Simplifiez l'authentification de vos équipes à l'outil en toute sécurité. Connectez SatisFactory à votre environnement Microsoft Azure pour centraliser la gestion des accès et offrir une authentification fluide à vos collaborateurs.
Dans un environnement professionnel où la sécurité des données est primordiale, l'authentification unique (SSO) est un standard indispensable. Cet article détaille la procédure permettant de configurer la connexion à la plateforme SatisFactory via votre compte Microsoft d'entreprise, via la fédération Entra ID.
Grâce à cette intégration, vos utilisateurs n'ont plus besoin de retenir de nouveaux identifiants pour accéder à leurs tableaux de bord et analyses.
⚠️ Cet article est dédié au paramétrage de l'authentification SatisFactory par SSO Microsoft Azure via la fédération Entra ID. Une intégration standard est également disponible pour le SSO Google.
Si vous utilisez un autre fournisseur d'identité ou système de fédération, un développement spécifique sera nécessaire. Nous vous invitons à vous rapprocher de votre interlocuteur SatisFactory habituel pour en évaluer la faisabilité et le coût.
Description
La plateforme SatisFactory s'appuie sur sa propre application Microsoft Entra ID multi-tenant.
L'avantage de cette architecture réside dans le fait que vous n'avez absolument rien à développer, configurer ou héberger de votre côté. Votre unique responsabilité en tant qu'administrateur consiste à accorder le consentement global (Admin consent) dans votre annuaire Microsoft. Cette action, à réaliser une seule fois, suffit pour autoriser la communication sécurisée avec SatisFactory et débloquer l'accès pour l'ensemble de vos utilisateurs.
| Élément | Valeur |
| ID de l'application (client) | 3786a7c4-e19d-4ad8-b145-da0df05e9f24 |
| Nom de l'application | Feedback (SatisFactory) |
| Autorité | https://login.microsoftonline.com/common (multi-tenant) |
| URI de redirection | https://feedback.satisfactory.fr |
| Protocole de connexion | OpenID Connect (OIDC) - Code d'autorisation avec PKCE via popup MSAL.js |
| Permissions déléguées requises | openid, profile, email, User.Read (Microsoft Graph) |
| Tokens utilisés | ID token uniquement |
Prérequis
Un utilisateur souhaitant se connecter à SatisFactory par SSO Microsoft Azure Entra ID doit :
- posséder un compte professionnel actif dans votre Entra ID tenant
- avoir l'application d'entreprise "Feedback" autorisée
- avoir été créé sur la plateforme SatisFactory avec une adresse email strictement identique au preferred_username / UPN dans Entra ID
Accorder le consentement de l'administrateur
Selon les règles de sécurité configurées sur votre annuaire (tenant), il est possible que vos utilisateurs soient bloqués lors de leur première tentative de connexion et rencontrent le code d'erreur "AADSTS65001".
Cela signifie simplement que l'application SatisFactory nécessite l'approbation préalable d'un administrateur pour autoriser le SSO.
Pour débloquer la situation, deux méthodes s'offrent à vous :
Option 1 : Consentement via URL d'approbation directe
La méthode par URL de consentement est la méthode recommandée par SatisFactory, il s'agit de l'option la plus simple et la plus rapide à mettre en œuvre.
Tout d'abord, assurez-vous d'être connecté à votre session Microsoft avec un compte disposant des droits d'Administrateur général (Global Administrator).
Cliquez ensuite sur le lien de consentement sécurisé suivant pour déclencher la demande :
https://login.microsoftonline.com/common/adminconsent?client_id=3786a7c4-e19d-4ad8-b145-da0df05e9f24
Une fenêtre Microsoft classique s'ouvrira, listant les permissions basiques requises par SatisFactory pour s'exécuter.
Cliquez sur le bouton "Accepter" pour valider l'intégration pour l'ensemble de votre organisation.
Option 2 : Consentement depuis le portail Entra
Si vous préférez effectuer cette action directement depuis votre interface d'administration habituelle Entra, ou si le lien direct de l'Option 1 n'est pas accessible, voici la marche à suivre :
Connectez-vous au centre d'administration Microsoft à l'adresse suivante avec vos identifiants administrateur : https://entra.microsoft.com
Dans le menu latéral, déroulez "Identité", puis "Applications", et cliquez sur "Applications d'entreprise".
Dans la barre de recherche des applications, copiez-collez l'ID unique de l'application SatisFactory : "3786a7c4-e19d-4ad8-b145-da0df05e9f24".
Cliquez sur l'application "Feedback" trouvée pour ouvrir ses paramètres.
Dans le menu latéral gauche, rendez-vous dans la section "Autorisations", puis cliquez sur le bouton "Accorder un consentement d'administrateur" (Grant admin consent).
Confirmez l'opération dans la fenêtre Microsoft qui s'ouvre. L'accès est désormais débloqué pour vos utilisateurs.
Paramètres de sécurité avancés (optionnel)
Par défaut, dès que le consentement est accordé à l'application de SatisFactory, n'importe quel collaborateur présent dans votre annuaire Microsoft (donc possédant une adresse email reliée à votre organisation) peut tenter de se connecter à la plateforme via le SSO Microsoft Azure.
Si vous souhaitez restreindre ce droit d'accès à une population ciblée, vous devez configurer une affectation obligatoire directement depuis votre portail Microsoft Entra.
- 1. Limiter l'accès à la plateforme pour certains collaborateurs
Si vous souhaitez restreindre l'accès à la plateforme par SSO à un groupe spécifique (par exemple, uniquement l'équipe Relations Client), rendez-vous dans les propriétés de l'application "Feedback" sur Microsoft Entra et passez l'option "Affectation requise ?" (Assignment required) sur "Oui". Il vous suffira ensuite d'assigner manuellement les utilisateurs ou groupes autorisés.
⚠️ L'activation de l'option "Affectation requise ?" agit uniquement comme un premier filtre de sécurité de l'infrastructure Microsoft. Cependant, SatisFactory conserve le contrôle final sur les accès : un compte utilisateur réel doit obligatoirement avoir été créé au préalable sur la plateforme SatisFactory.
Si vous affectez un collaborateur dans Entra mais oubliez de lui créer son compte dans notre plateforme, il restera bloqué et rencontrera une "Erreur SSO" juste après la fenêtre de connexion Microsoft.
- 2. Appliquer vos règles d'accès conditionnel (MFA, appareils conformes, etc.)
SatisFactory hérite automatiquement des règles de sécurité globales de votre entreprise. Ainsi, si votre annuaire Microsoft exige déjà une double authentification (MFA), une connexion via un VPN, ou l'utilisation d'un ordinateur fourni par l'entreprise pour accéder aux applications métiers, ces mêmes règles s'appliqueront naturellement lors de la connexion à SatisFactory.
Messages d'erreur connus empêchant la connexion SSO
| Code d'erreur | Source de l'erreur | Solution de l'erreur |
| AADSTS65001 | Besoin d'approbation de l'administrateur Entra | |
| AADSTS50105 | Utilisateur non assigné |
|
| Erreur SSO (Plateforme) |
Adresse email ne correspondant pas à l'UPN Utilisateur n'existant pas sur la plateforme SatisFactory |
|
| interaction_in_progress |
Bloqueur de popup activé Extension de navigateur superflue détectée |
|
Si vos tentatives sont infructueuses ou pour tout autre problème rencontré, nous vous invitons à contacter le Support SatisFactory en fournissant les détails de l'erreur rencontrée et le plus de contexte possible afin de vous porter assistance dans les meilleurs délais.
Si vous avez des questions ou rencontrez un problème, n'hésitez pas à contacter notre équipe Support.
Commentaires
0 commentaire
Cet article n'accepte pas de commentaires.