Service d'authentication - Configurer un SSO SAML avec Microsoft Entra ID
IntegrationMicrosoftAzureAD_ConstantlyEvolving
2024.1+
La configuration du SSO (Single Sign-On) nécessite l'inscription d'une application web dans le portail Azure. Cette inscription établit une relation d'approbation entre l'application et le fournisseur d'identité (IdP) Microsoft Entra ID (anciennement Microsoft Azure Active Directory).
Remarques
- Tout au long de la procédure, des identifiants doivent être sauvegardés. Ils sont demandés pour configurer le fournisseur d'identité.
Prérequis
- Vous devez disposer d'un abonnement Azure. Sinon, vous pouvez soit en créer un gratuitement ( voir Procédure), soit souscrire à un abonnement de type paiement à l'utilisation.
- Vous avez les comptes et droits d'accès suffisants aux services avec lesquels vous souhaitez vous interfacer dans le portail Azure.
Procédure : Comment configurer un SSO SAML avec Microsoft Entra ID
Dans Microsoft Entra ID
Inscription d'une application Entra ID dans le portail Azure
RegisterApp_Procedure
Étape 1 : Accès au portail Azure
1. Connectez-vous au portail Azure avec les informations d'identification de votre compte Azure.
2. (optionnel) Sélectionnez votre environnement si vous disposez de plusieurs locataires.
Étape 2 : Inscription d'une nouvelle application dans le portail Azure et récupération de l'identifiant
1. Recherchez le service Inscriptions des applications (App registrations) dans la liste des services Azure, ou cliquez sur le lien ci-dessous pour un accès direct.
Microsoft Azure : Inscriptions des applications
La liste de vos applications Entra ID déjà inscrites sur le portail Azure est affichée.
2. Cliquez sur + Nouvelle inscription.
La fenêtre de propriétés est affichée.
3. Renseignez les informations nécessaires à l'inscription de l'application.
- Nom : Nom de l'application. Note : Ce nom n'est pas utilisé par le produit tiers.
- Types de compte pris en charge : Indique qui peut utiliser la nouvelle application.
- Sélectionnez l'option Comptes dans cet annuaire organisationnel uniquement qui indique que seuls les comptes de votre organisation peuvent accéder à l'application (Application monolocataire ou Single tenant).
4. Cliquez sur Inscrire.
- L'application Entra ID est créée et inscrite dans le portail Azure.
- Ses identifiants sont affichés.
Récupération des métadonnées de fédération
1. Cliquez sur l'onglet Points de terminaison.
2. Récupérez l'URL du champ Document de métadonnées de fédération.
- Survolez le champ avec la souris puis cliquez sur pour copier l'URL.
- Conservez la valeur dans votre éditeur de texte pour une utilisation ultérieure.
Exposition de l'API de l'application
1. Cliquez sur Exposer une API dans le menu latéral, puis sur Ajouter en regard du champ Application ID URI.
2. Cliquez sur Enregistrer dans le panneau latéral droit.
L'URI de l'ID d'application est affichée.
3. Récupérez l'URI.
- Survolez le champ avec la souris puis cliquez sur pour copier l'URL.
- Conservez la valeur dans votre éditeur de texte pour une utilisation ultérieure.
Dans le Service d'authentification
Configuration du SSO
1. Allez sur le menu SSO.
2. Cliquez sur + Ajouter.
3. Renseignez les informations du nouveau SSO.
Étape Protocole
- Sélectionnez le protocole SAML2.
Étape Paramètres
Entity ID : Collez l'identifiant de l'application Entra ID que vous avez conservé dans votre éditeur de texte (Application ID URI).
IDP Metadata URL : Collez l'identifiant de l'application Entra ID que vous avez conservé dans votre éditeur de texte (Fedaration metadata document).
Sélectionnez la fréquence de rafraichissement des données.
Étape Configuration
- Récupérez les informations nécessaires à la configuration de l'URI de redirection de l'application Entra ID.
- Survolez le champ Assertion Consumer Service puis cliquez sur Copier.
- Conservez la valeur dans votre éditeur de texte.
- Retournez sur l'application Entra ID.
- Cliquez sur Vue d'ensemble dans le menu latéral, puis sur Ajouter une URI de redirection dans la section Essentiels.
- Cliquez sur Ajouter une plateforme et sélectionnez le type de plateforme Web.
- Renseignez l'URI de redirection en collant l'URL du champ Assertion Consumer Service que vous avez conservé dans votre éditeur de texte.
- Cliquez sur Configurer.
- Cliquez sur Vue d'ensemble dans le menu latéral, puis sur Ajouter une URI de redirection dans la section Essentiels.
Étape Test
- Cliquez sur Tester l'authentification pour lancer le nouveau SSO.
- Le SSO est lancé.
- Les résultats du test sont affichés.
Étape Champs
- Effectuez la correspondance des éléments remontés par le SSO (informations relatives à l'utilisateur connecté) avec les champs existants dans la base de données d'identification.
Étape MFA
- Indiquez si le mode d'authentification multifacteurs (MFA) doit être activé (option ) ou non (option ).
- Si vous avez activé le MFA, renseignez les champs pour le configurer - voir Description
5. Cliquez sur Terminer.
Le nouveau SSO est créé..
Association du SSO à une règle
1. Allez sur le menu Moteur de règles.
2. Survolez la règle dans la liste avec la souris et cliquez sur .
L'assistant de modification est affiché.
3. Cliquez sur Suivant pour aller sur l'étape SSO.
4. Sélectionnez le SSO que vous venez de configurer.
5. Cliquez sur Terminer.