Création du connecteur SSO (interconnexion Azure)

Préambule

L'interconnexion de l'application LockSelf à une fédération d'identité se fait via le protocole SAMLv2. Il est donc possible d'interconnecter l'application avec votre compte entreprise Azure.

 

Étape 1 : Créer le connecteur sur l'IDP

Connectez-vous sur votre interface admin Azure dans la section des Applications d'entreprise :

https://portal.azure.com/?quickstart=True#blade/Microsoft_AAD_IAM/StartboardApplicationsMenuBlade/AppAppsPreview

  • Etape 1 :  Cliquez sur « Nouvelle application » et sur « Créer votre propre application ».

Screenshot_2022-02-21_at_5.03.12_PM.png

 

Screenshot_2022-02-21_at_5.04.08_PM.png

  • Etape 2 : Définissez un nom pour le connecteur, généralement « LockSelf » et cliquez sur la troisième checkbox « Integrate any other application you do not find in the gallery (Non-gallery) ». Enfin, cliquez sur « Créer ».

Screenshot_2022-02-21_at_5.05.39_PM.png

  • Etape 3 : Dans le menu de gauche, cliquez sur « Authentification unique », puis sur « SAML ».

Screenshot_2022-02-21_at_5.09.52_PM.png

Screenshot_2022-02-21_at_5.11.48_PM.png

 

Étape 2 : Configurer le connecteur

Deux étapes sont à réaliser pour configurer le connecteur.

  • Etape 1 : Modifiez le premier bloc « Configuration SAML de base »

Screenshot_2022-02-21_at_5.14.59_PM.png

Renseignez les informations comme ci-dessous :

Screenshot_2022-02-21_at_5.17.25_PM.png

    • Identificateur (ID d'entité) : correspond à l'URL des metadatas de l'application.
    • URL de réponse (URL Assertion Consumer Service) : correspond à l'URL de réponse qui sera appelée par le connecteur.
    • URL de connexion (facultatif) : correspond à l'URL de connexion pour vos utilisateurs.

(où FQDN remplace le nom de domaine de votre installation LockSelf).

  • Etape 2 : Modifiez le second bloc « Attributs et revendications »

Screenshot_2022-02-21_at_5.21.51_PM.png

Screenshot_2022-02-21_at_5.29.16_PM.png

A cette étape, vous devrez renvoyer obligatoirement les revendications comme ci-dessus. Attention à bien respecter la casse.

  • Etape 3 (facultative): Si vous souhaitez faire remonter certains groupes utilisateurs sur LockSelf, il vous faudra rajouter une revendication de groupe. 

Screenshot_2022-03-23_at_3.49.37_PM.png

Cocher la checkbox « Groupes attribués à l'application » puis « sAMAccountName » comme attribut de la source.

Screenshot_2022-03-23_at_3.50.44_PM.png


Cliquez sur « Options avancées » puis cochez « Personnaliser le nom de la revendication de groupe ». Enfin, écrivez "groups" dans le Nom (attention à bien respecter la casse).

Screenshot_2022-03-23_at_3.53.46_PM.png

 

Seuls les groupes que vous ajouterez à l'étape suivante pourront être remontés dans LockSelf.

🚨 Attention, seuls les groupes synchronisés à partir d'un Active Directory local utilisant AAD Connect Sync 1.2.70.0 ou version ultérieure pourront être remontés dans LockSelf. Également, vérifiez que votre Plan Azure propose cette fonctionnalité.

Une fois cette opération faite, il faudra prévenir votre Gestionnaire de Compte afin que nous activions cette option côté application.

 

Étape 3 : Autoriser les utilisateurs à accéder à l'application

Cette étape consiste à choisir quels utilisateurs ou quels groupes d'utilisateurs peuvent avoir accès au connecteur, et donc à l'application.

Pour ce faire, il faudra cliquer dans le menu de gauche « Utilisateurs et groupes ».

Screenshot_2022-02-21_at_5.44.04_PM.png

Ensuite, choisissez les utilisateurs / groupes autorisés.

Screenshot_2022-02-21_at_5.45.48_PM.png

 

Étape 4 : Récupérer les metadatas de l'IDP

Une fois le connecteur configuré, vous allez pouvoir récupérer les metadatas de l'IDP. Une fois l'URL récupérée, vous devrez l'envoyer à votre Account Manager dédié.

L'URL est disponible dans le bloc « Certificat de signature SAML » sur la ligne « URL des métadonnées de fédération d'application ».

Screenshot_2022-02-22_at_10.19.31_AM.png

 

Étape 5 : Vérifier la connexion

Une fois ces 4 étapes réalisées et après confirmation de bonne réception de l'URL des metadatas de l'IDP par votre Gestionnaire de Comptes, vous aller pouvoir tester le connecteur :

  • Etape 1 : Afin de pouvoir tester correctement, ouvrez une navigation privée et rendez-vous sur l'URL de votre infrastructure (https://FQDN/?sso). Si vous utilisez l'extension navigateur, cliquez sur la roue crantée, puis sur « Vider le cache ».

  • Etape 2 : Sur l'onglet SSO, renseignez votre email dans le champ affiché ou cliquez directement sur le bouton « Me connecter ».

  • Etape 3 : Vous allez à cette étape être redirigé sur le portail SSO Google de votre organisation où vous pourrez vous authentifier.

  • Etape 4 : Une fois authentifié, vous serez redirigé sur LockSelf, qui vous demandera de créer le code PIN associé à votre compte.

 

Étape 6 : Mise à jour du connecteur

Un cas nécessite une mise à jour du connecteur.

Une mise à jour des certificats de signature / chiffrement de jeton est effectuée sur le connecteur Azure. Dans ce cas, il faudra prévenir votre account manager en amont et fournir le nouveau fichier des metadatas de l'IDP afin que les équipes LockSelf puisse mettre à jour la partie applicative (cf: Étape 4).

 

Mise à jour