Mark AI prend en charge le Single Sign-On (SSO) via le protocole SAML 2.0. Le SSO (authentification unique) permet à vos collaborateurs de se connecter à Mark AI avec les identifiants de votre fournisseur d'identité d'entreprise, sans créer de mot de passe séparé.
Mark AI propose une intégration pré-configurée avec Okta. Pour tout autre fournisseur d'identité SAML 2.0 (Microsoft Entra ID / Azure AD, Google Workspace, OneLogin, etc.), une option générique est disponible.
Le Single Sign On est disponible en option uniquement sur le plan Enterprise
Étape 1 : Choisir votre fournisseur d'identité
Sur la page Settings > Single Sign On (lien direct) :
Cliquez sur la tuile Okta s'il s'agit de votre fournisseur d'identité (IdP), autrement cliquez sur "Autre".
Les étapes diffèrent avec Okta car Mark AI fait partie du réseau d'intégration (OIN) d'Okta. Le SSO est paramétrable avec tout autre fournisseur d'identité (Microsoft Entra ID, Google Workspace, OneLogin, etc.).
Dans le champ Nom de domaine d'email, saisissez le domaine principal de votre entreprise (par exemple entreprise.com).
Si votre entreprise utilise plusieurs domaines e-mail, renseignez les domaines supplémentaires dans le champ Domaines additionnels, séparés par des virgules. Par exemple, si vos collaborateurs utilisent à la fois entreprise.com et entreprise.fr, saisissez entreprise.fr dans ce champ.
Tous les domaines listés sont rattachés à la même connexion SSO et soumis aux mêmes règles d'application.
Vous pouvez maintenant passer à l'étape 2.
Étape 2 : Configurer votre fournisseur d'identité
Cette étape varie selon votre fournisseur et votre méthode de configuration. Suivez la sous-section qui correspond à votre situation :
Section 2A : vous utilisez Okta et souhaitez installer l'intégration pré-configurée depuis le catalogue OIN (recommandé).
Section 2B : vous utilisez Okta mais préférez créer une application SAML personnalisée.
Section 2C : vous utilisez un autre fournisseur d'identité SAML 2.0 (Microsoft Entra ID, Google Workspace, OneLogin, etc.).
2A : Okta avec l'intégration Mark AI du catalogue OIN (recommandé)
C'est le chemin le plus simple. L'application Mark AI est publiée dans le catalogue Okta Integration Network (OIN) : la plupart des paramètres SAML sont déjà pré-remplis. Vous n'avez pas besoin de copier manuellement les valeurs techniques (URL, identifiants).
Sur la plateforme Mark AI :
À l'étape 2, Mark AI affiche une fiche tutoriel intitulée "Configurer Mark AI dans Okta". Cette fiche contient un lien direct vers le catalogue Okta : https://www.okta.com/integrations/mark-ai/.
Cliquez sur "Open Mark AI in the Okta catalog" pour ouvrir la page de l'intégration dans un nouvel onglet.
Dans Okta :
Sur la page de l'intégration Mark AI dans le catalogue OIN, cliquez sur Add Integration. L'application est ajoutée à votre organisation Okta.
Une fois l'application nommée, cliquez sur l'onglet Affectations de l'application Mark AI.
Assignez tous les utilisateurs ou les groupes qui doivent pouvoir accéder à Mark AI. Cette étape est indispensable : tout utilisateur non assigné recevra une erreur lorsqu'il tentera de se connecter via SSO.
2. Ouvrez l'onglet Authentification de l'application. Copiez l'URL des métadonnées : vous en aurez besoin à l'étape 3.
➡️ Passez à l'étape 3 pour finaliser la configuration avec l'application Mark AI.
2B : Okta sans l'intégration OIN (application SAML personnalisée)
Si vous ne pouvez pas utiliser l'application du catalogue OIN, ou si vous préférez créer une application SAML personnalisée dans Okta, suivez cette sous-section.
Dans ce cas, vous devrez copier manuellement les valeurs de configuration depuis Mark AI vers Okta.
Dans Okta :
Accédez à Applications → Créer une intégration d'application.
Sélectionnez SAML 2.0 comme méthode de connexion, puis passez à l'écran de configuration générale. Donnez un nom à l'application (par exemple "Mark AI").
Une fois le nom donné à l'application, passez à l'étape 2 "Configurer SAML"
Renseignez les champs suivants avec les valeurs exactes ci-dessous :
1 | URL d'authentification unique | |
2 | URI d'audience | |
3 | Format d'ID de nom | EmailAddress |
4 | Nom d'utilisateur de l'application |
4. Passez à l'étape suivante, l'étape Commentaires
Cochez la case au niveau du premier champ "Type d'application". Vous pouvez ensuite cliquer sur "Terminer".
L'application d'intégration est maintenant créée !
5. Pour que vous utilisateurs puissent se connecter à Mark AI, il vous faut les affecter (soit un à un soit en affectant un groupe complet). Pour cela, cliquez sur l'onglet Affectations dans l'application qui vient d'être créée.
6. Ouvrez l'onglet Authentification de l'application. Copiez l'URL des métadonnées : vous en aurez besoin à l'étape 3.
➡️ Passez à l'étape 3 pour finaliser la configuration avec l'application Mark AI.
2C : Tout autre fournisseur d'identité SAML 2.0
Si vous utilisez Microsoft Entra ID (anciennement Azure AD), Google Workspace, OneLogin ou tout autre fournisseur d'identité compatible SAML 2.0, vous pouvez suivre cette sous-section.
Dans Mark AI :
À l'étape 2 de la connexion SSO, Mark AI affiche les informations clés concernant le Service Provider (SP) à copier dans la configuration SAML de votre IdP.
Dans votre fournisseur d'identité :
Créez une nouvelle application SAML dans la console d'administration de votre IdP.
Copiez les valeurs ci-dessus dans les champs correspondants de la configuration SAML. Les noms des champs varient selon les fournisseurs, mais les intitulés courants sont indiqués entre parenthèses ci-dessus pour vous aider à faire la correspondance.
Configurez le mappage des attributs (attribute mapping). Associez les quatre attributs suivants : id vers l'identifiant utilisateur, email vers l'adresse e-mail, firstName vers le prénom et lastName vers le nom de famille. Les noms exacts des champs sources dépendent de votre IdP.
Assignez les utilisateurs ou groupes qui doivent accéder à Mark AI.
Repérez et copiez l'URL de métadonnées du fournisseur d'identité (IdP metadata URL). Selon votre fournisseur, elle peut s'appeler "Federation Metadata URL", "SAML Metadata URL" ou un intitulé similaire.
Retour dans Mark AI :
Cliquez sur Continuer pour passer à l'étape 3.
Étape 3 : Connecter votre fournisseur d'identité
Cette étape est identique quel que soit le chemin suivi (2A, 2B ou 2C).
Revenez sur votre compte Mark AI, à l'étape 3 où nous en étions resté.
Collez l'URL que vous avez récupéré précédemment (étape 2A, 2B ou 2C) dans l'unique champ.
L'URL de métadonnées est un lien vers un fichier XML qui contient toute la configuration technique de votre fournisseur d'identité (certificats, endpoints). Elle permet à Mark AI de se connecter automatiquement.
Pour Okta, cette URL se trouve dans l'onglet Sign On de l'application et ressemble à https://votre-organisation.okta.com/app/xxxxxxxx/sso/saml/metadata. Pour les autres fournisseurs, utilisez l'URL équivalente identifiée dans la section 2C.
Cliquez sur Done (Terminé). Mark AI valide la connexion et enregistre la configuration.
La configuration technique est maintenant terminée. Il reste à activer la connexion.
Activer la connexion
Activez le bouton "Connexion active". Cette action rend le SSO disponible pour tous les utilisateurs dont l'adresse e-mail correspond aux domaines configurés.
À ce stade, vos collaborateurs peuvent se connecter via SSO, mais la connexion par mot de passe ou via Google reste également disponible. L'activation seule ne bloque aucune méthode de connexion existante.
(Optionnel) Forcer la connexion via SSO
Si vous souhaitez que tous les utilisateurs de votre compte entreprise se connectent exclusivement via SSO, vous pouvez activer l'application forcée.
Activez le bouton "Forcer les utilisateurs à se connecter via Single Sign On". Une boîte de dialogue de confirmation s'ouvre.
Dans cette boîte de dialogue, définissez un délai de grâce en jours. Ce délai laisse le temps à vos collaborateurs existants de s'adapter. La valeur par défaut est de 14 jours.
Cliquez sur Appliquer pour confirmer.
Que se passe-t-il une fois que la connexion est forcée ?
Nouveaux utilisateurs : seront immédiatement connectés via Single Sign On. En cas d'échec, l'inscription ne pourra pas être poursuivie via une autre méthode.
Utilisateurs existants : conservent leur méthode de connexion actuelle jusqu'à la fin du délai de grâce paramétré. Plusieurs e-mails de rappel sont envoyés automatiquement durant cette période pour les prévenir. A la fin de celle-ci, les utilisateur ne s'étant pas re-connectés via SSO, seront déconnectés et devront se re-connecter uniquement via SSO.
Résolution de problèmes
Erreur "Cannot find Service Provider's certificate" (erreur 400 dans Okta)
Cette erreur survient généralement lors de l'utilisation d'une application SAML personnalisée dans Okta (section 2B). La cause la plus fréquente est l'activation de l'option exigeant des requêtes d'authentification signées.
Pour résoudre le problème, ouvrez les paramètres SAML de votre application Okta et vérifiez que vous n'avez pas coché l'option "Require signed authentication requests".
Conservez les paramètres de signature par défaut.
Vérifiez également que les valeurs ACS URL et Entity ID correspondent exactement à celles indiquées dans la section 2B. Cette erreur ne devrait pas se produire si vous utilisez l'intégration OIN (section 2A).
Erreur "You're not assigned to this app" ou connexion bloquée dans Okta
L'utilisateur qui tente de se connecter n'est pas assigné à l'application Mark AI dans Okta. Accédez à l'onglet Affectations de l'application dans la console Okta et ajoutez l'utilisateur ou le groupe concerné.
Le SSO ne se déclenche pas pour certains utilisateurs
Le domaine e-mail de ces utilisateurs n'est probablement pas rattaché à la connexion SSO. Vérifiez le domaine de leur adresse e-mail et, si nécessaire, ajoutez-le comme domaine supplémentaire lors de la configuration (étape 1).
Impossible d'activer le bouton "Force users to sign in via SSO"
La connexion doit d'abord être en statut "Active". Activez le bouton "Connexion active" avant de pouvoir forcer le SSO.