Passer au contenu principal

Dépannage de l'authentification unique (SSO)

Résoudre les problèmes de configuration, de gestion des utilisateurs, de connexion et d'autres problèmes liés à l'authentification unique

Écrit par Perplexity Support
Mis à jour il y a plus de 2 mois

Présentation de l’authentification unique (SSO)

Notre plateforme SSO (WorkOS) aide les organisations à gérer efficacement l’accès des utilisateurs. En imposant des connexions contrôlées par domaine via le fournisseur d’identité (IdP), les organisations contrôlent qui peut accéder à Perplexity de leur côté.

Fonctionnement de l'approvisionnement des utilisateurs

  • Par défaut : les administrateurs de l’organisation doivent inviter les utilisateurs dans Perplexity.

  • Approvisionnement juste à temps : Les utilisateurs sont créés dans Perplexity lorsqu'ils se connectent pour la première fois via SSO/IdP, et non lorsqu'ils sont ajoutés dans l'IdP. Vous trouverez les instructions pour activer le provisionnement JIT ici.

  • Fonctionnalités d’ingénierie facultatives :

    • Activez la connexion automatique pour les utilisateurs avec le domaine de messagerie de votre organisation.

    • Ajoutez automatiquement à votre compte Perplexity tous les utilisateurs dont le domaine de messagerie appartient à votre organisation.

  • SCIM (System for Cross-domain Identity Management) : automatise l’approvisionnement et le déprovisionnement des utilisateurs. Perplexity prend en charge le SCIM pour les organisations comptant 50 utilisateurs ou plus ou s’il y a au moins un utilisateur Enterprise Max.

Fonctionnement du déprovisionnement des utilisateurs

  • Les utilisateurs supprimés de l'IdP ne sont pas automatiquement supprimés de Perplexity.

  • Si l’authentification unique est appliquée, les utilisateurs déprovisionnés ne peuvent pas se connecter, mais apparaissent toujours dans Perplexity jusqu’à ce qu’un administrateur les supprime.

  • Recommandation : Les administrateurs doivent régulièrement examiner et supprimer manuellement les utilisateurs déprovisionnés afin de maintenir l’exactitude des enregistrements.

Étapes clés du dépannage

Dépannage général

Si votre organisation rencontre des problèmes avec le SSO, commencez par vérifier que l’option Require SSO est activée. Lorsque cette option est activée, les connexions contrôlées par domaine via votre IdP sont appliquées pour votre organisation.

Pour ce faire, accédez à l’écran Identité dans les paramètres de votre organisation, puis activez Require SSO.

Si l'authentification unique est requise pour votre organisation, mais que le flux d'authentification unique pour votre organisation ne s'affiche pas, vérifiez que le domaine ou le sous-domaine utilisé est vérifié (voir ci-dessous).

Vous pouvez aussi leur demander d’actualiser complètement la page (Ctrl+F5 sous Windows, ou Cmd+Maj+R sur Mac), au cas où le problème serait lié au cache.

Problèmes liés à la vérification du domaine

Tous les domaines et sous-domaines utilisés par votre organisation pour la connexion SSO doivent être vérifiés indépendamment.

Si la vérification de votre domaine affiche l’état « en attente » ou « échoué », il est probable que l’enregistrement TXT DNS n’ait pas encore été ajouté à la configuration DNS de votre domaine.

Pour vérifier votre ou vos domaines :

  1. Accédez à l’écran Identité dans les paramètres de votre organisation.

  2. Cliquez sur « Ajouter » à côté de la section Domaine.

  3. Saisissez le domaine de votre organisation (par exemple, votredomaine.com).

  4. Copiez l'enregistrement DNS TXT fourni.

  5. Ajoutez cet enregistrement à la configuration DNS de votre domaine avec le "verification_token=string" complet inclus avec les guillemets doubles qui l’entourent. Définissez le TTL sur 60 secondes.

  6. Attendez au moins une minute, puis utilisez nslookup -q=text yourdomain.com pour confirmer que le nouvel enregistrement DNS TXT a été propagé sur Internet.

  7. Cliquez sur « Vérifier » une fois l'enregistrement DNS TXT ajouté.

  8. Répétez l'opération pour tous les domaines utilisés par votre organisation.

  9. Une fois qu'un domaine a été vérifié avec succès, vous pouvez augmenter le paramètre TTL à 12 ou 24 heures (43200 ou 86400 secondes).

Approvisionnement juste à temps

Si vous souhaitez activer les fonctionnalités de connexion automatique ou de capture automatique, vous devrez activer l'approvisionnement juste à temps pour votre organisation.

Vous pouvez le faire dans l’écran Identité des paramètres de votre organisation, en basculant le bouton ‘Just-in-time account provisioning’ sur ‘Enabled’ :

Si le JIT est actif pour votre organisation, mais que vous rencontrez des problèmes avec l'approvisionnement juste-à-temps d'un utilisateur spécifique, essayez de vous connecter avec un nouvel utilisateur.

  • Si cela fonctionne avec un nouvel utilisateur, mais pas avec des utilisateurs spécifiques, il est très probable que les problèmes d'intégration des utilisateurs en cours ne soient pas dus à une mauvaise configuration de l'authentification unique ou de l'approvisionnement du côté de l'organisation. Au lieu de cela, les problèmes peuvent être liés à des attributions d’utilisateurs individuels, à des autorisations, à des appartenances à des groupes dans le fournisseur d’identité ou à des problèmes spécifiques à ces comptes.

  • Si cela ne fonctionne pas, il peut y avoir un problème avec la configuration SSO/JIT entre votre IdP et Perplexity. Les causes courantes incluent des attributs mal configurés, des autorisations manquantes ou des paramètres SAML/OIDC incorrects.

Problèmes de déprovisionnement :

Si le SCIM n’est pas actif pour votre organisation, lorsqu’un utilisateur est supprimé du fournisseur d’identité (IdP), cet utilisateur perd la possibilité de se connecter à Perplexity si l’authentification unique est appliquée et que l’IdP rejette sa connexion. Cependant, le compte et les données de l’utilisateur resteront dans le système Perplexity jusqu’à ce qu’un administrateur les supprime ou les retire manuellement. L’authentification unique standard contrôle uniquement l’authentification lors de la connexion, et non la gestion du cycle de vie de l’utilisateur ou sa suppression.

Le SCIM ajoute une gestion automatisée du cycle de vie. Lorsqu’un utilisateur est déprovisionné dans l’IdP, SCIM envoie une demande à Perplexity pour désactiver ou supprimer automatiquement le compte utilisateur. Cela signifie que les organisations qui utilisent SCIM peuvent automatiser à la fois la création et la suppression des utilisateurs, ce qui réduit le travail de nettoyage manuel et améliore la posture de sécurité.

SCIM est disponible pour les organisations disposant de 50 sièges ou plus, ou d’au moins un siège Enterprise Max.

Messages d’erreur courants et correctifs

Message d’erreur

Signification

Solution

AADSTS50105 (Microsoft Entra ID)

L’utilisateur n’est pas un membre direct d’un groupe autorisé ou n’a pas d’accès direct.

Contactez votre administrateur informatique ou Enterprise Pro pour être ajouté directement ou à un groupe ayant accès. Essayez de vous reconnecter après la synchronisation.

User is not assigned to this application (Okta)

Le compte n'est pas attribué à l'application Perplexity dans Okta.

Demandez à votre administrateur informatique ou Enterprise Pro d'attribuer votre compte à l'application Perplexity Enterprise dans Okta.

Erreur 408 : App_not_enabled_for_user (Google SSO)

L'accès à l'application n'est pas activé pour votre compte ou votre groupe dans la console d'administration Google.

L'administrateur doit activer l'accès utilisateur pour vous ou votre groupe dans la console d'administration de Google Workspace sous Applications > Applications Web et mobiles. Réessayez ensuite de vous connecter.

Migration de domaine

Lorsqu'une organisation migre vers un nouveau domaine, l'authentification unique (SSO) peut cesser de fonctionner si les comptes d'utilisateurs ou les paramètres de domaine ne sont pas mis à jour dans Perplexity.

Pour éviter les échecs de l’authentification unique lors d’une migration de domaine, la meilleure pratique consiste à ajouter et vérifier de manière proactive le nouveau domaine dans Perplexity avant d’apporter des modifications au fournisseur d’identité ou aux adresses e-mail des utilisateurs.

Il est également important de mettre à jour la configuration du fournisseur d’identité pour inclure le nouveau domaine et d’ajuster les affectations de groupe ou d’utilisateur en conséquence, afin que les utilisateurs conservent les autorisations SSO nécessaires après le changement.

Si vous avez migré des domaines avant de vérifier le nouveau domaine et que vous avez toujours accès à votre ancienne adresse e-mail avec des droits d’administrateur, connectez-vous avec cette adresse e-mail. Cela vous permettra de vérifier le nouveau domaine. Cependant, si vous n’avez plus accès à votre ancienne adresse e-mail, contactez-nous : nous pouvons désactiver temporairement le SSO afin que vous puissiez vérifier le nouveau domaine.

Besoin d'aide ?

Si vous rencontrez d'autres problèmes ou si ces étapes de dépannage ne résolvent pas le problème que vous rencontrez, contactez-nous et nos ingénieurs d'assistance se feront un plaisir de vous aider.

Articles connexes
Gestion des utilisateurs pour les organisations Enterprise
Intégration SSO : Prise en main
Gestion des comptes utilisateurs basée sur SCIM
Introduction aux administrateurs de l'organisation
Configuration de l’authentification unique avec Okta
Présentation de l’authentification unique (SSO)
Fonctionnement de l'approvisionnement des utilisateurs
Fonctionnement du déprovisionnement des utilisateurs
Étapes clés du dépannage
Dépannage général
Problèmes liés à la vérification du domaine
Approvisionnement juste à temps
Problèmes de déprovisionnement :
Messages d’erreur courants et correctifs
Migration de domaine
Besoin d'aide ?