Configurer l’authentification unique basée sur OIDC sur un memoQ TMS - Partie 2 - pour un administrateur memoQ

Après que le gestionnaire du système d’authentification de l’entreprise a configuré le Gestionnaire d’authentification sur le memoQ TMS (voir la Partie 1 de ce document), un utilisateur administrateur de memoQ peut commencer à créer ou à mettre à jour les utilisateurs du serveur.

Configurer des utilisateurs SSO sur un nouveau memoQ TMS

Il y a deux utilisateurs dans la base d’utilisateurs d’un nouvellement installé memoQ TMS: l’utilisateur administrateur intégré et l’utilisateur invité désactivé. Ce sont des utilisateurs locaux sur le serveur, et ils peuvent se connecter avec leurs noms d’utilisateur et mots de passe memoQ. Le mot de passe administrateur a été configuré lors de l’activation du serveur, et peut être changé à tout moment dans l’memoQ TMS outil de déploiement.

Le SSO n’est pas obligatoire pour tous les utilisateurs. Après avoir configuré l’authentification unique, vous pouvez toujours créer des "utilisateurs traditionnels" sur le memoQ TMS. Ils ne se connecteront pas avec leurs identifiants d’entreprise: ils utiliseront un memoQ TMS nom d’utilisateur et un mot de passe.

Pour configurer les utilisateurs SSO sur le nouveau serveur:

  1. Commencez à vous connecter au memoQ TMS en utilisant memoQweb ou l’application de bureau memoQ.

    • Dans memoQweb, ouvrez simplement la page de connexion.
    • Dans l’application de bureau memoQ, cliquez sur le lien Oublier l’identifiant sur le tableau de bord), puis cliquez sur le bouton de coche icon_choose-server à côté du nom du serveur. Ensuite, dans la fenêtre de connexion au serveur, choisissez l’option Se connecter avec un fournisseur d’identité externe.
  2. S’il y a deux systèmes de fournisseur d’identité ou plus sur la page de connexion, choisissez le vôtre dans la liste.
  3. La page de connexion de votre fournisseur d’identité s’ouvre. Connectez-vous avec le nom d’utilisateur de votre entreprise et le mot de passe (et effectuez l’authentification à plusieurs facteurs si nécessaire).
  4. Choisissez l’option Non, c’est ma première fois ici, et fermez memoQ ou le navigateur.
  5. Maintenant, connectez-vous à memoQweb avec l’administrateur en utilisant ses identifiants memoQ.
  6. Dans la barre latérale gauche, cliquez sur l’icône Admin Icône d’administrateur..
  7. Sur l’écran Admin, cliquez sur le bouton Utilisateurs. L’écran Utilisateurs s’ouvre.
  8. Cliquez sur l’utilisateur nouvellement créé, et en bas de la page, définissez son état de compte sur Actif.
  9. Cliquez sur le bouton Mettre à jour l’utilisateur.
  10. Dans la section appartenance au groupe, ajoutez l’utilisateur au groupe Administrateurs.
  11. Déconnectez-vous de memoQweb, et connectez-vous à memoQ ou memoQweb avec votre nom d’utilisateur et votre mot de passe d’entreprise.

Désormais, vous pouvez vous connecter avec les identifiants de votre entreprise et profiter des mêmes privilèges que l’utilisateur administrateur d’origine. Les administrateurs ont plein pouvoir pour créer, modifier, gérer et supprimer les utilisateurs, les ressources et les projets.

Nous recommandons de ne pas utiliser l’administrateur intégré dans votre travail quotidien. (Changer simplement son mot de passe et le conserver à un endroit sûr.) De plus, il ne peut pas être utilisé avec SSO. C’est une protection pour les situations d’urgence lorsque le memoQ TMS ne peut pas se connecter au fournisseur d’identité – vous pourrez toujours accéder au serveur avec l’utilisateur administrateur intégré.

Informer les utilisateurs qui devront se connecter au memoQ TMS en utilisant SSO. Ils doivent:

  1. Commencez à vous connecter au memoQ TMS en utilisant memoQweb ou l’application de bureau memoQ.

    • Dans memoQweb, ouvrez simplement la page de connexion.
    • Dans l’application de bureau memoQ, cliquez sur le lien Oublier l’identifiant sur le tableau de bord), puis cliquez sur le bouton de coche icon_choose-server à côté du nom du serveur. Ensuite, dans la fenêtre de connexion au serveur, choisissez l’option Se connecter avec un fournisseur d’identité externe.
  2. S’il y a deux systèmes de fournisseur d’identité ou plus sur la page de connexion, choisissez le vôtre dans la liste.
  3. La page de connexion de votre fournisseur d’identité s’ouvre. Connectez-vous avec le nom d’utilisateur de votre entreprise et le mot de passe (et effectuez l’authentification à plusieurs facteurs si nécessaire).
  4. Choisissez l’option Non, c’est ma première fois ici, et fermez memoQ ou le navigateur.
  5. Demandez à l’administrateur de memoQ d’approuver votre inscription dans memoQweb.

Lorsqu’un utilisateur se connecte à un memoQ TMS avec ses identifiants de fournisseur d’identité pour la première fois, le Gestionnaire d’authentification crée un nouvel utilisateur en attente qui n’est membre d’aucun groupe. Avant qu’ils ne puissent se connecter et faire quoi que ce soit sur le serveur, un administrateur doit approuver leur inscription et les ajouter à un groupe d’utilisateurs (ou – dans des cas spéciaux – configurer leurs droits d’accès individuellement).

Le Gestionnaire d’authentification remplit les coordonnées de l’utilisateur qui se trouvent dans le système du fournisseur d’identité (par exemple, nom complet ou adresse courriel). Mais le protocole OIDC n’envoie pas d’information sur l’appartenance au groupe, donc le memoQ TMS ne peut pas ajouter les utilisateurs nouvellement créés aux groupes correspondants. C’est pourquoi un administrateur doit organiser les utilisateurs et les groupes sur le memoQ TMS.

Connectez-vous à memoQweb en tant qu’administrateur, ajoutez les utilisateurs aux groupes selon les besoins, configurez leurs droits d’accès et changez l’état de leur compte à Active.

Si vous avez des utilisateurs qui ne seront pas dans votre système d’identifiant d’entreprise, vous – en tant qu’administrateur memoQ – pouvez créer des utilisateurs memoQ pour eux dans l’application de bureau memoQ ou dans memoQweb.

Dites aux utilisateurs nouvellement créés de se connecter au memoQ TMS. Envoyez-leur l’adresse du serveur, leur nom d’utilisateur et leur mot de passe.

Lors de l’ajout d’utilisateurs depuis la page de gestion des utilisateurs de memoQweb, vous pouvez définir un mot de passe temporaire qu’ils doivent changer lorsqu’ils se connectent pour la première fois.

Passer à l’OSS sur un serveur déjà en usage

Après la mise à niveau de memoQ TMS vers 9.5 ou une version plus récente, et la configuration du Gestionnaire d’authentification comme décrit dans la partie 1 de ce guide, les utilisateurs peuvent changer leur mode de connexion en SSO.

Informez les utilisateurs qui devront se connecter avec leurs identifiants IDP – cela pourrait signifier seulement certains utilisateurs (par exemple, l’équipe de localisation interne), ou tous les utilisateurs du serveur.

Demander aux utilisateurs de:

  1. Commencez à vous connecter au memoQ TMS en utilisant memoQweb ou l’application de bureau memoQ.

    • Dans memoQweb, ouvrez simplement la page de connexion.
    • Dans l’application de bureau memoQ, cliquez sur le lien Oublier l’identifiant sur le tableau de bord), puis cliquez sur le bouton de coche icon_choose-server à côté du nom du serveur. Ensuite, dans la fenêtre de connexion au serveur, choisissez l’option Se connecter avec un fournisseur d’identité externe.
  2. S’il y a deux systèmes de fournisseur d’identité ou plus sur la page de connexion, choisissez le vôtre dans la liste.
  3. La page de connexion de votre fournisseur d’identité s’ouvre. Connectez-vous avec le nom d’utilisateur de votre entreprise et le mot de passe (et effectuez l’authentification à plusieurs facteurs si nécessaire).
  4. Choisissez l’option Non, c’est ma première fois ici, et fermez memoQ ou le navigateur.
  5. Sur l’écran suivant dans memoQ ou memoQweb, choisissez l’option J’ai déjà travaillé sur ce serveur.

  6. Entrez votre nom d’utilisateur memoQ et mot de passe que vous utilisiez auparavant.

    Si jusqu’à présent, vous avez utilisé votre utilisateur Windows pour vous connecter à memoQ TMS, entrez ce nom d’utilisateur et mot de passe.

  7. memoQ changera votre mode de connexion en authentification unique. Désormais, vous ne pourrez vous connecter au memoQ TMS qu’avec votre nom d’utilisateur et votre mot de passe.

L’étape 5 ci-dessus signifie que les utilisateurs peuvent migrer leurs comptes d’un SSO basé sur Windows vers un SSO basé sur l’OIDC. Si vous avez SSO Windows configuré à l’entreprise, lisez plus de détails ici.

L’appartenance à un groupe et le droit d’accès des utilisateurs ne changeront pas. La liste dans la fenêtre degestion des utilisateurs de l 'administrateur du serveur affichera une icône de bouclier vert icon-oidc-sso dans l’origine du compte. L’infobulle de l’icône affiche le fournisseur d’identité et l’état du compte. Dans memoQweb, la liste des utilisateurs affichera SSO comme type de compte.

Si quelqu’un choisit "Il s’agit de ma première fois" par accident, il devrait demander de l’aide à un administrateur de memoQ, qui peut supprimer l’utilisateur nouvellement créé sur le memoQ TMS, et laisser la personne réessayer.

Vous ne pouvez pas imposer le basculement vers SSO: Actuellement, vous ne pouvez pas empêcher un utilisateur de se connecter avec son nom d’utilisateur et son mot de passe memoQ TMS.

Compatibilité des versions

Le SSO basé sur OpenID Connect fonctionne uniquement dans les versions 9.5 et supérieures. Les versions antérieures de memoQ TMS ne peuvent pas reconnaître et gérer les utilisateurs d’origine OIDC. Les versions antérieures de l’application de bureau memoQ entraînent des problèmes comme celui-ci:

  • Vous ne pouvez pas vous connecter avec vos utilisateurs SSO – il n’y a pas d’option de ce type dans la fenêtre de connexion au serveur.
  • Vous ne pouvez pas gérer les utilisateurs SSO et les groupes SSO avec des utilisateurs SSO.

Lorsque vous travaillez sur des projets sur un serveur qui utilise l’OIDC, vous devez utiliser une version 9.5 (ou supérieure) de l’application de bureau memoQ.

Les utilisateurs qui n’ont qu’une licence pour les versions antérieures de l’application de bureau memoQ auront besoin:

  • un contrat de soutien et de maintenance valide, afin qu’ils puissent mettre à niveau leurs licences vers la dernière version, ou

  • une licence de votre serveur afin qu’ils puissent utiliser une version compatible qu’ils installent dans un dossier différent sur leurs ordinateurs. Alors ils peuvent utiliser la nouvelle version pour se connecter à votre serveur, et la version précédente avec leur propre licence pour d’autres tâches.

    Les utilisateurs qui travaillent sur votre serveur avec une licence CAL devront entrer leur nom d’utilisateur IDP et leur mot de passe chaque fois qu’ils se connectent à votre serveur. L’memoQ application de bureau ne stocke pas les identifiants de connexion IDP.