Service d'authentication - Configurer un SSO SAML avec Microsoft Entra ID

Modifié le 15/03/2024 16:08

Sommaire

Remarques
Prérequis
Procédure : Comment configurer un SSO SAML avec Microsoft Entra ID
- Dans Microsoft Entra ID
- Dans le Service d'authentification
  - Configuration du SSO
  - Association du SSO à une règle

IntegrationMicrosoftAzureAD_ConstantlyEvolving

Microsoft Azure est en constante évolution. Il est donc possible que certains écrans des procédures ci-dessous ne correspondent pas à ce que vous voyez réellement dans l'interface.

2024.1+

La configuration du SSO (Single Sign-On) nécessite l'inscription d'une application web dans le portail Azure. Cette inscription établit une relation d'approbation entre l'application et le fournisseur d'identité (IdP) Microsoft Entra ID (anciennement Microsoft Azure Active Directory).

Remarques

Tout au long de la procédure, des identifiants doivent être sauvegardés. Ils sont demandés pour configurer le fournisseur d'identité.

Prérequis

Vous devez disposer d'un abonnement Azure. Sinon, vous pouvez soit en créer un gratuitement ( voir Procédure), soit souscrire à un abonnement de type paiement à l'utilisation.
Vous avez les comptes et droits d'accès suffisants aux services avec lesquels vous souhaitez vous interfacer dans le portail Azure.

Procédure : Comment configurer un SSO SAML avec Microsoft Entra ID

Dans Microsoft Entra ID

Inscription d'une application Entra ID dans le portail Azure

RegisterApp_Procedure

Étape 1 : Accès au portail Azure

1. Connectez-vous au portail Azure avec les informations d'identification de votre compte Azure.

2. (optionnel) Sélectionnez votre environnement si vous disposez de plusieurs locataires.

Étape 2 : Inscription d'une nouvelle application dans le portail Azure et récupération de l'identifiant

1. Recherchez le service Inscriptions des applications (App registrations) dans la liste des services Azure, ou cliquez sur le lien ci-dessous pour un accès direct.
Microsoft Azure : Inscriptions des applications

La liste de vos applications Entra ID déjà inscrites sur le portail Azure est affichée.
App registrations.png

2. Cliquez sur + Nouvelle inscription.

La fenêtre de propriétés est affichée.
App registration - Creation.png

3. Renseignez les informations nécessaires à l'inscription de l'application.

Nom : Nom de l'application. Note : Ce nom n'est pas utilisé par le produit tiers.

Best Practice icon.png Saisissez un nom vous permettant de retrouver facilement l'application dans le tableau de bord des applications du portail Azure.

Types de compte pris en charge : Indique qui peut utiliser la nouvelle application.
- Sélectionnez l'option Comptes dans cet annuaire organisationnel uniquement qui indique que seuls les comptes de votre organisation peuvent accéder à l'application (Application monolocataire ou Single tenant).

4. Cliquez sur Inscrire.

L'application Entra ID est créée et inscrite dans le portail Azure.
Ses identifiants sont affichés.

Récupération des métadonnées de fédération

1. Cliquez sur l'onglet Points de terminaison.

2. Récupérez l'URL du champ Document de métadonnées de fédération.

Survolez le champ avec la souris puis cliquez sur pour copier l'URL.
Conservez la valeur dans votre éditeur de texte pour une utilisation ultérieure.

Endpoint - Copy Federation metadata document.png

Exposition de l'API de l'application

1. Cliquez sur Exposer une API dans le menu latéral, puis sur Ajouter en regard du champ Application ID URI.

Expose API - Copy Application ID URI.png

2. Cliquez sur Enregistrer dans le panneau latéral droit.

L'URI de l'ID d'application est affichée.

3. Récupérez l'URI.

Survolez le champ avec la souris puis cliquez sur pour copier l'URL.
Conservez la valeur dans votre éditeur de texte pour une utilisation ultérieure.

Dans le Service d'authentification

Configuration du SSO

1. Allez sur le menu SSO.

2. Cliquez sur + Ajouter.

3. Renseignez les informations du nouveau SSO.

Étape Protocole

Sélectionnez le protocole SAML2.

Étape Paramètres

Entity ID : Collez l'identifiant de l'application Entra ID que vous avez conservé dans votre éditeur de texte (Application ID URI).

IDP Metadata URL : Collez l'identifiant de l'application Entra ID que vous avez conservé dans votre éditeur de texte (Fedaration metadata document).

Sélectionnez la fréquence de rafraichissement des données.

Étape Configuration

Récupérez les informations nécessaires à la configuration de l'URI de redirection de l'application Entra ID.
- Survolez le champ Assertion Consumer Service puis cliquez sur Copier.
- Conservez la valeur dans votre éditeur de texte.

Retournez sur l'application Entra ID.
- Cliquez sur Vue d'ensemble dans le menu latéral, puis sur Ajouter une URI de redirection dans la section Essentiels.
- Cliquez sur Ajouter une plateforme et sélectionnez le type de plateforme Web.
- Renseignez l'URI de redirection en collant l'URL du champ Assertion Consumer Service que vous avez conservé dans votre éditeur de texte.
- Cliquez sur Configurer.

Étape Test

Cliquez sur Tester l'authentification pour lancer le nouveau SSO.
- Le SSO est lancé.
- Les résultats du test sont affichés.

Si l'authentification a échoué, il est impossible de passer à l'étape suivante. Cliquez sur Précédent pour vérifier et modifier les paramètres de la configuration.

Étape Champs

Effectuez la correspondance des éléments remontés par le SSO (informations relatives à l'utilisateur connecté) avec les champs existants dans la base de données d'identification.

Étape MFA

Indiquez si le mode d'authentification multifacteurs (MFA) doit être activé (option ) ou non (option ).
Si vous avez activé le MFA, renseignez les champs pour le configurer - voir Description

5. Cliquez sur Terminer.

Le nouveau SSO est créé..

Association du SSO à une règle

1. Allez sur le menu Moteur de règles.

2. Survolez la règle dans la liste avec la souris et cliquez sur Update icon.png .

L'assistant de modification est affiché.

3. Cliquez sur Suivant pour aller sur l'étape SSO.

4. Sélectionnez le SSO que vous venez de configurer.