Authentification des utilisateurs de Studio à l'aide de l'authentification unique
L'authentification unique (SSO) est un service d'authentification de session et d'utilisateur qui permet à un utilisateur d'utiliser un ensemble d'informations d'identification de connexion (par exemple, nom d'utilisateur et mot de passe) pour accéder à plusieurs applications. Le service authentifie l'utilisateur final pour toutes les applications sur lesquelles l'utilisateur a obtenu des droits et élimine les invites supplémentaires lorsque l'utilisateur change d'applications au cours de la même session.
La prise en charge de l'authentification unique basée sur SAML est disponible pour Video Cloud Studio, qui permet aux éditeurs d'accéder au Studio via SSO via un fournisseur d'identité (IdP) de votre choix. Voici quelques-unes des fonctionnalités suivantes :
- Video Cloud Studio prend en charge le protocole SSO SAML 2.0
- Le mappage d'identité est basé sur le nom d'utilisateur (adresse e-mail complète) plutôt que sur un seul domaine de messagerie. Cela offre plus de flexibilité aux éditeurs qui souhaitent que certains utilisateurs activés pour SSO et d'autres passent par la connexion standard Video Cloud Studio.
- Une fois qu'un compte et ses utilisateurs existants sont configurés pour l'authentification unique, les nouveaux utilisateurs qui sont ajoutés au compte via l'interface utilisateur de Video Cloud Studio héritent de la configuration SSO de l'utilisateur qui les ajoute.
- Video Cloud Studio prend en charge la connexion initiée par le fournisseur de services pour SSO. Nous ne prenons pas en charge l'IdP direct initié pour le moment, mais nous pouvons fournir une URL pour contourner l'écran de connexion de Video Cloud Studio auquel vous pouvez lier à partir du portail Identity Provider.
Pour plus d'informations sur l'activation de votre compte pour le SSO, contactez votre Customer Success Manager.
Avantages
Voici quelques-uns des avantages de l'ajout d'authentification SSO pour Video Cloud Studio :
- Connexion unique pour toutes les applications - La mémorisation de plusieurs noms d'utilisateur et mots de passe devient difficile à gérer et il est difficile de gérer les équipes informatiques (ou les administrateurs de compte des outils). En activant l'authentification SSO et en y ajoutant une connexion Video Cloud Studio, les administrateurs de compte Brightcove n'ont plus à traiter ces problèmes et les utilisateurs de l'outil n'ont plus besoin de mémoriser un nom d'utilisateur/mot de passe distinct pour Video Cloud Studio.
- Exigences relatives à la sécurité et au mot de passe - Les entreprises ont des exigences de mot de passe utilisateur variables, c'est-à-dire la longueur, la durée et la complexité L'utilisation de l'interface SSO permet à Brightcove de prendre en charge ces exigences sans avoir à modifier la gestion de la sécurité intégrée de Video Cloud Studio pour répondre à chaque ensemble d'exigences.
- Désactiver l'accès utilisateur rapidement et facilement - L'authentification unique permet au service informatique de gérer les utilisateurs de manière centralisée et de supprimer l'accès des utilisateurs dès qu'un employé quitte l'entreprise. L'option SSO empêche tout utilisateur mécontent de modifier ou de supprimer les médias, lecteurs, jetons, etc.
Contraintes
- Le provisionnement utilisateur juste-à-temps pour SAML n'est actuellement pas pris en charge. Les utilisateurs devront toujours être ajoutés aux comptes via Studio, et le contrôle d'accès aux permissions/modules sera configuré via l'interface utilisateur de Studio User Administration. Lorsque de nouveaux utilisateurs sont ajoutés à un compte, ils héritent de la configuration SSO de l'utilisateur qui les ajoute.
- Le SSO ne peut pas être activé pour les comptes d'essai.
FAQ
Je sais que l'authentification SSO basée sur SAML est prise en charge mais qu'en est-il de deux facteurs (2FA) ou d'authentification multi-facteurs ? Est-ce supporté ?
Non, nous ne prévoyons pas de prendre en charge 2FA sur les connexions Studio standard pour le moment. Vous pouvez activer la connexion pour l'authentification SSO basée sur SAML et ajouter 2FA à votre configuration d'IdP, mais cela serait configuré par votre équipe informatique sur votre propre IdP.
Existe-t-il des plans de prise en charge d'autres protocoles SSO tels que CAS ou Kerberos ?
Pas en ce moment.
Nous avons certains utilisateurs sur notre compte qui ne devraient pas passer par SSO et d'autres qui ont besoin de passer par SSO. Est-ce pris en charge ?
Oui. L'authentification SSO est activée par utilisateur, de sorte que certains utilisateurs peuvent être activés pour la connexion SSO et d'autres peuvent être activés pour une connexion Studio normale. Une chose à noter est qu'il n'y a aucun moyen dans l'interface utilisateur de gestion des utilisateurs Studio de sélectionner le chemin d'authentification qu'un utilisateur doit parcourir lorsqu'un nouvel utilisateur est ajouté au compte. Actuellement, l'utilisateur héritera du chemin d'authentification pour lequel l'administrateur qui les ajoute est configuré. Nous prévoyons d'exposer une option pour sélectionner cette option dans le Studio à une date ultérieure. Pour l'instant, la solution de contournement pour les flux d'authentification mixtes consiste à avoir un administrateur configuré pour l'authentification unique et un autre configuré pour la connexion standard Studio. L'administrateur doit se connecter au compte d'utilisateur approprié lors de l'ajout de nouveaux utilisateurs en fonction de la méthode d'authentification pour laquelle ils doivent être configurés.
Bien que nous prenions en charge la flexibilité d'avoir différents utilisateurs configurés pour différents fournisseurs d'identité, nous avons également des clients qui veulent qu'un seul IdP et chaque utilisateur soient toujours configurés pour cette seule IdP. Cette configuration est également disponible.
La possibilité de configurer plusieurs fournisseurs d'identité pour les utilisateurs sur un seul compte est-elle prise en charge ?
Oui. Nous pouvons configurer plusieurs fournisseurs d'identité pour une organisation donnée (client) et nous pouvons assigner des utilisateurs à l'un ou l'autre IdP. Voir la question ci-dessus concernant l'héritage des chemins d'authentification lors de l'ajout d'un nouvel utilisateur à un compte.
La connexion locale (nom d'utilisateur/mot de passe Studio Auth) directement à Brightcove est-elle autorisée lorsque l'authentification SSO SAML est activée pour un utilisateur ?
Non. Une fois qu'un utilisateur est activé pour l'authentification unique, c'est la seule façon dont il peut s'authentifier dans son compte.
Est-ce que Brightcove prend en charge SAML v2.0 avec SSO initié par SP ?
Oui
- La connexion initiée par le SP est prise en charge via une URL spéciale de connexion directe au domaine qui ressemblera à ceci:
https://signin.brightcove.com/login/ext/saml?behavior=xxxxxxxxx - Il est également possible pour les utilisateurs d'accéder au
signin.brightcove.compage. Lorsqu'ils saisissent le nom d'utilisateur/mot de passe sur la page de connexion Brightcove, ils seront redirigés vers votre IdP pour vous connecter (si vous n'êtes pas déjà connecté). Notez que le champ mot de passe est ignoré sur la page de connexion Brightcove. Nous inspectons uniquement l'adresse e-mail pour voir si l'utilisateur est activé pour l'authentification unique.
Brightcove prend-il en charge l'utilisation du paramètre RelayState dans SAMLRequest/SAMLResponse pour l'accès direct à la vidéo après SSO ?
Non. Après la connexion via SSO, les utilisateurs seront toujours redirigé vers le tableau de bord Studio Home.
L'intégration SSO prend en charge l'authentification unique ?
Non.
Quels fournisseurs d'identité sont pris en charge ?
Bien que Brightcove n'ait pas testé avec tous les fournisseurs d'identité SSO, nous sommes convaincus que tant que votre fournisseur d'identité prend en charge SAML 2.0, il ne devrait pas y avoir de problèmes. Voici quelques-unes des questions courantes dont nous avons parlé aux clients : Okta, Ping Federated, Ping Identity, Microsoft Active Directory, OneLogin et Auth0.