SSO (SAML)

Microsoft Entra (SAML + SCIM)

Configurer l'authentification unique SAML avec Microsoft Entra et le provisionnement automatique des utilisateurs via SCIM.
À qui est-ce adressé ?Permissions et licences requises
• Aux administrateurs qui gèrent l'authentification de l'entreprise.• Licence requise : selon votre plan, vérifiez la disponibilité dans Paramètres > Intégrations.
• Droits administrateur sur vos comptes Leexi et Entra.

Guide d'utilisation

Créer une nouvelle application Entra

Rendez-vous sur entra.microsoft.com. Dans la barre latérale, cliquez sur Applications > Applications d'entreprise, puis sur Nouvelle application.

Cliquez sur Créer votre propre application, saisissez un nom dans Quel est le nom de votre application ? (par exemple Leexi SSO), laissez cochée l'option Intégrer toute autre application introuvable dans la galerie (hors galerie), puis cliquez sur Créer.

Configurer l'identifiant SAML de votre application Entra

Naviguez vers votre application, cliquez sur Authentification unique dans la barre latérale, puis sur SAML. Cliquez sur l'icône Modifier à droite de Configuration SAML de base.

Cliquez sur Ajouter un identificateur : un champ apparaît sous la section Identificateur (ID d'entité). Saisissez-y l'Entity ID de Leexi, que vous trouvez sur https://app.leexi.ai/fr/settings/security. Inutile de cliquer à nouveau sur « Ajouter un identificateur » : une fois la valeur collée, passez à la suite.

Sous la section URL de réponse (URL Assertion Consumer Service), cliquez sur Ajouter une URL de réponse et saisissez l'URL de réponse de Leexi : https://api.leexi.ai/users/sso/consume.

Laissez tous les autres paramètres à leur valeur par défaut et cliquez sur Enregistrer en haut de la page.

Télécharger le fichier Federation Metadata XML de votre application

Dans la barre latérale de votre application, cliquez sur Authentification unique et faites défiler jusqu'à la section Certificats SAML.

Cliquez sur le lien Télécharger à côté de XML de métadonnées de fédération : votre navigateur télécharge un fichier. Importez ce fichier sur https://app.leexi.ai/fr/settings/security dans Certificat de métadonnées (XML). Il s'agit d'un fichier .xml nommé d'après votre application Entra.

Assigner des utilisateurs à la nouvelle application

Si vous connaissez déjà les assignations d'utilisateurs aux applications Entra, utilisez votre processus habituel. Sinon, le plus simple est de cliquer sur Utilisateurs et groupes dans la barre latérale de l'application, puis sur Ajouter un utilisateur/groupe.

Sous Utilisateurs, cliquez sur Aucun élément sélectionné, cochez la case de chaque utilisateur à assigner à l'application (pensez à vous inclure si vous comptez tester vous-même), cliquez sur Sélectionner en bas, puis sur Assigner.

Le SSO est maintenant configuré pour ces utilisateurs : ils peuvent se connecter avec leurs identifiants Microsoft.

Pour aller plus loin

Imposer la connexion SSO (optionnel)

Après les étapes ci-dessus, les utilisateurs de votre espace de travail peuvent encore se connecter par email/mot de passe ou déjà via SSO. Une fois tous les utilisateurs intégrés et connectés avec succès via SSO, vous pouvez imposer le SSO à tout votre espace de travail. Seul Leexi a l'autorité de désactiver ce réglage, afin d'éviter tout comportement indésirable.

Provisionnement automatique des utilisateurs avec SCIM (optionnel)

Suivez ces instructions pour mettre en place le provisionnement automatique des utilisateurs via SCIM.

Authentification

Allez sur https://app.leexi.ai/fr/settings/security, puis générez et copiez un jeton secret SCIM.

Dans Entra, sur la même application que pour le SSO, allez dans Provisionnement.

Puis dans Connectivité, sélectionnez Mode de provisionnement : Automatique et renseignez :

  • Méthode d'authentification : Bearer token
  • URL du tenant : https://api.leexi.ai/scim
  • Jeton secret : collez le jeton que vous venez de générer dans Leexi

Cliquez sur Tester la connexion puis sur Enregistrer.

Configurer les rôles disponibles

Pour pouvoir assigner des rôles Leexi depuis l'application Azure, vous devez suivre les étapes de configuration suivantes. Sans cette configuration, tous les utilisateurs créés via SAML auront le rôle « membre ».

Dans Azure, allez dans Inscriptions d'applications (et non Applications d'entreprise), cliquez sur votre application Leexi, puis allez dans Rôles d'application.

Supprimez les rôles par défaut User et msiam_access : cliquez sur le rôle, décochez « Voulez-vous activer… », cliquez sur Appliquer, puis cliquez à nouveau sur le rôle et sur le bouton Supprimer.

Cliquez sur Créer un rôle d'application et créez le rôle membre.

Faites de même pour chacun des rôles Leexi : membre, membre basique, super administrateur, administrateur système, administrateur des utilisateurs, gestionnaire d'entreprise, gestionnaire d'équipe, gestionnaire de facturation.

Retournez sur votre application dans Applications d'entreprise, sous Provisionnement > Mappage d'attributs > Provisionner les utilisateurs Microsoft Entra ID.

Puis Afficher les options avancées > Modifier la liste d'attributs pour customappsso.

Ajoutez un attribut roles, de type « String », avec la case Multi-valeur cochée, puis Enregistrer.

Cliquez sur Ajouter un nouveau mappage.

Définissez :

  • Type de mappage : Expression
  • Expression : AssertiveAppRoleAssignmentsComplex([appRoleAssignments])
  • Attribut cible : roles

Puis cliquez sur Ok, puis Enregistrer.

Provisionner les utilisateurs et les groupes

Vous êtes maintenant prêt à ajouter des utilisateurs et des groupes, avec les rôles associés.

Ils seront automatiquement créés dans Leexi. Les groupes Microsoft correspondent aux équipes Leexi. Veillez à assigner chaque utilisateur à un seul groupe, car un utilisateur ne peut appartenir qu'à une seule équipe dans Leexi. Si vous devez assigner plusieurs rôles aux mêmes utilisateurs/groupes, ajoutez l'assignation plusieurs fois avec un rôle différent à chaque fois.

Nous vous recommandons de n'assigner que des groupes à l'application, et pas d'utilisateurs directement : les utilisateurs assignés directement ne pourront pas être rattachés automatiquement à la bonne équipe Leexi.

Une fois les utilisateurs et groupes configurés, allez dans Vue d'ensemble et cliquez sur Démarrer le provisionnement.

Points de vigilance

  • Sans configuration des rôles d'application, tous les utilisateurs créés via SAML reçoivent le rôle « membre ».
  • Un utilisateur ne peut appartenir qu'à une seule équipe Leexi : assignez chaque utilisateur à un seul groupe.
  • Une fois le SSO imposé à l'espace de travail, seul Leexi peut désactiver ce réglage.

Pages précédentes et suivantes

Copyright © 2026 Leexi