid, profil, email
• Attribut du nom d'utilisateur: typiquement sous (ou courriel)
• Activé: ON

Le site URI de redirection (OIDC) Le champ affiché dans FoxPlan est copiable et basé sur l'environnement.

Format de l'identifiant d'enregistrement #

FoxPlan utilise :

{enterpriseId}-{provider}

Exemple :

e20535ea-5feb-41be-9662-74cfb99045fa-okta

Notes du fournisseur #

Google #

• URI de l'émetteur : https://accounts.google.com
• Portée : openid, profil, email

Microsoft (Azure AD / Entra ID) #

• Modèle d'URI de l'émetteur :

  https://login.microsoftonline.com/{tenantId}/v2.0

• Portée : openid, profil, email

Okta #

• Utiliser un OIDC Web app.
• Dans la plupart des configurations, l'émetteur doit être l'émetteur de votre serveur d'autorisation (comprenant généralement /oauth2/default).
• S'assurer que l'utilisateur est affecté à l'application et qu'il est autorisé par la politique/les règles d'accès.

Keycloak #

• Utiliser l'URI de l'émetteur du domaine.
• S'assurer que le client est configuré pour le flux de code d'autorisation et qu'il dispose de l'URI de redirection FoxPlan.

Configuration de l'AMF dans FoxPlan #

1. Ouvrir Authentification multifactorielle.
2. Sélectionnez une ou plusieurs méthodes :
   • TOTP (Google Authenticator / Microsoft Authenticator / Okta / Keycloak / ...)
   • Courriel
   • ou Pas d'AMF
3. Cliquez sur Économiser.

Liste de contrôle pour le dépannage #

• L'URI de redirection dans l'IdP correspond exactement à l'URI copiable de FoxPlan. URI de redirection (OIDC).
• La configuration SSO est Activé.
• L'adresse électronique de l'utilisateur appartient à la bonne entreprise.
• Pour Okta/Azure/Keycloak, vérifier les politiques d'affectation et d'accès.
• Si vous utilisez la connexion par mot de passe + MFA, vérifiez que l'utilisateur dispose d'un enregistrement MFA valide (secret TOTP ou chemin d'accès au courrier électronique).

Notes sur la sécurité et les opérations #

• Chaque entreprise dispose d'une configuration et de politiques d'ouverture de session indépendantes.
• Supprimez les anciens fournisseurs de la communication avec les utilisateurs s'ils ne sont pas activés dans votre locataire.
• Documenter à la fois le parcours de l'utilisateur et le comportement de l'administrateur (en particulier la disponibilité des mots de passe pour les administrateurs).