Retour à Atlas
Fondation de la plateforme

SSO et identité

Fédération OIDC et SAML avec Entra ID, Okta, Google Workspace, ou tout fournisseur d'identité conforme aux standards. Courriel/mot de passe natif disponible en repli contrôlé.

Pourquoi cela compte pour les acheteurs d'entreprise

Votre équipe TI a intégré une douzaine de fournisseurs SaaS cette année. FrontLine suit le scénario standard — SAML 2.0 / OIDC, provisionnement SCIM, création d'utilisateurs juste-à-temps, attribution de rôles selon les groupes — pour qu'aucun travail d'intégration sur mesure ne soit nécessaire et que les révisions d'accès s'inscrivent dans vos processus IdP existants.

Comment c'est implémenté

Fédération standard, configurée comme votre équipe TI s'y attend

Nous prenons en charge SAML 2.0 (préféré pour les IdP d'entreprise) et OIDC avec PKCE. La correspondance groupe-vers-rôle est réévaluée à chaque connexion, donc les changements de rôle dans votre IdP prennent effet à la prochaine session. Les secrets clients IdP sont chiffrés au repos avec une clé SSO_SECRET_KEY stable qui survit aux déploiements. Les jetons JWT portent la revendication tenant et sont immuables pour le cycle de la requête. Le courriel/mot de passe natif est désactivé par défaut en production ; un drapeau par tenant peut le réactiver pour les scénarios de récupération.

Capacités

Ce qui est couvert dès le départ

SAML 2.0 avec correspondance de groupes par attribut
OIDC avec PKCE
Intégrations pré-testées avec Entra ID, Okta, Google Workspace
Provisionnement utilisateur SCIM 2.0
Provisionnement juste-à-temps avec rôles par défaut
Application SSO obligatoire par tenant (aucun mot de passe)
Témoins de confiance d'appareil signés avec un secret stable
Événements d'authentification émis vers la piste d'audit
Standards et conformité

Artefacts prêts pour l'audit sur lesquels vos évaluateurs peuvent s'appuyer

  • Audit SOC 2 Type II en cours — contrôles de gestion des accès
  • Aligné avec NIST 800-63B AAL2 pour l'assurance d'authentification
  • Cadre de contrôle d'accès ISO/IEC 27001
  • Secrets IdP chiffrés via SOPS avec clé age au déploiement
FAQ des achats

Ce que les évaluateurs sécurité et conformité demandent vraiment

Pouvez-vous imposer l'accès SSO uniquement, sans repli mot de passe ?+
Oui. Un drapeau par tenant désactive toute authentification par mot de passe, y compris les comptes de récupération.
Comment gérez-vous les changements de rôle IdP en cours de session ?+
Les attributions de rôle sont redérivées de l'appartenance aux groupes IdP à chaque connexion. Retirer un utilisateur d'un groupe IdP révoque son accès à la prochaine session.
Que se passe-t-il pour les sessions existantes lors d'une rotation IdP ?+
Les sessions JWT existantes restent valides jusqu'à expiration (8 heures par défaut). La rotation force une nouvelle authentification à la prochaine connexion.
Les événements d'authentification sont-ils journalisés ?+
Chaque connexion, déconnexion, défi MFA, réinitialisation de mot de passe et tentative échouée est enregistrée dans la piste d'audit immuable avec IP, agent utilisateur et hash de la revendication IdP.

Présentez ceci à votre équipe sécurité

Nous partageons les aperçus de sécurité, le DDL des politiques RLS, les schémas d'événements d'audit, et l'avancement SOC 2 sur demande. Réservez une revue de sécurité de 30 minutes avec les fondateurs.

Réserver une revue de sécuritéRetour à Atlas
Demander un accès anticipé
SSO et identité — Plateforme FrontLine | FrontLine