Configuration du connecteur Azure
L'interconnexion à l'application LockSelf à une fédération d'identité se fait via le protocole SAMLv2. Il est donc possible d'interconnecter l'application avec votre compte entreprise Azure.
Création du connecteur
- Cliquez sur « Nouvelle application » et sur « Créer votre propre application ».
- Définissez un nom pour le connecteur, généralement « LockSelf » et cliquez sur la troisième checkbox « Integrate any other application you do not find in the gallery (Non-gallery) ». Enfin, cliquez sur « Créer ».
- Dans le menu de gauche, cliquez sur « Authentification unique », puis sur « SAML ».
Configurer le connecteur
- Modifiez le premier bloc « Configuration SAML de base ».
- Renseignez les informations comme ci-dessous :
-
- Identificateur (ID d'entité) : correspond à l'URL des metadatas de l'application.
- URL de réponse (URL Assertion Consumer Service) : correspond à l'URL de réponse qui sera appelée par le connecteur.
- URL de connexion (facultatif) : correspond à l'URL de connexion pour vos utilisateurs.
-
(où FQDN remplace le nom de domaine de votre installation LockSelf).
-
-
- Modifiez le second bloc « Attributs et revendications »
A cette étape, vous devrez renvoyer obligatoirement les revendications comme ci-dessus. Attention à bien respecter la casse.
- (Facultatif) Si vous souhaitez faire remonter certains groupes utilisateurs sur LockSelf, il vous faudra rajouter une revendication de groupe.
Dans le cas où vos groupes sont remontés d'un annuaire LOCAL :
Cocher la checkbox « Groupes attribués à l'application » puis « sAMAccountName » comme attribut de la source.
| Attention, seuls les groupes synchronisés à partir d'un Active Directory local utilisant AAD Connect Sync 1.2.70.0 ou version ultérieure pourront être remontés dans LockSelf. Également, vérifiez que votre Plan Azure propose cette fonctionnalité. |
Dans le cas où vos groupes sont des groupes de sécurité directement gérés dans Azure AD :
Cocher la checkbox « Groupes attribués à l'application » puis « Noms d'affichage de groupe cloud uniquement (préversion) » comme attribut de la source.
Cliquez sur « Options avancées » puis cochez « Personnaliser le nom de la revendication de groupe ». Enfin, écrivez "groups" dans le Nom (attention à bien respecter la casse).
Seuls les groupes que vous ajouterez à l'étape suivante pourront être remontés dans LockSelf.
Une fois cette opération faite, il faudra prévenir votre Gestionnaire de Comptes afin que nous activions cette option côté application.
Autoriser les utilisateurs à accéder à l'application
Cette étape consiste à choisir quels utilisateurs ou quels groupes d'utilisateurs peuvent avoir accès au connecteur, et donc à l'application.
Pour ce faire, il faudra cliquer dans le menu de gauche « Utilisateurs et groupes ».
Ensuite, choisissez les utilisateurs / groupes autorisés.
Récupérer les metadatas de l'IDP
Une fois le connecteur configuré, vous allez pouvoir récupérer les metadatas de l'IDP.
Les métadatas se récupère via une URL, disponible dans le bloc « Certificat de signature SAML » sur la ligne « URL des métadonnées de fédération d'application ».
Copiez-collez cette URL, et renseignez dans l'application LockSelf.
Vérifier la connexion
Une fois ces étapes réalisées, vous allez pouvoir tester le connecteur :
-
Etape 1 : Afin de pouvoir tester correctement, ouvrez une navigation privée et rendez-vous sur l'URL de votre infrastructure (https://FQDN/?sso). Si vous utilisez l'extension navigateur, cliquez sur la roue crantée, puis sur « Vider le cache ».
-
Etape 2 : Sur l'onglet SSO, renseignez votre email dans le champ affiché ou cliquez directement sur le bouton « Me connecter ».
- Si cela ne fonctionne pas, sur la page de connexion, cliquez sur les roues crantées en haut à droite, et vérifiez que dans le champs URL API, il y a bien d'inscrit /api/ à la fin du nom de domaine dédié. Par exemple : https://votreentreprise.lockself-cloud.com/api/, https://lockself.votreentreprise.com/api/, etc ...
- Si cela ne fonctionne pas, sur la page de connexion, cliquez sur les roues crantées en haut à droite, et vérifiez que dans le champs URL API, il y a bien d'inscrit /api/ à la fin du nom de domaine dédié. Par exemple : https://votreentreprise.lockself-cloud.com/api/, https://lockself.votreentreprise.com/api/, etc ...
-
Etape 3 : Vous allez à cette étape être redirigé sur le portail SSO Azure de votre organisation où vous pourrez vous authentifier.
- Etape 4 : Une fois authentifié, vous serez redirigé sur LockSelf, qui vous demandera de créer le code PIN associé à votre compte.
Récupérer les metadatas de l'IDP
Une mise à jour des certificats de signature / chiffrements de jetons doit parfois être effectuée sur le connecteur Azure.
Dans ce cas, il faudra mettre à jour le nouveau fichier metadatas de l'IDP, dans l'onglet Paramètres du compte Administrateur, sur le module SSO. Pour cela, consultez cette documentation : Configuration de l'interconnexion SSO.
Mise à jour