§ 00Ce qu'est le SSO SAML
Le SSO SAML connecte EasyLiveChat au fournisseur d'identité déjà utilisé par votre entreprise — Okta, Microsoft Entra, Google Workspace ou tout autre IdP SAML 2.0. Lorsqu'un agent clique sur la tuile EasyLiveChat dans le tableau de bord de son IdP (ou ouvre un favori), il est redirigé vers l'IdP, s'y connecte avec le mot de passe qu'il utilise déjà pour tout le reste, et revient sur la boîte de réception EasyLiveChat. Aucun mot de passe EasyLiveChat n'est jamais saisi.
Si vous avez déjà cliqué sur « Se connecter avec Google » sur un site web, vous avez utilisé la version grand public de ce mécanisme. SAML en est l'équivalent professionnel — le site (nous) fait confiance à ce que le fournisseur d'identité (votre Okta / Microsoft / Google) affirme sur l'identité de l'utilisateur.
EasyLiveChat n'exploite jamais le fournisseur d'identité. Vous apportez le vôtre. Nous fournissons le côté récepteur.
§ 01Disponibilité par plan
Le SSO SAML est une fonctionnalité Enterprise. Il se débloque également pendant l'essai gratuit de 14 jours, pour vous laisser évaluer la mise en place avant de décider.
| Plan | SAML SSO |
|---|---|
| Essai gratuit | Débloqué pendant l'essai |
| Starter | Verrouillé |
| Growth | Verrouillé |
| Enterprise | Inclus |
§ 02Valeurs à donner à votre admin IdP
Voici les identifiants côté EasyLiveChat dont votre IdP a besoin. Remplacez <slug> par le slug de votre espace. La page /settings/sso les affiche tous avec des boutons de copie.
| URL SSO / ACS | https://api.livechattools.com/api/saml/<slug>/callback |
| Audience / ID d'entité SP | https://api.livechattools.com/api/saml/<slug>/metadata |
| Format Name ID | Adresse e-mail |
| Attribut requis | email (ou NameID = email) |
| Assertion signée | Requise (la réponse signée est facultative) |
La plupart des IdP peuvent aussi importer directement un document XML de métadonnées — l'URL de métadonnées est identique à l'ID d'entité et retourne le XML que notre backend produit.
§ 03Configurer Okta
Ces étapes supposent que vous avez un accès admin à votre workspace Okta. L'offre Okta dev est gratuite et convient à l'évaluation.
- Connectez-vous au panneau admin Okta → Applications → Create App Integration → SAML 2.0.
- Nommez l'app (par ex. « EasyLiveChat ») et cliquez sur Next.
- À l'étape Configure SAML, remplissez ces champs avec les valeurs de votre page /settings/sso :
- Single sign-on URL → l'URL ACS que nous vous avons fournie.
- Cochez « Use this for Recipient URL and Destination URL ».
- Audience URI (SP Entity ID) → l'ID d'entité que nous vous avons fourni.
- Name ID format → EmailAddress.
- Application username → Email.
- Attribute Statements → ajoutez une ligne :
email→user.email— Name format Basic.
- Cliquez sur Next → « I'm an Okta customer adding an internal app » → Finish.
- Dans l'onglet Sign On de la nouvelle app → « View SAML setup instructions ». Copiez l'IdP Single Sign-On URL, l'IdP Issuer et le X.509 Certificate (au format PEM, avec les marqueurs BEGIN/END).
- Assignez l'app aux utilisateurs dont les e-mails correspondent aux agents existants dans votre espace EasyLiveChat (People → Assignments).
§ 04Configurer Microsoft Entra (Azure AD)
Ces étapes supposent que vous disposez d'un rôle Global Administrator ou Application Administrator dans Microsoft Entra.
- Entra admin → Enterprise applications → New application → Create your own application → nommez-la (par ex. « EasyLiveChat ») → Non-gallery app.
- Ouvrez la nouvelle app → Single sign-on → SAML.
- Basic SAML Configuration → définissez Identifier (Entity ID) et Reply URL (ACS) avec les valeurs de votre page /settings/sso.
- Attributes & Claims → assurez-vous qu'un claim porte l'e-mail de l'utilisateur. Soit utilisez le claim emailaddress par défaut et collez son URI dans le champ « Email claim » d'EasyLiveChat, soit ajoutez un nouveau claim nommé email avec la valeur user.mail.
- SAML Signing Certificate → téléchargez le fichier .cer « Certificate (Base64) ». Ouvrez-le dans un éditeur de texte et copiez tout le contenu PEM (avec les marqueurs BEGIN/END) dans le champ de certificat de signature d'EasyLiveChat.
- Dans « Set up <app name> », copiez la Login URL (→ IdP entry URL dans EasyLiveChat) et le Microsoft Entra Identifier (→ IdP issuer). Assignez les utilisateurs via Users and groups.
§ 05Configurer Google Workspace
Ces étapes supposent que vous êtes Super Admin Workspace.
- Google admin → Apps → Web and mobile apps → Add app → Add custom SAML app. Donnez-lui un nom comme « EasyLiveChat ».
- À l'étape IdP details, téléchargez le certificat X.509 et copiez la SSO URL et l'Entity ID.
- À l'étape Service provider details, collez l'ACS URL et l'Entity ID depuis votre page /settings/sso. Définissez Name ID format sur EMAIL et Name ID sur Basic Information > Primary email.
- Attribute mapping → mappez Primary email → attribut email de l'app.
- Terminez, puis activez l'app pour l'unité organisationnelle dont les utilisateurs doivent pouvoir se connecter. Enregistrez le certificat + les URLs dans EasyLiveChat.
§ 06Configurer dans EasyLiveChat
Ouvrez https://app.livechattools.com/settings/sso. et collez les quatre valeurs que vous venez de récupérer auprès de votre IdP :
- IdP entry URL — L'URL de single sign-on que l'IdP vous a fournie (par ex. https://yourcompany.okta.com/app/exk.../sso/saml).
- IdP issuer — L'identifiant d'entité de l'IdP (parfois appelé Issuer URL ou Entity ID côté IdP).
- Certificat de signature IdP (PEM) — Collez le certificat X.509 avec les marqueurs BEGIN CERTIFICATE / END CERTIFICATE.
- Claim email (facultatif) — Laissez vide pour utiliser le NameID. Collez une URI de claim si votre IdP envoie l'e-mail sous un nom d'attribut spécifique.
Cliquez sur Save. Le badge d'état passe à CONFIGURED et l'URL de connexion SP-initiated apparaît en bas de la page.
§ 07Comment les agents se connectent
Deux chemins — tous deux aboutissent au même endroit (votre boîte de réception), authentifiés avec un nouveau token de session.
- SP-initiated — Envoyez les agents vers
https://api.livechattools.com/api/saml/<slug>/login. Cette URL adaptée aux favoris les fait passer par votre IdP avant de revenir. - IdP-initiated — Les agents cliquent sur la tuile EasyLiveChat depuis le tableau de bord des apps de leur IdP (Okta dashboard, Microsoft 365 app launcher, Google Workspace app launcher). Ils arrivent directement sur la boîte de réception EasyLiveChat.
§ 08Correspondance des agents
EasyLiveChat associe l'utilisateur SAML à une ligne Agent existante par e-mail — l'utilisateur authentifié par l'IdP doit déjà exister comme agent dans votre espace. Nous ne créons pas d'agents automatiquement à la première connexion SSO (pas encore de provisionnement « just-in-time ») afin que le SSO ne contourne pas la gouvernance d'invitation de votre équipe.
Si l'utilisateur SAML n'a pas d'agent correspondant, le callback redirige vers la page de connexion EasyLiveChat avec reason=agent_not_found. Invitez l'utilisateur via Settings → Team avec l'e-mail exact que l'IdP envoie, puis réessayez.
§ 09Dépannage
Si une connexion échoue, EasyLiveChat redirige vers /login?saml_error=1&reason=<code>. Le code vous indique ce qui n'a pas fonctionné :
| reason= | Ce qui s'est passé | Solution |
|---|---|---|
| missing_response | L'IdP n'a pas envoyé de SAMLResponse à notre callback. | Vérifiez à nouveau l'ACS / Single Sign-On URL côté IdP — elle doit être exactement la callback URL que nous vous avons montrée, slug d'espace inclus. |
| validation_failed | Nous avons reçu un SAMLResponse mais la signature n'a pas pu être validée. | Le certificat de signature collé dans /settings/sso doit correspondre au certificat de signature réel de l'IdP. Recopiez le PEM (avec les marqueurs BEGIN/END) depuis l'IdP. |
| no_email | Signature OK mais pas d'e-mail dans l'assertion. | Assurez-vous que l'IdP envoie l'e-mail de l'utilisateur — soit en NameID (format EmailAddress), soit en claim. Si c'est un claim, collez son URI dans le champ Email claim. |
| agent_not_found | L'e-mail attesté par l'IdP n'est pas dans votre liste d'agents. | Invitez l'utilisateur via Settings → Team avec cet e-mail exact, puis réessayez la connexion. |