Aller au contenu

Microsoft Entra ID

Cet article présente le paramétrage de la fédération d'identités SAMLv2 entre Microsoft Entra ID et cyberelements.io.

Attention !

Les informations données ci-dessous ne sont valides que pour cyberelements.io.

Configuration d'un fournisseur d'identités SAML avec Microsoft Entra ID

Connectez-vous à la console d'administration Azure : Console d'administration Azure

Une fois connecté, rendez-vous dans vos Applications d'entreprises.
De là créez-en une nouvelle :

Sélectionnez la création de votre nouvelle application :

Nommez-la, sélectionnez d'intégrer une autre application non trouvée dans la gallerie et créez-la :

Une fois votre application d'entreprise créée pour cyberelements.io, veuillez y ajouter des utilisateurs et des groupes utilisateurs :

Ensuite, rendez-vous dans le menu Single sign-on afin de débuter le paramétrage SAML en le sélectionnant :

En bas de page, copiez la valeur de Microsoft Entra Identifier :

Conservez l'onglet ouvert et depuis la console d'administration cyberelements.io, ouvrez les fournisseurs d'identités :

Puis ajoutez-en un nouveau :

  1. Sélectionnez le type de domaine Domaine SAML
  2. Nommez votre nouveau domaine
  3. Ajoutez une description facultative
  4. Précisez votre domaine local, cela servira pour le mécanisme de SSO lorsqu'il est paramétré en activé
  5. Ajustez le temps d'expiration des sessions utilisateurs inactives (sessions utilisateurs où aucune application cyberelements.io n'est lancée)
  6. Ajustez le nombre de sessions simultanées autorisées pour chacun des utilisateurs
  7. Activez ou non la suppression automatique de la plus ancienne session si l'utilisateur se connecte alors qu'il a déjà atteint le nombre de sessions simultanées maximal
  8. Sélectionnez le fournisseur d'identité Azure
  9. Renseignez la valeur de Microsoft Entra Identifier récupérée précédemment
  10. Renseignez la valeur de la variable des groupes suivante : 
    1
    http://schemas.microsoft.com/ws/2005/05/identity/claims/groups
  11. Laissez le format de la variable des groupes à URI
  12. Renseignez la valeur de la variable login suivante : 
    1
    http://schemas.microsoft.com/ws/2005/05/identity/claims/name
  13. Laissez le format de la variable login à URI
  14. Ajoutez ou non le domaine dans l'authentification en cascade

Validez la création du domaine puis rééditez-le afin de vous rendre dans le second onglet.
De là vous pouvez télécharger les métadonnées de configuration pour l'IDP :

Retournez dans l'onglet de configuration de l'application d'entreprise Entra ID et téléversez le fichier Metadata récupéré de cyberelements.io :

Modifiez la valeur de l'URL de déconnexion en remplaçant, à la fin, /Artifact par /Redirect et enregistrez la configuration :

Editez ensuite les attributs et assertions SAML :

Ajoutez une nouvelle assertion de groupe, remontez soit tous les groupes de l'utilisateur ou seulement les groupes assignés à l'application d'entreprise, assurez-vous que ce soit bien l'ID des groupes qui soit remonté et validez la création de la nouvelle assertion :

Finalement récupérez l'URL des métadonnées de fédération :

Retournez dans la console d'administration cyberelements.io et ajoutez l'URL des métadonnées de fédération :

Une fois validé, votre nouveau domaine SAML est prêt à être utilisé.

Ajout de groupes

Le nouveau domaine SAML est directement exploitable mais du fait que SAMLv2 ne prévoit pas d'échanges directs entre l'IDentity Provider (IDP) et le Service Provider (SP), qui est dans notre contexte cyberelements.io, il ne peut avoir connaissance des groupes utilisateurs présents sur Entra ID.
Pour pallier ce problème, les groupes utilisateurs peuvent soit être synchonisés ponctuellement ou soit être ajoutés manuellement au produit.

Par synchronisation ponctuelle

La synchronisation ponctuelle des groupes utilisateurs Entra ID est possible grâce à l'usage de la fonctionnalité device login d'Azure.
La fonctionnalité synchronisera l'ensemble des groupes présents sur Entra ID.

Pour réaliser cette synchronisation, ouvrez la liste des domaines disponibles et cliquez sur le bouton de synchronisation :

Une fenêtre s'ouvre dans laquelle un code sera à recopier pour le coller sur l'authentification à Azure accessible avec le lien indiqué :

Après s'être authentifié, cyberelements.io va synchroniser l'ensemble des groupes pour les rendre exploitables dans la solution. Suivant le nombre de groupes à synchroniser l'opération peut prendre jusque 5 minutes (pour des milliers de groupes à synchroniser).

Manuellement

Ouvrez la gestion des groupes utilisateurs :

Sélectionnez votre domaine Entra ID et cliquez sur le bouton d'ajout :

Finalement remplissez les différents champs pour l'ajout d'un groupe présent sur Entra ID :

  1. Donnez le nom d'affichage dans cyberelements.io de votre groupe utilisateur (pour simplifier la gestion il est recommandé de le nommer de la même manière que sur Entra ID)
  2. Précisez l'ID de l'objet groupe, ce dernier étant récupérable depuis la gestion des groupes Azure
  3. Ajoutez, de façon facultative, une description au groupe utilisateur