Préambule
L'interconnexion de l'application LockSelf à une fédération d'identité se fait via le protocole SAMLv2. Il est donc possible d'interconnecter l'application avec votre compte entreprise Azure.
Étape 1 : Créer le connecteur sur l'IDP
Connectez-vous sur votre interface admin Azure dans la section des Applications d'entreprise :
- Etape 1 : Cliquez sur « Nouvelle application » et sur « Créer votre propre application ».
- Etape 2 : Définissez un nom pour le connecteur, généralement « LockSelf » et cliquez sur la troisième checkbox « Integrate any other application you do not find in the gallery (Non-gallery) ». Enfin, cliquez sur « Créer ».
- Etape 3 : Dans le menu de gauche, cliquez sur « Authentification unique », puis sur « SAML ».
Étape 2 : Configurer le connecteur
Deux étapes sont à réaliser pour configurer le connecteur.
- Etape 1 : Modifiez le premier bloc « Configuration SAML de base »
Renseignez les informations comme ci-dessous :
-
- Identificateur (ID d'entité) : correspond à l'URL des metadatas de l'application.
- URL de réponse (URL Assertion Consumer Service) : correspond à l'URL de réponse qui sera appelée par le connecteur.
- URL de connexion (facultatif) : correspond à l'URL de connexion pour vos utilisateurs.
(où FQDN remplace le nom de domaine de votre installation LockSelf).
- Etape 2 : Modifiez le second bloc « Attributs et revendications »
A cette étape, vous devrez renvoyer obligatoirement les revendications comme ci-dessus. Attention à bien respecter la casse.
- Etape 3 (facultative): Si vous souhaitez faire remonter certains groupes utilisateurs sur LockSelf, il vous faudra rajouter une revendication de groupe.
Cocher la checkbox « Groupes attribués à l'application » puis « sAMAccountName » comme attribut de la source.
Cliquez sur « Options avancées » puis cochez « Personnaliser le nom de la revendication de groupe ». Enfin, écrivez "groups" dans le Nom (attention à bien respecter la casse).
Seuls les groupes que vous ajouterez à l'étape suivante pourront être remontés dans LockSelf.
🚨 Attention, seuls les groupes synchronisés à partir d'un Active Directory local utilisant AAD Connect Sync 1.2.70.0 ou version ultérieure pourront être remontés dans LockSelf. Également, vérifiez que votre Plan Azure propose cette fonctionnalité. |
Une fois cette opération faite, il faudra prévenir votre Gestionnaire de Compte afin que nous activions cette option côté application.
Étape 3 : Autoriser les utilisateurs à accéder à l'application
Cette étape consiste à choisir quels utilisateurs ou quels groupes d'utilisateurs peuvent avoir accès au connecteur, et donc à l'application.
Pour ce faire, il faudra cliquer dans le menu de gauche « Utilisateurs et groupes ».
Ensuite, choisissez les utilisateurs / groupes autorisés.
Étape 4 : Récupérer les metadatas de l'IDP
Une fois le connecteur configuré, vous allez pouvoir récupérer les metadatas de l'IDP. Une fois l'URL récupérée, vous devrez l'envoyer à votre Account Manager dédié.
L'URL est disponible dans le bloc « Certificat de signature SAML » sur la ligne « URL des métadonnées de fédération d'application ».
Étape 5 : Vérifier la connexion
Une fois ces 4 étapes réalisées et après confirmation de bonne réception de l'URL des metadatas de l'IDP par votre Gestionnaire de Comptes, vous aller pouvoir tester le connecteur :
- Etape 1 : Afin de pouvoir tester correctement, ouvrez une navigation privée et rendez-vous sur l'URL de votre infrastructure (https://FQDN/?sso). Si vous utilisez l'extension navigateur, cliquez sur la roue crantée, puis sur « Vider le cache ».
- Etape 2 : Sur l'onglet SSO, renseignez votre email dans le champ affiché ou cliquez directement sur le bouton « Me connecter ».
- Etape 3 : Vous allez à cette étape être redirigé sur le portail SSO Google de votre organisation où vous pourrez vous authentifier.
- Etape 4 : Une fois authentifié, vous serez redirigé sur LockSelf, qui vous demandera de créer le code PIN associé à votre compte.
Étape 6 : Mise à jour du connecteur
Un cas nécessite une mise à jour du connecteur.
Une mise à jour des certificats de signature / chiffrement de jeton est effectuée sur le connecteur Azure. Dans ce cas, il faudra prévenir votre account manager en amont et fournir le nouveau fichier des metadatas de l'IDP afin que les équipes LockSelf puisse mettre à jour la partie applicative (cf: Étape 4).
Mise à jour