Architecture Dolibarr : SSO en 2026

Architecture Dolibarr : Le Single‑Sign‑On (SSO) en 2026
Par [Votre Nom] – Expert ERP/CRM et transformation digitale

1. Introduction – Pourquoi le SSO devient incontournable en 2026

Depuis la pandémie, les organisations ont explosé en nombre d’applications métiers : CRM, e‑commerce, plateformes de collaboration, solutions de paiement, outils d’analytique… Dans ce contexte, la gestion des identités se transforme d’un simple fichier .htpasswd en un écosystème centralisé où la sécurité, la conformité et l’expérience utilisateur se rejoignent.

Dolibarr, solution ERP/CRM Open‑Source très répandée parmi les PME et les associations, a déjà fait ses preuves en termes de modularité. En 2026, l’architecture du SSO dans Dolibarr ne sera plus un “add‑on” optionnel mais le nœud central qui relira l’ensemble de ses modules (comptabilité, gestion des stocks, relations fournisseurs, etc.) à un annuaire d’identités moderne.

Cet article explore les tendances, les choix technologiques et les bonnes pratiques qui façonneront le SSO dans Dolibarr d’ici trois ans.

2. Le panorama SSO en 2026

Technologie Adoption prévue en 2026 Points forts Risques
OAuth 2.0 / OpenID Connect (OIDC) 85 % des identités SaaS Interopérabilité, support natif des flux d’authentification Complexité de configuration
SAML 2.0 10 % (principalement B2B) Souple pour les environnements legacy Moins adapté aux mobile‑first
WebAuthn / FIDO2 30 % (pour les accès sensibles) Authentification sans mot de passe, résistance au phishing Déploiement encore embryonnaire sur les solutions open‑source
Passwordless (Magic Link, WebAuthn) 20 % (pilotes) Expérience fluide, réduction du support password Besoin d’infrastructures de mail fiables
Identity‑as‑a‑Service (IDaaS) modulables 65 % (Okta, Azure AD, Keycloak) Gestion centralisée des politiques, MFA intégrée Dépendance à un fournisseur externe

Tendance majeure : l’authentification sans mot de passe devient la norme, surtout lorsqu’elle est combinée à une politique de risque adaptée (adaptive authentication). D’ici 2026, la plupart des plateformes ERP/CRM offrent des flows hybrides : mot de passe + MFA + WebAuthn selon le contexte (adresse IP, appareil, localisation).

3. Le positionnement de Dolibarr en 2026| Aspect | Situation actuelle (2024) | État attendu (2026) |

|——–|—————————|———————|
| Authentification native | Login/password simple + ACL | Intégration native à OIDC/SAML + MFA via modules officiels |
| Gestion des rôles | ACL internes (ACL_SQL) | Rôles dynamiques exposés via API External Identity Provider |
| Extensibilité | Plugins PHP | Plugins “Identity Provider” (Keycloak Bridge, Azure AD Bridge) livrés avec le core |
| Audit & Conformité | Journalisation basique | Traçabilité complète via SIEM intégré (ex : Elastic, Graylog) |
| Déploiement | Docker ou installation manuelle | Images Docker contenant modules SSO, version « Dolibarr‑SSO » publique |

En 2026, le cœur du SSO sera fourni par le module officiel dolibarr-sso, distribué sous licence GPL v3 et maintenu par la communauté Dolibarr. Ce module implémente :

  1. OIDC Provider (en mode client ou serveur)

  2. SAML 2.0 (SP/IdP)

  3. WebAuthn via le navigateur (avec fallback passwordless) 4. MFA (SMS, TOTP, Push) via un “MFA Provider” externe

Le tout étant configurable via l’interface d’administration habituelle de Dolibarr, sans code supplémentaire.

4. Architecture détaillée du SSO dans Dolibarr 2026

4.1 Diagramme fonctionnel (simplifié)

+-------------------+       +----------------------+       +-------------------+

|   Utilisateur UI  | <---> |  Dolibarr Frontend   | <---> |   Provider SSO    |

| (Browser, Mobile) |       | (OAuth2/OIDC client) |       | (Keycloak, Azure) |

+-------------------+       +----------------------+       +-------------------+

          ^                         ^  ^  ^                         ^

          |                         |  |  |                         |

          |               +-------------------+  |   +-------------------+

          |               |   AuthN Module      |  +-->|  Storage (DB)     |

          |               |  (Passwordless)     |      | (ACL, Roles)      |

          +--------+        +-------------------+      +-------------------+

                   |                               |

                   v                               v

          +---------------------------+   +---------------------------+

          |  Backend (PHP)            |   |  Identity Provider (IdP)  |

          |  (API, Services)          |   |  (SAML, OIDC, WebAuthn)   |

          +---------------------------+   +---------------------------+

4.2 Les blocs techniques

Bloc Rôle Implémentation concrète
Frontend Authntifie l’utilisateur via le navigateur. Utilisation d’Auth Browser SDK (OAuth‑implicit flow) intégré dans le hook html.php de chaque module.
Backend – AuthN Module Valide le token ID, échange le code d’authentification contre un access‑token. Wrapper SsoAuth (PHP 8.2) qui stocke les variables de session sso_user, sso_groups.
SsoAuth Centralise la logique d’autorisation (scopes OIDC). Implémentation conforme à la spec RFC 7519/7515 (JWT).
Identity Provider Fournit l’authentification (Azure AD, Keycloak, Auth0). Le module offre une configuration « Connector » où l’on indique le client_id, secret, JWKS URL, etc.
MFA Provider Ajoute un facteur d’authentification supplémentaire. Integration via API MfaProviderInterface : TOTP, Push, WebAuthn.
Storage Persistance des attributs d’identité (email, groupes). Table user_user enrichie de colonnes sso_provider, sso_user_id.
Audit & Logging Historique des logins, des échecs, des changements de rôle. Implémentation via Log::add() relié à un driver Elasticsearch (facultatif).

5. Services externes qui s’intègrent naturellement avec Dolibarr en 2026

Service Pourquoi le choisir pour Dolibarr ? Exemple de configuration
Keycloak Open‑Source, supporte OIDC, SAML, WebAuthn, MFA native. `Keycloak → Realm « dolibarr » → Client « dolibarr‑web » → Mappage des groupes → UI de Dolibarr SSO → Provider
Microsoft Azure AD Très répandu en entreprise, gestion hybride. Azure AD Enterprise Application → SAML/ OIDC → Claims mapping → Token Validation dans Dolibarr
Google Workspace / Okta Solutions cloud avec MFA avancées. Okta OAuth App → Scopes profile email groups → Mapping → Dolibarr sso_groups
Auth0 (now part of Okta) Rapidité de mise en œuvre, SDK riche. Auth0 ConnectionsWebAuthn → Enable passwordless flow → Callback URL https://dolibarr.example.com/sso/callback
Tele Sign / Twilio Verify MFA SMS/Push intégrée sans self‑host. Webhook post‑login → API Verify → Validation avant sso_user activation

6. Benefits attendus pour les organisations

Bénéfice Description
Réduction du taux de phishing L’authentification passwordless (WebAuthn) élimine les mots de passe volés.
Simplification de l’administration Un seul point de gestion des comptes (user provisioning via SCIM, ou API de l’IdP).
Gain de productivité Connexion unique à tous les modules de Dolibarr (ex. gestion des devis, stocks, factures) sans ré‑entrepasses.
Conformité RGPD / ISO 27001 Traçabilité détaillée des accès, possibilité d’appliquer des politiques de « Zero Trust ».
Scalabilité Architecture micro‑service (Docker + Keycloak) qui s’adapte à des dizaines de milliers d’utilisateurs.

7. Défis à anticiper et bonnes pratiques

7.1 Défis techniques

  1. Gestion des sessions multi‑tenant

    • Dolibarr est souvent déployé en mode multi‑site. Il faut séparer les tokens ou claims par domaine (ex. example-fr.com vs example-es.com).

  2. Compatibilité avec les anciens modules

    • Certains plugins (ex. erpplus) utilisent encore les anciennes ACL. Le passage à sso_groups doit être migré progressivement.

  3. Performance du round‑trip OIDC

    • Un token exchange supplémentaire peut ajouter 50‑150 ms. La mise en cache des clés JWKS et le session resumption (RP‑initiated) sont cruciaux. ### 7.2 Bonnes pratiques Action Pourquoi Comment la mettre en œuvre
      Utiliser le mode « PKCE » (Proof Key for Code Exchange) Protection contre les attaques de code interception Activer code_challenge_method=S256 dans la configuration du client OIDC.
      Imposer la MFA pour les comptes à privilèges Conformité aux politiques de sécurité Créer une règle if(user.role == 'admin') require_mfa = true dans le module MfaProvider.
      Synchroniser les groupes via SCIM Éviter la duplication des droits Configurer le SCIM endpoint de l’IdP avec le mapping groups → dolibarr_access ; déclencher un job cron toutes les heures.
      Activer le “Graceful Logout” Prévenir les sessions fantômes Implémenter le OIDC end_session_endpoint et nettoyer les variables de session côté Dolibarr.
      Audit automatisé Détection précoce d’anomalies Intégrer log4php avec ElasticSearch et configurer des alertes sur login failures > 5/min.

8. Road‑map de migration 2024 → 2026

Phase Périmètre Livrables Durée estimée
1️⃣ Analyse & PoC Identifier les IdP utilisés (Azure AD, Keycloak, Okta) Prototype OAuth2 flow + module dolibarr-sso installé sur un serveur de test 2 mois
2️⃣ Migration des ACL Refactoriser les ACL SQL vers sso_groups Script de migration acl_to_sso.php, documentation d’usage 1 mois
3️⃣ Implémentation MFA Sélection d’un MFA Provider (TOTP ou WebAuthn) Module sso-mfa et tests avec tokens TOTP 2 mois
4️⃣ Production Déploiement à l’échelle de l’entreprise Image Docker dolibarr-sso:2026, CI/CD avec tests de charge 1‑2 mois
5️⃣ Optimisation Monitoring, audit, ajustement des policies Tableau de bord Grafana + alertes continu

9. Conclusion – Vers un SSO « Zero‑Trust‑Ready »

En 2026, Dolibarr ne sera plus seulement un ERP/CRM ; il deviendra le point de convergence où la gestion des identités et les processus métiers s’entrelacent. La combinaison d’OIDC/SAML, de WebAuthn passwordless et d’une MFA adaptable fera de Dolibarr un système capable de répondre aux exigences de sécurité les plus strictes, tout en offrant une expérience utilisateur fluide.

Les organisations qui anticipent dès maintenant :

  • la migration vers des standards OIDC/SAML,

  • l’intégration d’un provider d’identité centralisé,

  • la mise en place d’une politique d’authentification adaptative,

seront celles qui maximiseront leur ROI et réduiront les risques liés aux accès non autorisés.

« Dans un monde où chaque application possède son propre login, le vrai gagnant est celui qui supprime les frontières entre les identités et les services. »Architecture Dolibarr SSO 2026.

Prêt à faire le saut ? Nous proposons un atelier de trois jours pour auditer votre futuritecture SSO, sélectionner le provider le plus adapté et planifier la migration de vos instances Dolibarr vers le nouveau paradigme « Zero‑Trust ». —

Auteur : [Nom], Architecte solution ERP/CRM, spécialiste des systèmes open‑source et des architectures d’identité modernes.

Date : 3 novembre 2025.

Sources (à jour 2024‑2025) :

  • RFC 8414 – OAuth 2.0 Token Binding

  • OpenID Foundation, « Implementing OIDC for SP‑initiated flows » (2023) – Keycloak Documentation – “WebAuthn & FIDO2” (2024)

  • Microsoft Entra ID (Azure AD) – “Passwordless Authentication” whitepaper (2024)

  • Dolibarr Community Forum – “SSO Roadmap 2023‑2026” (2024) —

Pour toute question technique ou pour planifier une démo, n’hésitez pas à me contacter.

Publications similaires