Apprendre · Gérer une organisation · 3 min de lecture

Membres et domaines

Wodo s'adapte au degré de formalisme que votre organisation souhaite adopter en matière d'identité. Il existe deux modèles, et vous passez du premier au second quand vous êtes prêt — pas avant.

Le modèle par invitation (celui qu'adopte chaque organisation au départ)

Les personnes rejoignent l'organisation parce que quelqu'un les a invitées : à l'organisation, à un espace, à un document. N'importe qui peut être invité avec n'importe quelle adresse e-mail. Ce modèle convient aux petites équipes, aux agences et à tout groupe dont l'appartenance repose sur la confiance plutôt que sur la paie.

Dans ce modèle, chaque personne est propriétaire de son propre compte. Vous pouvez retirer quelqu'un de votre organisation, mais le compte lui appartient.

Le modèle par domaine vérifié

Si vous souhaitez que votre organisation fasse autorité sur les comptes @votreentreprise.com — connexion centralisée via votre propre fournisseur d'identité, collègues rejoignant sans aller-retour d'invitation, processus de départ propre — vous vérifiez le domaine : publiez un enregistrement DNS prouvant que vous le contrôlez (ainsi qu'une vérification de connexion confirmant que vous gérez effectivement des boîtes mail). Premier arrivé, premier servi par domaine ; les fournisseurs publics comme gmail.com ne peuvent pas être vérifiés.

La vérification débloque plusieurs options, chacune disposant de son propre interrupteur :

  • Géré ou externe. La liste des membres distingue désormais les personnes dont vous gérez l'identité (Géré — votre domaine) de toutes les autres (Externe). Les niveaux d'accès ne changent pas ; la visibilité, si.
  • Connexion imposée. Connectez votre propre fournisseur d'identité — Okta, Entra ID, n'importe quel fournisseur OIDC — et la connexion pour les utilisateurs de votre domaine doit passer par lui. Désactivez quelqu'un dans votre fournisseur d'identité et il ne peut plus se connecter à Wodo. Aucun Passkey ni voie de secours pour contourner cela.
  • Adhésion automatique. En option, toute personne se connectant avec une adresse de domaine vérifié rejoint automatiquement votre organisation — plus d'aller-retour d'invitation pour les nouveaux collègues.
  • Départ officiel. Les utilisateurs gérés peuvent être retirés et leurs comptes désactivés par l'organisation — le processus de départ que la conformité exige, que le modèle par invitation ne propose délibérément pas.

Les filets de sécurité

Verrouiller la connexion sur votre propre fournisseur d'identité soulève une crainte évidente : que se passe-t-il si la configuration du fournisseur d'identité est défaillante ? Une route de récupération dédiée (/sso-recovery) permet à un administrateur de prouver son identité via un code envoyé à tous les administrateurs, d'accéder uniquement aux paramètres SSO, et de corriger ou désactiver la configuration. Chaque utilisation est auditée et annoncée à tous les administrateurs.

La vérification de domaine est par ailleurs contrôlée en continu. Si votre enregistrement DNS disparaît, les administrateurs reçoivent des avertissements pendant six semaines avant que la gouvernance ne s'arrête — rien ne se coupe brutalement parce qu'une migration DNS a supprimé un enregistrement TXT.

Comme tout ce qui est présenté ici : le SSO imposé et la gestion de domaine sont des fonctionnalités incluses, pas un niveau entreprise. Voir les tarifs.