Sécurité · Identité d'entreprise · ENS · NIS2

SSO Dokuflex : Active Directory, ADFS, OAuth, SAML, CAS et 2FA — tous les standards d'authentification d'entreprise

Brancher un BPM sur votre identité d'entreprise ne devrait pas être un projet de six mois. Dokuflex prend nativement en charge Active Directory, ADFS, SAML 2.0, OAuth 2.0/OpenID Connect avec Google et Microsoft Entra ID, Okta, CAS et 2FA.

Tout se configure depuis un seul panneau, l'audit exigé par ENS Élevé et NIS2 est préservé, et vous pouvez combiner plusieurs fournisseurs (employés internes + partenaires externes) sans dupliquer les identités.

Parler à un ingénieur Voir l'architecture de sécurité
Résumé exécutif
  • 10+ protocoles pris en charge en standard (AD, ADFS, SAML, OAuth, OIDC, CAS, LDAPS, Kerberos, FIDO2).
  • <1h pour connecter un Active Directory standard.
  • Multi-IdP : employés, partenaires et fournisseurs avec des politiques distinctes.
  • 2FA/MFA par rôle, IP, sensibilité de l'action et origine réseau.
  • ENS Élevé · NIS2 · ISO 27001 · RGPD alignés.
D
Équipe Sécurité Dokuflex
Mis à jour : 20 mai 2026

Pour les RSSI, responsables IT et architectes identité. Ce guide est technique et spécifique à Dokuflex. Si vous avez besoin de détails concrets sur votre IdP (claims, scopes, endpoints), votre Customer Success Manager vous les fournit en moins de 24 h.

Pourquoi un BPM a besoin du SSO d'entreprise

Un BPM gère des dossiers, des contrats, des factures, des signatures et des approbations. Autrement dit : des données personnelles, financières et juridiques. Chaque utilisateur qui s'authentifie en dehors du périmètre de l'entreprise est un vecteur de risque et une identité de plus à maintenir.

Sans SSO, quatre problèmes s'accumulent : mots de passe faibles ou réutilisés, anciens employés avec un accès toujours actif, journaux d'audit impossibles à corréler avec le SIEM de l'entreprise, et un onboarding/offboarding qui s'étire sur des semaines au lieu de quelques minutes.

Avec un SSO branché sur votre source de vérité (Active Directory, Entra ID ou Google Workspace), le départ d'un employé en RH désactive son accès Dokuflex dans le même cycle de provisionnement. Sans tickets, sans tableurs.

Tableau des protocoles pris en charge

Ce qui est couvert d'origine, sans développement spécifique ni module premium caché :

Protocole / standard Cas d'usage typique Support
Active Directory (LDAP/LDAPS) Authentification contre l'AD d'entreprise, on-premise ou hybride. ✓ Natif
ADFS (Active Directory Federation Services) Fédération SAML/WS-Fed sur AD pour les environnements Windows Server. ✓ Natif
SAML 2.0 SSO standard avec n'importe quel IdP SAML (Okta, OneLogin, Ping, Auth0, Keycloak…). ✓ Natif
OAuth 2.0 + OpenID Connect (OIDC) Authentification moderne avec les flux authorization-code + PKCE. ✓ Natif
Microsoft Entra ID (anciennement Azure AD) SSO avec Microsoft 365, Conditional Access, claims et groupes. ✓ Natif
Google Workspace SSO avec les comptes Google d'entreprise via OIDC ou SAML. ✓ Natif
CAS (Central Authentication Service) SSO courant dans les universités et administrations publiques avec CAS 3.x. ✓ Natif
Kerberos / SPNEGO Single sign-on transparent en intranet avec la session Windows. ✓ Natif
2FA / MFA TOTP (Google Authenticator, Authy, Microsoft Authenticator), SMS, email, push. ✓ Natif
WebAuthn / FIDO2 Passkeys, YubiKey et authentificateurs biométriques pour les administrateurs. ✓ Natif
Certificat numérique + eID Authentification par carte cryptographique (AC FNMT, ACA, ANCERT, Camerfirma). ✓ Natif
SCIM 2.0 (provisionnement) Synchronisation automatique des utilisateurs et groupes depuis l'IdP. ✓ Natif

Tous les protocoles sont inclus dans l'offre Business et supérieures, sans surcoût par utilisateur ni licence « Enterprise Security » distincte.

Active Directory et LDAP/LDAPS

Le scénario le plus courant dans les entreprises de taille moyenne avec un domaine Windows. Dokuflex dialogue avec le contrôleur de domaine via LDAPS (LDAP sur TLS) et authentifie l'utilisateur sans jamais stocker son mot de passe.

Ce qui se configure en moins d'une heure :

  • URL du DC : ldaps://dc.entreprise.local:636
  • Bind DN technique (compte de service avec droit de lecture).
  • Base DN de recherche : OU=Utilisateurs,DC=entreprise,DC=local
  • Mapping des attributs : sAMAccountName, mail, memberOf pour les rôles.
  • Filtre d'appartenance : uniquement les utilisateurs du groupe CN=Dokuflex-Users,OU=Apps.

Pour les environnements hybrides (AD on-prem + Entra ID dans le cloud), nous recommandons de déléguer l'authentification à Entra ID via OIDC et de réserver LDAP aux seules intégrations back-office.

ADFS et SAML 2.0

Si votre organisation fédère déjà des applications via ADFS ou un IdP SAML (Okta, OneLogin, Ping Identity, Auth0, Keycloak, Shibboleth), Dokuflex s'intègre comme Service Provider en quelques étapes :

  1. Téléchargez les métadonnées SP de Dokuflex (XML avec entityID, ACS URL et certificat).
  2. Importez-les dans votre IdP comme nouvelle Relying Party / Application.
  3. Définissez les claims qui voyagent dans l'assertion SAML : NameID, email, groups, department.
  4. Téléversez les métadonnées IdP dans le panneau Dokuflex.
  5. Mappez les groups SAML → rôles Dokuflex.

Nous prenons en charge le SP-Initiated SSO, l'IdP-Initiated SSO, le Single Logout (SLO), la signature et le chiffrement des assertions, ainsi que la rotation automatique des certificats.

OAuth 2.0 et OIDC avec Google et Microsoft Entra ID

Pour les organisations dont l'identité est dans le cloud, le flux recommandé est OAuth 2.0 + OpenID Connect (authorization code + PKCE). C'est le standard moderne : rotation des jetons, refresh tokens, claims signés en JWT.

M

Microsoft Entra ID

Vous enregistrez Dokuflex comme application dans votre tenant, configurez l'URI de redirection, définissez les scopes (openid, email, profile, groups) et appliquez éventuellement le Conditional Access.

  • App Registration avec URI de redirection HTTPS.
  • Groupes Entra ID → rôles Dokuflex.
  • Conditional Access (IP, appareil, risque de session).
  • MFA délégué à Entra ID (application Authenticator, FIDO2).
G

Google Workspace

Vous créez un OAuth Client dans la Google Cloud Console, verrouillez le domaine (hd=entreprise.com) et mappez les groupes Workspace vers les rôles.

  • Client ID + Client Secret dans Google Cloud.
  • Restriction de domaine pour bloquer les comptes personnels.
  • Groupes Workspace → rôles Dokuflex via Directory API.
  • 2FA délégué à Google (Authenticator, Titan Key).

Dans les deux cas, Dokuflex ne stocke ni le mot de passe ni le facteur d'authentification : la session vit dans votre IdP et Dokuflex ne reçoit que le jeton signé.

CAS (Central Authentication Service)

CAS est le standard dominant dans les universités publiques, les hôpitaux et les administrations en Europe. Dokuflex implémente CAS 3.x en tant que client :

  • Configuration du cas-server-url.
  • Validation du ticket de service via /serviceValidate.
  • Lecture des attributs (département, rôle) depuis la réponse CAS.
  • Déconnexion fédérée (single sign-out) avec notification au serveur CAS.

Si votre organisation utilise FranceConnect, cl@ve, Cl@ve Firma, AutenticaIDP ou d'autres IdP du secteur public, l'intégration se fait également via SAML 2.0 fédéré.

2FA / MFA : facteurs et politiques

Lorsque l'IdP d'entreprise impose déjà le MFA (Entra ID Conditional Access, Google 2-Step), Dokuflex le respecte sans demander un second facteur supplémentaire. Sinon, il applique le MFA directement à la connexion.

Facteurs pris en charge :

  • TOTP (RFC 6238) : Google Authenticator, Authy, Microsoft Authenticator, 1Password, Bitwarden.
  • WebAuthn / FIDO2 : YubiKey, passkeys de l'appareil (Touch ID, Windows Hello), clés Titan.
  • SMS (avec les réserves recommandées par le NIST pour les environnements sensibles).
  • OTP par email pour les utilisateurs externes sans smartphone d'entreprise.
  • Notification push depuis l'application mobile Dokuflex.
  • Certificat numérique + eID en tant que second facteur pour les opérations de signature.

Politiques configurables : obligatoire pour les administrateurs, conditionnel par rôle, par IP (interne sans MFA / externe avec MFA), par sensibilité (signer, exporter, approuver > X €) et par inactivité de session.

Provisionnement automatique (SCIM 2.0) et JIT

Au-delà de la connexion, Dokuflex se synchronise avec votre IdP de deux manières :

  • JIT (Just-In-Time) : l'utilisateur est créé automatiquement dans Dokuflex lors de sa première connexion SSO. Utile pour SAML/OIDC avec les groupes en claims.
  • SCIM 2.0 : synchronisation proactive depuis Entra ID, Okta, OneLogin ou Workspace. Crée, met à jour et désactive les utilisateurs et les groupes en temps réel depuis l'IdP, sans intervention manuelle.

Combinés : lorsque les RH désactivent quelqu'un dans Workday/SAP SuccessFactors, le changement remonte à l'IdP puis à Dokuflex en quelques minutes. Zéro accès orphelin.

Conformité réglementaire

Le SSO/MFA de Dokuflex est conçu pour supporter les audits sur :

ENS Élevé

Contrôle d'accès renforcé (op.acc.5/6/7), traçabilité (op.mon.1) et MFA obligatoire dans les catégories ÉLEVÉES.

NIS2

Article 21 : contrôle d'accès, MFA et gestion des identités comme mesures obligatoires.

ISO/IEC 27001

Contrôles A.9 (contrôle d'accès) et A.8 (gestion des identités), traçabilité complète.

RGPD

Minimisation (uniquement les claims nécessaires) et principe du moindre privilège pour les données personnelles.

Chaque authentification, tentative échouée, changement de facteur MFA et mise à jour de politique est consigné dans le journal immuable de Dokuflex, exportable vers votre SIEM (Splunk, QRadar, Elastic, Sentinel) via syslog ou API.

Checklist CISO avant le déploiement

  • 1. IdP autoritaire choisi : Entra ID, Google Workspace ou ADFS comme source unique.
  • 2. MFA imposé aux administrateurs : obligatoire, avec WebAuthn/FIDO2 comme facteur principal recommandé.
  • 3. Compte break-glass : un compte local d'urgence avec MFA renforcé et journalisation d'usage, en dehors de l'IdP.
  • 4. Mapping des rôles validé : groupes de l'IdP ↔ rôles Dokuflex documentés et approuvés par le métier.
  • 5. SLO testé : la déconnexion de l'IdP doit aussi fermer la session Dokuflex.
  • 6. Journaux raccordés au SIEM : événements d'authentification transmis au centre d'opérations de sécurité.
  • 7. Politique de session : durée de vie du jeton, réauthentification pour les actions sensibles, liste blanche d'IP si applicable.

Questions fréquentes

Quels standards d'authentification Dokuflex prend-il en charge ? +

Active Directory (LDAP/LDAPS), ADFS, SAML 2.0, OAuth 2.0, OpenID Connect, Microsoft Entra ID, Google Workspace, Okta, CAS, Kerberos/SPNEGO, certificat numérique + eID et SCIM 2.0 pour le provisionnement. Par-dessus chacun, 2FA/MFA via TOTP, WebAuthn/FIDO2, SMS, email et push.

Combien de temps pour intégrer Dokuflex à notre AD ? +

Une intégration AD/LDAP standard est mise en place en moins d'1 heure. Pour ADFS ou SAML, un déploiement typique prend de 2 à 4 heures, échange de métadonnées, certificats et tests avec utilisateurs pilotes inclus. Un ingénieur vous accompagne pendant la session.

Peut-on activer le 2FA uniquement pour les administrateurs ou certains rôles ? +

Oui. Politiques MFA par rôle, groupe, origine réseau (IP/CIDR) et sensibilité de l'action (signer, approuver un paiement, exporter des données). Par défaut, le MFA est obligatoire pour les administrateurs.

Le SSO fonctionne-t-il avec des utilisateurs externes ou des partenaires ? +

Oui. Plusieurs IdP en parallèle : AD interne pour les employés, OIDC avec Google ou Microsoft pour les collaborateurs externes, authentification locale pour les fournisseurs ponctuels. Chaque flux avec sa propre politique MFA, son mapping de rôles et son audit.

Quelle conformité réglementaire apporte le SSO de Dokuflex ? +

Aligné sur ENS Élevé, ISO/IEC 27001, NIS2 (contrôle d'accès renforcé), RGPD (minimisation et contrôle d'accès) et eIDAS2 combiné avec une signature qualifiée. Tout est consigné dans le journal d'audit immuable.

Peut-on désactiver l'authentification locale une fois le SSO en place ? +

Oui. Une fois le SSO validé, vous pouvez forcer 100 % des accès à passer par l'IdP d'entreprise, en ne conservant qu'un compte break-glass avec MFA renforcé et journalisation d'usage. C'est la configuration recommandée pour les organisations soumises à NIS2 ou ENS Élevé.

Prochaine étape

Branchez Dokuflex à votre identité d'entreprise cette semaine

Nous livrons une sandbox avec métadonnées SAML/OIDC en 24 h, plus une session de 60 min avec notre ingénieur identité pour la connecter à votre Entra ID, ADFS, AD, Google Workspace, Okta ou CAS.

Demander sandbox + session technique Voir l'architecture de sécurité Commencer gratuitement