Fait partie de notre série Security & Cybersecurity
Lire le guide completGestion des identités et des accès : SSO, MFA et accès basé sur les rôles dans Odoo
L'identité est le nouveau périmètre. Lorsque vos employés accèdent à Odoo ERP depuis leur domicile, leurs succursales et leurs appareils mobiles, la frontière traditionnelle du réseau n'a plus de sens. Ce qui reste constant, c'est l'identité : chaque demande d'accès provient d'un utilisateur spécifique, sur un appareil spécifique, à un moment précis, demandant l'accès à une ressource spécifique. La gestion efficace de ces signaux d’identité constitue le fondement de la sécurité des entreprises modernes.
Le rapport d'enquête sur les violations de données de Verizon identifie systématiquement les attaques liées aux informations d'identification comme le principal vecteur de plus de 60 % des violations. Pour les systèmes ERP Odoo qui centralisent les données financières, les dossiers clients, les informations RH et les informations sur la chaîne d'approvisionnement, un seul identifiant compromis peut exposer l'ensemble de l'épine dorsale opérationnelle de l'entreprise.
Points clés à retenir
- L'authentification unique centralisée via un fournisseur d'identité élimine la prolifération des mots de passe et fournit un point unique pour l'application et la révocation des accès.
- Les clés de sécurité matérielles (WebAuthn/FIDO2) fournissent le MFA le plus puissant, mais les applications d'authentification TOTP offrent le meilleur équilibre entre sécurité et convivialité pour la plupart des déploiements.
- Le système de contrôle d'accès basé sur les groupes d'Odoo prend en charge le RBAC granulaire lorsqu'il est correctement configuré avec des groupes personnalisés au-delà des rôles d'utilisateur/gestionnaire par défaut.
- Des examens d'accès trimestriels réduisent l'accumulation excessive de privilèges et détectent les comptes orphelins avant qu'ils ne deviennent des vecteurs d'attaque.
Gestion centralisée des identités
La gestion centralisée des identités connecte toutes vos applications métier à un seul fournisseur d'identité (IdP) qui sert de source faisant autorité pour l'authentification des utilisateurs et, dans de nombreux cas, l'autorisation. Au lieu que chaque application conserve sa propre base de données utilisateur et son propre mot de passe, les utilisateurs s'authentifient une fois via l'IdP et ont accès à toutes les applications autorisées.
Options du fournisseur d'identité
| Fournisseur | Tapez | Idéal pour | Protocoles SSO | Options d'AMF | Tarifs |
|---|---|---|---|---|---|
| Authentique | Open source, auto-hébergé | Organisations à contrôle total et soucieuses de la confidentialité | SAML, OIDC, LDAP, SCIM | TOTP, WebAuthn, SMS, Duo | Gratuit (auto-hébergé) |
| Porte-clés | Open source, auto-hébergé | Écosystèmes Java/entreprise | SAML, OIDC, LDAP | TOTP, WebAuthn | Gratuit (auto-hébergé) |
| Octa | Cloud SaaS | Grandes entreprises, large catalogue d'applications | SAML, OIDC, SCIM | TOTP, Push, WebAuthn, SMS | 6-15 $/utilisateur/mois |
| Azure AD (ID Entra) | Cloud SaaS | Environnements lourds Microsoft | SAML, OIDC, WS-Fed | Authentificateur, FIDO2, SMS | Inclus avec M365 |
| Google Workspace | Cloud SaaS | Environnements utilisant beaucoup Google | SAML, OIDC | Authentificateur, clé Titan | Inclus avec l'espace de travail |
| JumpCloud | Cloud SaaS | PME, gestion des appareils | SAML, OIDC, LDAP, RAYON | TOTP, Push, WebAuthn | 7-24 $/utilisateur/mois |
Pour les organisations exécutant Odoo ERP, le choix se résume généralement à Authentik (contrôle maximal, pas de frais de licence, fort support OIDC) ou à Okta/Azure AD (service géré, vaste marché d'applications, aucune surcharge opérationnelle).
Protocoles SSO : SAML vs OIDC
SAML 2.0 (Security Assertion Markup Language) est le protocole SSO d'entreprise établi. Il utilise des assertions basées sur XML échangées entre l'IdP et le fournisseur de services (SP). SAML est largement pris en charge par les applications d'entreprise et fournit un mappage d'attributs riche.
OIDC (OpenID Connect) est le protocole moderne construit sur OAuth2. Il utilise des jetons basés sur JSON (JWT) et des points de terminaison RESTful. OIDC est plus simple à mettre en œuvre, mieux adapté aux API et aux SPA, et de plus en plus préféré pour les nouvelles intégrations.
| Aspects | SAML2.0 | OIDC |
|---|---|---|
| Format du jeton | Assertions XML | Jetons Web JSON (JWT) |
| Transports | Liaisons HTTP POST/Redirection | HTTPS avec JSON |
| Idéal pour | Applications Web d'entreprise | API, SPA, applications mobiles |
| Complexité de mise en œuvre | Supérieur | Inférieur |
| Gestion des séances | Initié par l'IdP ou par le SP | Flux OAuth2 standards |
| Assistance Odoo | Via les modules de contribution | Natif (module fournisseur OAuth2) |
Configurer le SSO pour Odoo
Odoo prend en charge l'authentification OAuth2/OIDC de manière native via la configuration de son fournisseur OAuth2. La configuration implique :
- Créez une application OAuth2/OIDC dans votre fournisseur d'identité (Authentik, Okta, etc.) avec l'URI de redirection pointant vers votre instance Odoo (
https://your-odoo.com/auth_oauth/signin) - Configurez le fournisseur OAuth dans Odoo sous Paramètres > Paramètres généraux > Fournisseurs OAuth avec l'ID client, le secret client, l'URL d'autorisation, l'URL du jeton et l'URL des informations utilisateur.
- Mapper les attributs utilisateur --- Assurez-vous que l'IdP envoie l'e-mail, le nom et tous les attributs personnalisés nécessaires au mappage de groupe
- Activez la création automatique de compte si vous souhaitez que les nouveaux utilisateurs SSO soient automatiquement provisionnés dans Odoo
- Désactivez la connexion directe (facultatif mais recommandé) pour forcer toute authentification via SSO
Pour les déploiements avancés, SCIM (System for Cross-domain Identity Management) peut synchroniser le provisionnement et le déprovisionnement des utilisateurs entre l'IdP et Odoo, garantissant ainsi que les employés licenciés perdent immédiatement l'accès à Odoo lorsqu'ils sont désactivés dans l'IdP.
Authentification multifacteur (MFA)
MFA ajoute un deuxième facteur de vérification au-delà du mot de passe, bloquant 99,9 % des attaques automatisées d'identifiants selon les recherches de Microsoft. Pour les systèmes Odoo contenant des données financières et RH, la MFA n'est pas facultative : il s'agit du contrôle de sécurité le plus efficace disponible.
Comparaison des méthodes MFA
| Méthode | Sécurité | Convivialité | Coût | Résistant au phishing |
|---|---|---|---|---|
| WebAuthn/FIDO2 (clé matérielle) | Excellent | Bon | 25-70$/clé | Oui |
| WebAuthn/FIDO2 (plateforme) | Excellent | Excellent | Gratuit (intégré à l'appareil) | Oui |
| Application d'authentification TOTP | Bon | Bon | Gratuit | Non (mais résistant aux attaques à distance) |
| Notification poussée | Bon | Excellent | 3-6 $/utilisateur/mois | Non (attaques de fatigue MFA) |
| SMS/Voix OTP | Foire | Bon | 0,01-0,05 $/message | Non (échange de carte SIM, attaques SS7) |
| E-mail OTP | Pauvre | Foire | Gratuit | Non (la compromission par courrier électronique annule les avantages) |
Stratégie MFA recommandée
Pour les administrateurs et les utilisateurs privilégiés : Nécessite des clés de sécurité matérielles WebAuthn/FIDO2 (série YubiKey 5, Google Titan). Ceux-ci sont résistants au phishing car le défi cryptographique est lié au domaine d'origine : un site de phishing ne peut pas intercepter l'authentification.
Pour les utilisateurs professionnels standards : Nécessite des applications d'authentification TOTP (Google Authenticator, Microsoft Authenticator, Authy). Ceux-ci offrent une protection renforcée contre le credential stuffing et les attaques à distance, sans coût par utilisateur.
Pour tous les utilisateurs : Éliminez l'OTP basé sur SMS. Les attaques par échange de carte SIM ne coûtent que 100 $ pour être exécutées et contourner complètement la MFA basée sur SMS. Si les SMS doivent être pris en charge comme solution de secours, combinez-les avec la vérification de la confiance de l'appareil.
Implémentation de l'AMF dans Odoo
Odoo 17+ inclut la prise en charge TOTP intégrée. Activez-le sous Paramètres > Autorisations > Authentification à deux facteurs. Pour la prise en charge de WebAuthn et les politiques MFA plus avancées (MFA conditionnelle basée sur l’emplacement, l’appareil ou le risque), implémentez la MFA au niveau du fournisseur d’identité :
- Authentik --- Configurez les stratégies MFA par application. Exiger WebAuthn pour l’accès administrateur, TOTP pour l’accès standard. Prend en charge les codes de récupération pour la prévention du verrouillage du compte.
- Okta --- Adaptive MFA ajuste les exigences en fonction des signaux de risque. Les connexions à faible risque peuvent nécessiter uniquement une notification push. Les connexions à haut risque (nouveau périphérique, emplacement inhabituel) nécessitent une clé matérielle.
- Azure AD --- Les stratégies d'accès conditionnel appliquent l'authentification multifacteur en fonction du risque utilisateur, du risque de connexion, de la conformité des appareils et de la sensibilité des applications.
L’avantage du MFA au niveau IdP est qu’il s’applique sur toutes les applications connectées (Odoo, email, partage de fichiers, etc.) à partir d’un seul point de configuration.
Contrôle d'accès basé sur les rôles dans Odoo
Odoo implémente RBAC via un système de contrôle d'accès basé sur le groupe. Chaque module définit des groupes d'accès et les utilisateurs sont affectés à des groupes qui déterminent leurs autorisations. Comprendre et configurer correctement ce système est essentiel pour appliquer le moindre privilège.
Architecture de contrôle d'accès Odoo
Le contrôle d'accès d'Odoo fonctionne à quatre niveaux :
Accès au menu. Contrôle quels éléments de menu sont visibles par un utilisateur. C'est cosmétique : cela masque les éléments de menu mais n'impose pas l'accès au niveau des données.
Accès aux objets (ir.model.access). Contrôle les opérations CRUD (créer, lire, mettre à jour, supprimer) sur des modèles de base de données entiers. Défini par groupe, par modèle.
Règles d'enregistrement (ir.rule). Contrôle les enregistrements d'un modèle auxquels un utilisateur peut accéder. Il s’agit du contrôle d’accès précis qui applique l’isolation des données. Les règles d'enregistrement utilisent des filtres de domaine (par exemple, [('department_id', '=', user.department_id)]).
Accès aux champs. Contrôle l'accès à des champs spécifiques dans un modèle. Les champs sensibles (salaire, prix de revient, marge) peuvent être restreints à des groupes spécifiques.
Conception de groupes d'accès personnalisés
Les rôles d'utilisateur et de gestionnaire par défaut dans la plupart des modules Odoo sont trop larges pour des déploiements soucieux de la sécurité. Concevez des groupes personnalisés qui correspondent à votre structure organisationnelle :
| Module | Groupes par défaut | Groupes personnalisés recommandés |
|---|---|---|
| Ventes | Utilisateur, Gestionnaire | Représentant des ventes, chef d'équipe des ventes, directeur régional, vice-président des ventes |
| Comptabilité | Facturation, Comptable, Conseiller | Commis AP, commis AR, comptable, contrôleur, directeur financier |
| RH | Officier, Gestionnaire | Assistante RH, Généraliste RH, Responsable RH, CHRO |
| Inventaire | Utilisateur, Gestionnaire | Ouvrier d'entrepôt, superviseur d'équipe, directeur d'entrepôt, directeur logistique |
| Achat | Utilisateur, Gestionnaire | Demandeur d'achat, Acheteur, Responsable des achats, Directeur des achats |
Règles d'enregistrement pour la multilocation
Pour les déploiements Odoo multi-entreprises, les règles d'enregistrement doivent imposer l'isolation des données entre les entreprises :
- Chaque modèle contenant des données sensibles à l'entreprise doit avoir une règle d'enregistrement filtrant par
company_id - L'accès inter-sociétés doit être explicitement accordé uniquement aux administrateurs de la société holding.
- Testez les règles d'enregistrement en vous connectant en tant qu'utilisateurs de différentes sociétés et en essayant d'accéder aux enregistrements inter-entreprises
- Auditer les règles d'enregistrement tous les trimestres pour garantir que les nouveaux modèles personnalisés incluent une isolation appropriée de l'entreprise
Pour les organisations utilisant Odoo dans le cadre d'une stratégie de sécurité de la plateforme commerciale plus large, RBAC dans Odoo doit s'aligner sur les politiques de contrôle d'accès appliquées sur tous les systèmes connectés.
Examen des accès et gouvernance
Le contrôle d’accès n’est pas une configuration définie et oubliée. Sans examen régulier, les autorisations s'accumulent au fil du temps à mesure que les employés changent de rôle, assument des responsabilités supplémentaires et conservent l'accès de leurs postes précédents. Cette « dérive des privilèges » crée un accès excessif qui augmente le rayon d’action de la compromission des informations d’identification.
Processus d'examen trimestriel de l'accès
- Générer des rapports d'accès répertoriant tous les utilisateurs, les groupes qui leur sont attribués et les dernières dates de connexion
- Identifier les anomalies --- Utilisateurs ayant un accès administrateur qui ne font pas partie du personnel informatique, utilisateurs ayant accès à des modules sans rapport avec leur rôle, comptes qui ne se sont pas connectés depuis plus de 90 jours
- Révision avec les managers --- Chaque chef de service examine et confirme les attributions d'accès pour son équipe
- Révoquer les privilèges excédentaires --- Supprimer les affectations de groupe qui ne sont plus nécessaires
- Désactiver les comptes dormants --- Désactivez les comptes sans activité de connexion pendant plus de 90 jours
- Documenter les décisions --- Enregistrez la date d'examen, le nom de l'examinateur et toute modification apportée aux éléments probants d'audit.
Gouvernance des accès automatisés
Pour les déploiements plus importants, automatisez la gouvernance des accès à l'aide de :
- Provisionnement SCIM pour créer et mettre à jour automatiquement les comptes d'utilisateurs Odoo lorsque des employés sont embauchés, changent de rôle ou sont licenciés dans le système RH
- Mappage de groupe des groupes IdP vers les groupes Odoo, afin que les changements de rôle dans le fournisseur d'identité ajustent automatiquement les autorisations Odoo
- Campagnes de certification d'accès déclenchées selon un planning (trimestriel) ou par des événements (changement de rôle, transfert de service)
- Détection de comptes orphelins alertant lorsque des comptes existent dans Odoo mais pas dans l'IdP (indiquant une création manuelle qui a contourné la gouvernance)
Gestion des accès privilégiés
Les comptes administratifs dans Odoo (groupe Paramètres, groupe Fonctionnalités techniques, gestionnaire de base de données) nécessitent des contrôles supplémentaires :
- Comptes d'administrateur séparés --- Les administrateurs utilisent leur compte standard pour le travail quotidien et un compte privilégié distinct pour les tâches administratives.
- Accès juste à temps (JIT) --- L'accès administratif est accordé sur demande, pour une durée déterminée, avec workflow d'approbation
- Enregistrement de session --- Les sessions administratives sont journalisées et enregistrées à des fins d'audit
- Procédures en cas de bris de vitre --- Procédures d'accès d'urgence pour les situations où le flux de travail normal d'accès privilégié n'est pas disponible
Renforcement de la sécurité IAM spécifique à Odoo
Au-delà des standards RBAC et SSO, les déploiements Odoo bénéficient d’un renforcement spécifique à la plateforme :
Accès XML-RPC et JSON-RPC
Odoo expose les API XML-RPC et JSON-RPC pour les intégrations externes. Ces API contournent l'authentification de l'interface utilisateur Web et doivent être sécurisées séparément :
- Restreindre l'accès à l'API par IP à l'aide de règles de pare-feu ou de configuration de proxy inverse - Utilisez des clés API plutôt que les informations d'identification de l'utilisateur pour l'authentification de l'intégration.
- Points de terminaison de l'API à limite de débit pour empêcher le bourrage d'informations d'identification et les attaques par force brute
- Surveiller les échecs d'authentification de l'API et alerter sur les modèles anormaux
- Désactivez les protocoles API inutilisés --- Si vous utilisez uniquement JSON-RPC, désactivez XML-RPC
Sécurité du gestionnaire de base de données
Le gestionnaire de bases de données d'Odoo (/web/database/manager) permet de créer, dupliquer, supprimer et restaurer des bases de données. En production :
- Définissez un mot de passe fort pour le gestionnaire de base de données (ou désactivez-le entièrement avec
--no-database-list) - Restreindre l'accès à l'URL du gestionnaire de base de données via des règles de proxy inverse
- Utilisez l'indicateur
--databasepour spécifier la base de données exacte, empêchant ainsi l'énumération de la base de données
Sécurité des sessions
- Configurez
session_timeoutpour expirer automatiquement les sessions inactives (recommandé : 30 à 60 minutes pour les utilisateurs standard, 15 minutes pour les utilisateurs privilégiés) - Activer les indicateurs
secureethttpOnlysur les cookies de session - Mettre en œuvre des limites de sessions simultanées pour empêcher le partage d'informations d'identification et détecter les compromissions
Questions fréquemment posées
Puis-je utiliser le SSO avec Odoo Community Edition ?
Odoo Community Edition prend en charge l'authentification OAuth2 via le module auth_oauth, qui permet le SSO de base avec des fournisseurs comme Google et GitHub. Pour le SSO de niveau entreprise avec SAML, le provisionnement SCIM et le mappage d'attributs avancé, Odoo Enterprise Edition fournit des modules supplémentaires. Alternativement, vous pouvez obtenir des fonctionnalités similaires dans Community Edition en utilisant l'authentification par proxy inverse via Authentik ou Keycloak, où le proxy gère le SSO et transmet l'identité authentifiée à Odoo via des en-têtes.
Que se passe-t-il si le fournisseur d'identité tombe en panne ?
Si l'IdP n'est pas disponible, les utilisateurs ne peuvent pas s'authentifier via SSO. C’est pourquoi les procédures de bris de vitre sont essentielles. Conservez au moins un compte administratif local dans Odoo avec un mot de passe fort et unique stocké dans un coffre-fort physique ou un module de sécurité matériel. Ce compte contourne le SSO et permet aux administrateurs d'accéder au système pendant les pannes d'IdP. Pour les déploiements à haute disponibilité, configurez le clustering IdP ou un IdP secondaire avec basculement automatique.
Comment migrer les utilisateurs Odoo existants vers SSO ?
Le processus de migration implique de faire correspondre les comptes d'utilisateurs Odoo existants avec les identités IdP, généralement par adresse e-mail. Créez des utilisateurs dans l'IdP, configurez SSO dans Odoo et mettez à jour les enregistrements d'utilisateurs existants pour les lier à leur fournisseur OAuth. Les utilisateurs s'authentifieront via SSO lors de leur prochaine connexion. Prévoyez une période de transition pendant laquelle l'authentification locale et SSO sont disponibles, puis désactivez l'authentification locale une fois que tous les utilisateurs ont migré avec succès.
Dois-je appliquer la MFA au niveau de l'IdP ou directement dans Odoo ?
Appliquez l’authentification MFA au niveau de l’IdP. Cela fournit une MFA cohérente sur toutes les applications connectées (pas seulement Odoo), centralise la gestion des politiques MFA et active des fonctionnalités avancées telles que l’MFA conditionnelle et l’authentification basée sur les risques. Le TOTP intégré d'Odoo ne convient qu'en tant que déploiement autonome sans IdP.
Comment gérer l'accès des partenaires et fournisseurs externes ?
Créez un groupe dédié « Portail » ou « Utilisateur externe » dans Odoo avec des règles d'enregistrement restreintes qui limitent la visibilité aux seules données du partenaire. Utilisez les fonctionnalités d'identité externe de l'IdP (les « Sources » d'Authentik ou « Identité client » d'Okta) pour gérer l'authentification des utilisateurs externes séparément de l'authentification des employés. Appliquez des exigences MFA plus strictes et des délais d’expiration de session pour les utilisateurs externes. Effectuez des évaluations de la sécurité des fournisseurs avant d'accorder un accès.
Quelle est la prochaine étape
La gestion des identités et des accès est la pierre angulaire d'une architecture de sécurité zéro confiance. Commencez par consolider l'authentification via un fournisseur d'identité centralisé, appliquez la MFA pour tous les utilisateurs, configurez RBAC granulaire dans Odoo au-delà des rôles par défaut et mettez en œuvre des révisions d'accès trimestrielles. Chaque étape réduit considérablement votre risque d’attaques basées sur les informations d’identification.
ECOSIRE met en œuvre un IAM de niveau entreprise dans chaque déploiement Odoo ERP, y compris l'intégration SSO avec Authentik, la conception d'accès basée sur les rôles et le renforcement de la sécurité. Notre plateforme OpenClaw AI étend la sécurité basée sur l'identité aux applications basées sur l'IA. Contactez notre équipe pour créer une base d'identité sécurisée pour votre entreprise.
Publié par ECOSIRE --- aider les entreprises à évoluer avec des solutions basées sur l'IA dans Odoo ERP, Shopify eCommerce et OpenClaw AI.
Rédigé par
ECOSIRE TeamTechnical Writing
The ECOSIRE technical writing team covers Odoo ERP, Shopify eCommerce, AI agents, Power BI analytics, GoHighLevel automation, and enterprise software best practices. Our guides help businesses make informed technology decisions.
ECOSIRE
Transformez votre entreprise avec Odoo ERP
Implémentation, personnalisation et assistance expertes d'Odoo pour rationaliser vos opérations.
Articles connexes
Détection de fraude par IA pour le commerce électronique : protégez vos revenus sans bloquer les ventes
Mettez en œuvre une détection de fraude par IA qui détecte plus de 95 % des transactions frauduleuses tout en maintenant les taux de faux positifs en dessous de 2 %. Scoring ML, analyse comportementale et guide du retour sur investissement.
Segmentation client basée sur l'IA : du RFM au clustering prédictif
Découvrez comment l'IA transforme la segmentation client de l'analyse RFM statique au clustering prédictif dynamique. Guide d'implémentation avec Python, Odoo et données de retour sur investissement réel.
IA pour l'optimisation de la chaîne d'approvisionnement : visibilité, prédiction et automatisation
Transformez les opérations de la chaîne d'approvisionnement grâce à l'IA : détection de la demande, évaluation des risques des fournisseurs, optimisation des itinéraires, automatisation des entrepôts et prévision des perturbations. Guide 2026.
Plus de Security & Cybersecurity
Cybersécurité pour le commerce électronique : protégez votre entreprise en 2026
Guide complet de cybersécurité du commerce électronique pour 2026. PCI DSS 4.0, configuration WAF, protection contre les robots, prévention de la fraude aux paiements, en-têtes de sécurité et réponse aux incidents.
Tendances en matière de cybersécurité 2026-2027 : Zero Trust, menaces liées à l'IA et défense
Le guide définitif des tendances en matière de cybersécurité pour 2026-2027 : attaques basées sur l'IA, mise en œuvre du modèle Zero Trust, sécurité de la chaîne d'approvisionnement et création de programmes de sécurité résilients.
Meilleures pratiques de sécurité des agents IA : protection des systèmes autonomes
Guide complet sur la sécurisation des agents IA couvrant la défense contre les injections rapides, les limites d'autorisation, la protection des données, la journalisation d'audit et la sécurité opérationnelle.
Meilleures pratiques de sécurité cloud pour les PME : protégez votre cloud sans équipe de sécurité
Sécurisez votre infrastructure cloud avec les meilleures pratiques pratiques en matière d'IAM, de protection des données, de surveillance et de conformité que les PME peuvent mettre en œuvre sans équipe de sécurité dédiée.
Exigences réglementaires en matière de cybersécurité par région : une carte de conformité pour les entreprises mondiales
Parcourez les réglementations en matière de cybersécurité aux États-Unis, dans l’UE, au Royaume-Uni, dans la région APAC et au Moyen-Orient. Couvre les règles NIS2, DORA, SEC, les exigences en matière d'infrastructure critique et les délais de conformité.
Gestion de la sécurité des points finaux : protégez chaque appareil de votre organisation
Mettez en œuvre la gestion de la sécurité des points finaux avec les meilleures pratiques en matière de protection des appareils, de déploiement EDR, de gestion des correctifs et de politiques BYOD pour les effectifs modernes.