Préambule
L'interconnexion de l'application LockSelf à une fédération d'identité se fait via le protocole SAMLv2. Il est donc possible d'interconnecter l'application avec votre compte entreprise Azure.
Étape 1 : Créer le connecteur sur l'IDP
Connectez-vous sur votre interface admin Azure dans la section des Applications d'entreprise :
- Etape 1 : Cliquez sur « Nouvelle application » et sur « Créer votre propre application ».
- Etape 2 : Définissez un nom pour le connecteur, généralement « LockSelf » et cliquez sur la troisième checkbox « Integrate any other application you do not find in the gallery (Non-gallery) ». Enfin, cliquez sur « Créer ».
- Etape 3 : Dans le menu de gauche, cliquez sur « Authentification unique », puis sur « SAML ».
Étape 2 : Configurer le connecteur
Deux étapes sont à réaliser pour configurer le connecteur.
- Etape 1 : Modifiez le premier bloc « Configuration SAML de base »
Renseignez les informations comme ci-dessous :
-
- Identificateur (ID d'entité) : correspond à l'URL des metadatas de l'application.
- URL de réponse (URL Assertion Consumer Service) : correspond à l'URL de réponse qui sera appelée par le connecteur.
- URL de connexion (facultatif) : correspond à l'URL de connexion pour vos utilisateurs.
(où FQDN remplace le nom de domaine de votre installation LockSelf).
- Etape 2 : Modifiez le second bloc « Attributs et revendications »
A cette étape, vous devrez renvoyer obligatoirement les revendications comme ci-dessus. Attention à bien respecter la casse.
- Etape 3 (facultative): Si vous souhaitez faire remonter certains groupes utilisateurs sur LockSelf, il vous faudra rajouter une revendication de groupe.
Dans le cas où vos groupes sont remontés d'un annuaire LOCAL :
Cocher la checkbox « Groupes attribués à l'application » puis « sAMAccountName » comme attribut de la source.
🚨 Attention, seuls les groupes synchronisés à partir d'un Active Directory local utilisant AAD Connect Sync 1.2.70.0 ou version ultérieure pourront être remontés dans LockSelf. Également, vérifiez que votre Plan Azure propose cette fonctionnalité. |
Dans le cas où vos groupes sont des groupes de sécurité directement gérés dans Azure AD :
Cocher la checkbox « Groupes attribués à l'application » puis « Noms d'affichage de groupe cloud uniquement (préversion) » comme attribut de la source.
Cliquez sur « Options avancées » puis cochez « Personnaliser le nom de la revendication de groupe ». Enfin, écrivez "groups" dans le Nom (attention à bien respecter la casse).
Seuls les groupes que vous ajouterez à l'étape suivante pourront être remontés dans LockSelf.
Une fois cette opération faite, il faudra prévenir votre Gestionnaire de Comptes afin que nous activions cette option côté application.
Étape 3 : Autoriser les utilisateurs à accéder à l'application
Cette étape consiste à choisir quels utilisateurs ou quels groupes d'utilisateurs peuvent avoir accès au connecteur, et donc à l'application.
Pour ce faire, il faudra cliquer dans le menu de gauche « Utilisateurs et groupes ».
Ensuite, choisissez les utilisateurs / groupes autorisés.
Étape 4 : Récupérer les metadatas de l'IDP
Une fois le connecteur configuré, vous allez pouvoir récupérer les metadatas de l'IDP.
Les métadatas se récupère via une URL, disponible dans le bloc « Certificat de signature SAML » sur la ligne « URL des métadonnées de fédération d'application ».
Copiez-collez cette URL, et renseignez dans l'application LockSelf. Pour cela, consultez cette documentation : Configuration de l'interconnexion SSO (cloud privé uniquement).
Étape 5 : Vérifier la connexion
Une fois ces étapes réalisées, vous allez pouvoir tester le connecteur :
- Etape 1 : Afin de pouvoir tester correctement, ouvrez une navigation privée et rendez-vous sur l'URL de votre infrastructure (https://FQDN/?sso). Si vous utilisez l'extension navigateur, cliquez sur la roue crantée, puis sur « Vider le cache ».
- Etape 2 : Sur l'onglet SSO, renseignez votre email dans le champ affiché ou cliquez directement sur le bouton « Me connecter ».
- Si cela ne fonctionne pas, sur la page de connexion, cliquez sur les roues crantées en haut à droite, et vérifiez que dans le champs URL API, il y a bien d'inscrit /api/ à la fin du nom de domaine dédié. Par exemple : https://votreentreprise.lockself-cloud.com/api/, https://lockself.votreentreprise.com/api/, etc ...
- Si cela ne fonctionne pas, sur la page de connexion, cliquez sur les roues crantées en haut à droite, et vérifiez que dans le champs URL API, il y a bien d'inscrit /api/ à la fin du nom de domaine dédié. Par exemple : https://votreentreprise.lockself-cloud.com/api/, https://lockself.votreentreprise.com/api/, etc ...
- Etape 3 : Vous allez à cette étape être redirigé sur le portail SSO Azure de votre organisation où vous pourrez vous authentifier.
- Etape 4 : Une fois authentifié, vous serez redirigé sur LockSelf, qui vous demandera de créer le code PIN associé à votre compte.
Consultez cette documentation si besoin : La connexion SSO (Single Sign-On).
Étape 6 : Mettre à jour le connecteur
Une mise à jour des certificats de signature / chiffrements de jetons doit parfois être effectuée sur le connecteur Azure.
Dans ce cas, il faudra mettre à jour le nouveau fichier metadatas de l'IDP, dans l'onglet Paramètres du compte Administrateur, sur le module SSO. Pour cela, consultez cette documentation : Configuration de l'interconnexion SSO.
Mise à jour