API partenaire
Ressources API

Authentification unique pour les détaillants

L’intégration d’authentification unique (SSO) d’Epsilon Retail Media permet une connexion directe au fournisseur d’identité d’un détaillant via SAML 2.0. Vous pourrez ainsi proposer à vos utilisateurs détaillants de se connecter avec une authentification unique vérifiée par votre fournisseur d'identité (IDP).

📘

Utilisateurs détaillants uniquement

En tant que plateforme mutualisée permettant aux annonceurs d’accéder à plusieurs plateformes de détaillants, notre fonctionnalité est mieux adaptée aux détaillants qui cherchent à mettre en œuvre l’authentification unique pour le personnel interne, et non pas pour les annonceurs.

Nous n’autorisons pas la délégation d’autorité du cycle de vie d’un annonceur, car cela peut avoir un impact sur d’autres plateformes de détaillants.

Portée de la fonctionnalité

Epsilon Retail Media permet à votre fournisseur d'identité de déterminer si un utilisateur a accès à votre espace de noms. La configuration est effectuée pour chaque espace de noms. Veuillez noter que la capacité SSO de la plateforme permet l' authentification, pas l' autorisation. La gestion des accès des équipes est toujours configurée par programmation au sein de la plateforme.

📘

Accès des annonceurs

Étant donné que notre plateforme est une plateforme mutualisée connectée à l’échelle mondiale, les annonceurs continueront à se connecter directement via le module de connexion. Les annonceurs devront toujours être invités sur votre plateforme pour y avoir accès, même s’ils peuvent accéder à d’autres plateformes de détaillants.

Informations essentielles

  • Cette fonctionnalité est idéale pour les détaillants souhaitant gérer le cycle de vie des utilisateurs internes, pour des cas d'utilisation tels que le départ sécurisé des membres du personnel interne
  • L'accès des équipes et des utilisateurs doit être géré par programmation au sein de la plateforme et n'est pas possible via l'intégration SSO
  • L'assistance et la gestion de tous les utilisateurs IDP doivent être assurées par le détaillant.
  • Les cycles de vie des utilisateurs annonceurs doivent rester au sein de la plateforme Epsilon. Nous n'accordons pas d'autorité déléguée pour désactiver les utilisateurs annonceurs, car cela peut avoir un impact sur leur accès à d'autres fonctionnalités de la plateforme.

Parcours utilisateur

Les flux sont différents pour les utilisateurs existants et les nouveaux utilisateurs de la plateforme.

Flux utilisateur existant

Si vous implémentez le SSO après le lancement, la plupart des utilisateurs auront déjà accès aux équipes et auront des comptes configurés dans Epsilon. Par conséquent, le flux est plus simple.


Nouveau parcours utilisateur

Pour les nouveaux utilisateurs, vous devrez inviter chaque utilisateur dans les équipes concernées. Ils doivent suivre le processus d'inscription, puis pourront s'authentifier via votre IDP SSO pour les accès ultérieurs.

Si nécessaire, ils peuvent également se connecter directement via votre IDP SSO, et nous créerons un utilisateur juste à temps une fois l'authentification approuvée. L'utilisateur devra toujours être invité manuellement dans ses équipes concernées, et ce, par programmation. Nous recommandons d'inviter les utilisateurs au préalable, afin de garantir la configuration de leur accès aux équipes.


Expérience utilisateur

Dans les portails avec intégration SSO du détaillant, le champ du mot de passe est supprimé de l'écran de connexion initial. Si un utilisateur saisit un e-mail connecté à votre IDP sous votre domaine de détaillant, il est automatiquement redirigé vers votre IDP pour l'authentification.

La gestion des mots de passe oubliés est également de votre ressort, car vous êtes responsable de toute gestion des mots de passe liée au SSO ; la saisie du mot de passe s'effectuant à l'étape suivante.

Exigences d'intégration

Intégration IDP

Pour s'intégrer, Epsilon a besoin des éléments suivants :

Depuis votre IDP

  • ID de l'entité
  • URL de l'authentification unique
  • Certificat de signature IDP

Nous avons également besoin des éléments suivants :

  • Lien d'aide à la connexion personnalisé : ce lien sera affiché à tous les utilisateurs, et vous devrez héberger un lien expliquant le processus de connexion
  • Message personnalisé : message personnalisé affiché en relation avec le lien personnalisé
  • Libellé du lien personnalisé d'aide à la connexion : libellé pour le lien personnalisé d'aide à la connexion
  • Nom du site de réinitialisation du mot de passe : nom du site affiché aux utilisateurs
  • URL de mot de passe expiré : URL vers laquelle votre IDP redirigera les liens d'expiration de mot de passe

Epsilon configurera également du côté d'Epsilon les informations ci-dessous qui seront partagées avec vous :

  • ID d'entité (URI d'audience)
  • URL de base
  • URL ACS

Tout cela sera fourni par l'équipe Epsilon.

Mappage des attributs

Les attributs de la configuration d'Epsilon sont les suivants :

  • adresse e-mail principale
  • Prénom
  • Nom
  • E-mail

Vous devrez peut-être configurer les mappages dans votre fournisseur d'identité en conséquence.

Fonctionnalités SSO non prises en charge

  • Gestion des utilisateurs : Epsilon ne prend pas en charge la gestion automatique des utilisateurs pour l'ajout, la modification ou la suppression. Ce processus nécessite des mises à jour manuelles dans le fournisseur d'identité (IDP) et dans Epsilon.
  • Prise en charge des comptes : lorsque les détaillants passent à l'authentification unique (SSO), Epsilon ne prend pas en charge la configuration ou l'assistance des comptes utilisateurs. Par conséquent, Epsilon n’autorisera pas la connexion directe ni la réinitialisation du mot de passe. Tous les utilisateurs SSO doivent contacter le détaillant pour obtenir de l'aide concernant leur compte.
  • Prise en charge OAuth : Epsilon ne prend pas en charge l'intégration utilisant l'authentification OAuth pour des services tels que Microsoft Azure Active Directory B2C. L'intégration SSO est uniquement disponible via l'authentification SAML.

Authentification unique de la plateforme appartenant au détaillant : solution de contournement pour le compte annonceur

Si vous êtes un détaillant utilisant notre API partenaire et offrant à vos annonceurs votre propre interface, nous mettons à votre disposition une solution qui vous permet de gérer le cycle de vie des annonceurs directement depuis vos portails.

Cette fonctionnalité a également pour but de permettre à votre propre plateforme de s'authentifier automatiquement auprès de la plateforme d'Epsilon dans votre propre espace de noms.

Aperçu de haut niveau

Cette solution de contournement consiste à tirer parti des capacités SSO existantes du détaillant, en vous permettant de créer des comptes annonceurs sous votre propre domaine.

  • Le détaillant créera le compte utilisateur au sein de son service de fournisseur d'identité (IDP). Le JIT d'Epsilon OKTA provisionne automatiquement le compte utilisateur sur la plateforme Epsilon.
  • Le détaillant procédera à l'invitation de l'utilisateur au sein de l'équipe (fournisseur ou détaillant) requise, par le biais de l'interface de gestion des équipes d'Epsilon. (Sans cela, l'interface Epsilon sera vide pour l'utilisateur)
  • Le compte utilisateur doit avoir un nom de domaine unique spécifié par le détaillant. Plusieurs noms de domaine peuvent être configurés dans OKTA, tels que [email protected], [email protected], [email protected]

Déprovisionnement

Le processus de déprovisionnement des utilisateurs sera le suivant :

  • Le détaillant déprovisionnera le compte utilisateur dans l'IDP.
  • L'utilisateur ne pourra pas s'authentifier/se connecter à la plateforme Epsilon avec l'adresse e-mail appartenant au détaillant.
    • L'utilisateur pourra toujours s'authentifier/se connecter à d'autres plateformes de détaillants avec son adresse e-mail d'annonceur habituelle.
  • Le compte utilisateur existera toujours au sein d'Epsilon, cependant, après 90 jours d'inactivité, le processus de gestion du cycle de vie désactivera son compte.
  • Si le compte utilisateur est réactivé dans l'IDP, le compte utilisateur correspondant dans Epsilon sera également activé.
  • Si le détaillant exige que l'utilisateur soit complètement retiré d'Epsilon, il doit être retiré manuellement de l'équipe ou des équipes auxquelles il a été invité au sein de la plateforme.

Limites

  • Au lieu de maintenir le cycle de vie réel du compte de l'annonceur, cela crée un doublon isolé de l'utilisateur sous votre domaine de détaillant. Cela risque de créer une confusion chez l'annonceur.
    • [email protected] reste un utilisateur de la plateforme Epsilon, avec accès à toutes les équipes de plusieurs détaillants.
      [email protected] est géré par vous, le détaillant, sous votre domaine propre.
  • Cette solution de contournement présente les mêmes limites que celles décrites dans la section Fonctionnalité SSO non prise en charge, dans laquelle le détaillant devra gérer la configuration du compte, l'assistance et l'accès des utilisateurs/équipes.
  • Tout le support et la gestion des utilisateurs doivent être gérés par le détaillant.

FAQ

  • Que se passe-t-il si je n'invite pas quelqu'un à rejoindre son équipe mais qu'il se connecte via SSO ?
    • Si l'utilisateur n'existe pas, mais qu'il se connecte via SSO, il sera confronté à un écran vide jusqu'à ce que vous l'invitiez à rejoindre les équipes.
  • Existe-t-il un moyen de gérer l'accès des équipes/utilisateurs via SSO ou API ?
    • Non, cela n'est pas actuellement possible et doit être géré par programmation via l'interface utilisateur.