Procédure pour configurer l’authentification SAML avec Azure AD
Si votre organisation utilise le service Azure Active Directory (Azure AD) de Microsoft, suivez cette procédure détaillée pour mettre en place le protocole SAML. La procédure comporte quatre parties :
A. Préparatifs dans l’Espace client
C. Configuration SAML dans Azure AD
D. Configuration SAML dans l’Espace client
A. Préparatifs dans l’Espace client de l’organisation
-
Rendez-vous dans l’onglet Réglages de l’Espace client de votre organisation.
-
Vérifiez que tous les noms de domaine nécessaires pour l’authentification SAML ont été ajoutés et validés. Si vous devez en ajouter un, consultez les instructions présentées dans la section Noms de domaine.
-
12
-
Rendez-vous dans la section Authentification et provisionnement SAML.
-
Démarrez la configuration à l’étape 1 indiquée à l’écran. Sélectionnez Microsoft comme fournisseur d’identité (ID Provider).
-
Sélectionnez le ou les noms de domaine qui sont concernés par l’authentification.
-
Cliquez sur Suivant.
-
3456
- Dans l’écran suivant, qui présente l’Étape 2 : Configuration SAML, téléchargez le fichier XML de métadonnées. Gardez cette fenêtre ouverte et commencez les préparatifs dans Azure AD dans une nouvelle fenêtre de votre navigateur.
-
7
B. Préparatifs dans Azure AD
-
Dans votre portail Azure, rendez-vous dans la section Applications d’entreprise. Vous pouvez y accéder rapidement en tapant les premiers caractères du nom de la section dans le champ de recherche.
-
1
-
-
Cliquez sur Nouvelle application.
-
2
-
-
Dans la page suivante, cliquez sur Créer votre propre application.
-
Nommez l’application (ex. : Espace client - Druide).
-
Sélectionnez l’option Intégrer une autre application que vous ne trouvez pas dans la galerie (non galerie).
-
Cliquez sur Créer. La création de l’application peut prendre plusieurs minutes.
-
3456
- Une fois l’application créée, indiquez quels utilisateurs peuvent l’utiliser : tous (A) ou seulement certains (B).
A) Pour tous les utilisateurs
Rendez-vous dans Propriétés (A1) et modifiez le paramètre Affectation requise à Non (A2).
A1A2Cliquez sur Enregistrer, puis fermez le volet.
B) Pour certains utilisateurs seulement
Rendez-vous dans Utilisateurs et groupes (B1) et cliquez sur le bouton Ajouter un utilisateur/groupe (B2).
B1B2Cliquez sur les noms des utilisateurs (B3), puis sur le bouton Sélectionner (B4).
B3B4Finalement, cliquez sur le bouton Attribuer (B5).
B5
Les préparatifs dans Azure AD sont maintenant complétés, et vous pouvez passer à la configuration SAML.
C. Configuration SAML dans Azure AD
-
Toujours dans l’application que vous venez de créer sur Azure AD, rendez-vous dans l’onglet Authentification unique.
-
Sélectionnez le pavé SAML.
-
12
-
-
Cliquez sur Charger le fichier de métadonnées.
-
Sélectionnez le fichier de métadonnées que vous avez précédemment téléchargé à partir de l’Espace client (partie A, étape 7).
-
Cliquez sur Ajouter.
-
345
- Cliquez sur Enregistrer dans le volet suivant, puis fermez-le.
-
6
-
Astuce — Vous pouvez aussi configurer les données manuellement (voir les instructions détaillées).
Note — Si Microsoft vous propose de faire un test à ce moment-ci ou plus loin dans la procédure, indiquez-lui que vous ferez le test plus tard.
- Passez au bloc suivant, Attributs et revendications, et cliquez sur le bouton Modifier.
-
7
-
Astuce — Si vous n’utilisez pas Azure AD, retrouvez les attributs requis dans la présentation des paramètres SAML.
-
Cliquez ensuite sur Identificateur d’utilisateur unique (ID nom) pour modifier la revendication.
-
8
-
-
Cliquez sur Choisir le format du nom de l’identificateur et changez la valeur pour Persistant.
-
Changez l’attribut de la source pour user.objectid.
-
910
Important — Une dernière vérification s’impose dans Attributs et revendications. Assurez-vous que votre configuration de la revendication emailaddress (associée par défaut à l’attribut user.mail) contient bien une adresse courriel. Si ce n’est pas le cas, utilisez un autre attribut, comme user.userprincipalname, qui correspond habituellement à l’adresse courriel de l’utilisateur.
-
Cliquez sur Enregistrer, puis fermez le volet.
-
Passez au bloc suivant, Certificats SAML, et cliquez sur le bouton Modifier.
-
12
-
-
Sélectionnez l’option de signature Signer la réponse et l’assertion SAML.
-
Cliquez sur Enregistrer, puis fermez le volet.
-
1314
-
-
Téléchargez le fichier Certificat (en base64).
-
Téléchargez le fichier XML de métadonnées de fédération.
-
1516
La configuration SAML est complétée dans Azure AD. Gardez cette fenêtre ouverte au cas où vous devriez procéder à la configuration manuelle de SAML dans l’Espace client.
D. Configuration SAML dans l’Espace client
- Retournez dans la fenêtre de l’Espace client pour poursuivre la configuration à l’Étape 2 : Configuration SAML. Cliquez sur Téléversez un fichier et sélectionnez le fichier XML de métadonnées que vous venez de télécharger à partir d’Azure AD.
-
1
-
Important — Vous pouvez aussi configurer les données manuellement (voir les instructions détaillées).
-
Il est recommandé d’inscrire une personne-ressource pour recevoir les détails techniques en cas de problème de connexion ou de configuration.
-
Cliquez sur Suivant.
-
23
- Si votre organisation détient un ou des abonnements à Antidote Web en vigueur, choisissez la façon dont vous souhaitez gérer les accès à Antidote Web. Vous avez trois options :
Gestion manuelle Sélectionnez cette option pour activer l’authentification SAML sans toutefois octroyer automatiquement d’accès à Antidote Web. Vous pourrez leur attribuer un accès à partir de l’onglet Utilisateurs de l’Espace client.
Imposer un accès à Antidote Web lors de la connexion Sélectionnez cette option pour que tous les utilisateurs qui se connectent avec l’authentification obtiennent automatiquement un accès à Antidote Web. Si votre organisation détient plusieurs abonnements, précisez celui qui doit être utilisé. Dans le cas où un utilisateur détient déjà un accès à un autre abonnement, le changement d’abonnement sera imposé à l’utilisateur lors de sa prochaine connexion.
Octroyer des accès à Antidote Web aux utilisateurs qui n’ont pas un accès lors de la connexion Sélectionnez cette option pour octroyer des accès à Antidote Web aux utilisateurs qui n’en ont pas déjà un. Cette option est utile, par exemple, si votre organisation détient plus d’un abonnement, et que vous souhaitez associer les nouveaux utilisateurs à un abonnement différent de celui que d’autres détiennent déjà.
Note — Si vous comptez configurer le provisionnement automatique par la suite, sachez que le choix de gestion des accès à Antidote Web que vous y préciserez aura préséance sur celui indiqué ici. En savoir plus >
- Cliquez sur Suivant après avoir indiqué votre choix.
-
45
-
Dans le panneau suivant, cliquez sur Tester la connexion. Le résultat du test apparait dans une nouvelle fenêtre, confirmant le succès de la connexion ou présentant un rapport d’erreur si la connexion échoue.
-
Finalement, cliquez sur Activer l’authentification SAML.
-
67