Retour au blog
HR TechSSOauthentification

SSO entreprise et SIRH : les pièges SAML et SCIM qui apparaissent en production

Publié le 2026-04-16 · Mis à jour le 2026-06-014 min de lectureCleanIssue

> En bref : L'intégration SSO est le moment où la plupart des SIRH introduisent des failles d'authentification. Les points à relire côté éditeur.

Comment éviter les pièges SAML et SCIM dans un SIRH ?

Le SSO est un cadeau empoisonné si mal implémenté

Le SSO rassure les acheteurs enterprise. Mais c'est aussi le moment où un SIRH peut introduire ses pires failles d'authentification.

Pour aller plus loin — lire notre spécialité cybersécurité HR tech.

Ce qui casse souvent

  • signature SAML non vérifiée ou vérifiée partiellement ;
  • attributs SAML utilisés comme identifiants sans validation ;
  • SCIM qui permet de créer des comptes sans vérifier le tenant ;
  • session partagée entre plusieurs entreprises si l'IdP est mal configuré.
  • Ce qu'un audit externe va regarder

    Les requêtes SAML rejouées, les attributs modifiés, et la capacité à se faire provisionner dans un tenant qui n'est pas le sien. Ces tests sont rapides et très révélateurs.

    Pour les éditeurs RH & Paie

    CleanIssue est spécialisé dans l'audit des logiciels RH, paie et recrutement. Si vous éditez un SIRH, un outil de paie ou un ATS en France et que vous voulez une revue externe de votre exposition avant un audit client ou une revue sécurité, voyez notre offre dédiée aux éditeurs RH & Paie.

    À retenir

  • Validez systématiquement l'émetteur et l'audience des assertions SAML — ne faites jamais confiance au XML reçu.
  • Le provisioning SCIM doit vérifier que les attributs reçus correspondent aux rôles autorisés.
  • Testez le SSO avec des assertions forgées pour vérifier la robustesse de votre implémentation.
  • Vous éditez un logiciel RH, paie ou recrutement ? CleanIssue réalise des audits de sécurité pour SaaS RH en conditions réelles, sans accès au code. Pour une première lecture de votre exposition, commencez par une revue externe de votre application.

    Besoin d'une revue externe de votre SaaS RH ?

    Expliquez votre produit, votre stack et votre contexte client. Nous revenons vers vous avec le bon niveau de revue.

    Parler de votre audit