L’accès à GTm Extranet depuis un poste connecté au réseau interne de La Poste ne suit pas le même parcours qu’une connexion externe. Depuis la mise en place du portail marh.legroupelaposte.fr et la bascule vers un fournisseur d’identité unique (IdP), plusieurs agents se retrouvent face à des redirections en boucle ou des échecs silencieux d’authentification. Comprendre le mécanisme de fédération SSO et les réglages réseau qui l’entourent permet d’identifier rapidement l’origine du blocage.
Fédération SSO et IdP unique : ce qui change pour la connexion réseau interne
Le schéma d’authentification groupe pour les applications RH, dont MaBoxRH et GTm Extranet, repose désormais sur une fédération d’identité via un IdP unique. Concrètement, toute tentative de connexion depuis maboxrh.laposte.fr ou marh.legroupelaposte.fr déclenche une redirection vers une URL de type authentification.groupe.net.extra.laposte.fr.
A lire également : Comment réussir sa formation digitale et booster sa carrière dans le numérique
Sur le réseau interne, cette redirection passe par le proxy d’entreprise. Si le navigateur ou le poste de travail n’est pas configuré pour autoriser cette chaîne de redirections, la page d’authentification ne se charge jamais. Le symptôme typique : un écran blanc ou une erreur de certificat, sans message explicite.
Réussir l’authentification à l’extranet GTM La Poste depuis le réseau interne suppose de vérifier que le domaine de l’IdP figure bien dans les exceptions du proxy local. Les agents qui utilisent un navigateur non référencé (Firefox installé manuellement, par exemple) rencontrent plus souvent ce problème que ceux qui restent sur le navigateur déployé par la DSI.
A découvrir également : Conseils pratiques pour réussir votre investissement immobilier en 2024
| Scénario de connexion | Redirection IdP | Résultat courant |
|---|---|---|
| Réseau interne, navigateur DSI, proxy configuré | Automatique via SSO | Accès direct sans ressaisie d’identifiant |
| Réseau interne, navigateur non référencé | Bloquée par le proxy | Page blanche ou erreur certificat |
| Réseau externe (domicile, 4G) | Via marh.legroupelaposte.fr | Saisie identifiant RH + mot de passe + 2FA |
| Réseau interne, VPN actif simultanément | Conflit de routage | Boucle de redirection infinie |
Le cas du VPN actif en parallèle mérite attention. Certains agents activent le VPN par réflexe alors qu’ils sont déjà sur le réseau d’entreprise. Le routage entre le tunnel VPN et le proxy local entre en conflit, ce qui empêche la résolution correcte de l’URL de l’IdP.
Double authentification par application : fin du SMS et conséquences sur GTm Extranet
La Poste a engagé depuis novembre 2025 une migration progressive de la 2FA par SMS vers la 2FA par application (type TOTP ou notification push). Pour les agents qui accédaient à GTm Extranet depuis le réseau interne avec un code SMS en guise de second facteur, le changement a un impact direct : le SMS n’arrive plus, et l’interface ne propose aucun message d’erreur clair.
Depuis le réseau interne, la double authentification n’est pas toujours déclenchée grâce au SSO. En revanche, dès que la session expire ou que l’agent change de poste physique, le système redemande une validation 2FA. Sans application configurée, la connexion échoue à cette étape.
Configurer la 2FA applicative avant d’en avoir besoin
L’erreur fréquente consiste à découvrir l’obligation de 2FA par application au moment où l’on tente de se connecter. La configuration doit se faire en amont, idéalement depuis un accès externe où le parcours guidé est plus explicite.
- Installer une application TOTP compatible (celle recommandée par la DSI ou une application standard de type Google Authenticator, Microsoft Authenticator) sur le téléphone personnel ou professionnel
- Se connecter une première fois depuis l’extérieur du réseau via marh.legroupelaposte.fr pour activer l’association entre le compte RH et l’application
- Vérifier que le code TOTP généré fonctionne avant de tenter la connexion depuis le réseau interne, car un échec répété peut entraîner un verrouillage temporaire du compte
Une fois l’application associée, la connexion depuis le réseau interne redevient fluide : le SSO prend le relais pour la majorité des sessions, et la 2FA applicative n’intervient que lors des réauthentifications ponctuelles.
Clavier virtuel MaBoxRH et identifiant RH : deux sources de blocage distinctes
Le portail MaBoxRH utilise un clavier virtuel pour la saisie du mot de passe. Ce mécanisme de sécurité, conçu pour contrer les keyloggers, pose des problèmes spécifiques sur le réseau interne. Les postes équipés de logiciels de sécurité endpoint bloquent parfois le JavaScript nécessaire au rendu du clavier. Le résultat : un champ mot de passe vide, sans clavier cliquable, et aucune possibilité de saisir quoi que ce soit.
La solution passe par la vérification des paramètres de sécurité du navigateur. Les scripts provenant du domaine maboxrh.laposte.fr doivent être autorisés. Sur certains postes, il faut ajouter manuellement le domaine à la liste blanche du filtre de contenu.
Identifiant RH : ni email ni matricule paie
L’autre source de confusion concerne l’identifiant lui-même. Le champ de connexion attend l’identifiant RH spécifique au groupe, pas l’adresse email professionnelle ni le numéro de matricule utilisé sur les fiches de paie. Ces trois données sont différentes. Un agent qui saisit son email obtient un refus sans explication, ce qui le conduit souvent à lancer une réinitialisation de mot de passe inutile.
- L’identifiant RH figure sur les courriers de la DRH et sur le premier document d’accès remis à l’embauche
- Il peut être retrouvé en contactant le support à l’adresse [email protected]
- Le responsable RH de proximité dispose également de cette information
Résolution des boucles de redirection sur le réseau La Poste
Les boucles de redirection constituent le problème le plus fréquent et le moins documenté. Elles se produisent lorsque le navigateur oscille entre le portail MaBoxRH et l’IdP sans jamais finaliser l’authentification. Deux causes dominent.
La première : un cache de cookies corrompus lié à une session précédente. Le SSO s’appuie sur des cookies de session positionnés par l’IdP. Si une session antérieure a été interrompue brutalement (fermeture du navigateur pendant l’authentification, coupure réseau), le cookie résiduel empêche la nouvelle authentification de s’initier correctement. Supprimer les cookies du domaine authentification.groupe.net.extra.laposte.fr résout la majorité de ces cas.
La seconde : une incohérence d’horloge entre le poste de travail et le serveur d’authentification. Le protocole SAML utilisé par la fédération d’identité valide un horodatage dans la requête. Un décalage de quelques minutes suffit à provoquer un rejet silencieux. Sur les postes gérés par la DSI, la synchronisation NTP est normalement automatique, mais certains postes anciens perdent leur synchronisation après une mise en veille prolongée.
Vider le cache, redémarrer le navigateur et vérifier l’heure système représentent trois actions simples qui résolvent la grande majorité des échecs de connexion SSO depuis le réseau interne, sans nécessiter d’intervention du support.