> For the complete documentation index, see [llms.txt](https://docs.devolutions.net/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.devolutions.net/cloud/fr/getting-started/get-started-with-sso-in-devolutions-cloud/configure-sso-authentication-with-microsoft-azure.md).

# Configurer l’authentification SSO avec Microsoft Azure

Voici les étapes pour configurer Azure avec Devolutions Cloud pour l'authentification par authentification unique (SSO) et le provisionnement des utilisateurs.

{% hint style="warning" %}
Un [compte Entra ID](https://azure.microsoft.com/) avec les droits appropriés est requis.
{% endhint %}

{% hint style="info" %}
Même avec un SSO configuré, l'accès aux données sensibles nécessite toujours de saisir un mot de passe, de répondre à une notification push, de scanner un code QR ou de satisfaire toute autre invite de confirmation jugée nécessaire pour respecter le principe de connaissance zéro. L'installation du [service de chiffrement de Devolutions](https://docs.devolutions.net/fr/cloud/web-interface/administration/configuration-security/authentication/encryption-service/) vous permet de contourner cette mesure.
{% endhint %}

### Vérification du domaine

**Dans Devolutions Cloud**

1. Allez dans ***Administration*** – ***Authentication*** – ***Domain***, puis cliquez sur ***Add domain***.

   ![](https://cdnweb.devolutions.net/docs/HUBB2000_2024_1.png)
2. Saisissez votre domaine, puis cliquez sur la coche pour démarrer le processus de vérification.

   ![](https://cdnweb.devolutions.net/docs/HUBB2001_2024_1.png)
3. Pour ajouter plusieurs domaines, cliquez à nouveau sur ***Add Domain***, saisissez votre autre domaine, puis cliquez sur la coche. Répétez ce processus pour chaque domaine que vous souhaitez ajouter.

   ![](https://cdnweb.devolutions.net/docs/HUBB2002_2024_1.png)
4. Créez un [enregistrement DNS TXT](https://learn.microsoft.com/en-us/microsoft-365/admin/get-help-with-domains/create-dns-records-at-any-dns-hosting-provider) en utilisant le ***Host name*** et la ***TXT value*** fournis. Cela nous permet de vérifier la propriété du ou des domaines fournis.

   ![](https://cdnweb.devolutions.net/docs/HUBB2003_2024_1.png)

   Nous vous recommandons de vérifier que votre configuration est adéquate à l'aide d'outils de requête DNS tels que [MXToolBox](https://mxtoolbox.com/SuperTool.aspx) ou [whatsmydns.net](https://www.whatsmydns.net/). L'exemple ci-dessous utilise l'outil TXT Lookup de MXToolBox. La première partie du nom de domaine doit correspondre au ***Host name*** dans Devolutions Cloud et l'enregistrement doit également correspondre à la ***TXT value*** dans Devolutions Cloud.

{% hint style="warning" %}
La propagation des enregistrements DNS TXT peut prendre un certain temps. Une fois le domaine vérifié, il n'est pas nécessaire de conserver l'enregistrement DNS TXT.
{% endhint %}

![](https://cdnweb.devolutions.net/docs/docs_en_hub_Hub2236.png)

5. Attendez la vérification du domaine. Une fois la vérification réussie, une coche dans un cercle vert s'affiche à côté du domaine. Vous pouvez procéder à la configuration de l'authentification unique (SSO) pendant le processus de vérification ; cependant, le provisionnement des utilisateurs ne sera accessible qu'après la vérification du domaine.

   ![](https://cdnweb.devolutions.net/docs/RDMW4335_2025_1.png)

{% hint style="warning" %}
Cette validation dure 48 heures et ne redémarre pas automatiquement après cette période. Si vous ne configurez pas votre enregistrement TXT dans ces 48 heures, votre statut de validation sera ***Expired***. Dans ce cas, vous pouvez cliquer sur ***Retry***.

Si vous rencontrez des problèmes lors de la vérification de votre domaine, consultez notre guide de [dépannage de la validation de domaine](https://docs.devolutions.net/fr/cloud/kb/troubleshooting-articles/domain-validation-troubleshooting/).
{% endhint %}

### Configuration de l'authentification unique (SSO)

1. Allez dans ***Administration – Authentication – Single Sign-On (SSO)***, puis cliquez sur ***Microsoft Single Sign-On (SSO)***. Vous serez redirigé vers la page de configuration.
2. Donnez un ***Name*** à votre configuration SSO. Ce nom n'apparaîtra que dans le menu des paramètres SSO de Devolutions Cloud. Le nom par défaut est « Microsoft ».

{% hint style="warning" %}
Ne fermez pas cette page de configuration, car les étapes suivantes vous indiqueront où trouver les informations à saisir dans ses champs.
{% endhint %}

**Dans le portail Azure**

3. Dans un nouvel onglet de navigateur web, ouvrez votre [portail Microsoft Azure](https://azure.microsoft.com/) et connectez-vous à votre compte.
4. Sélectionnez ***Microsoft Entra ID*** dans la section ***Azure services***. Si vous ne le voyez pas, cliquez sur ***More services*** pour afficher d'autres services.

   ![](https://cdnweb.devolutions.net/docs/docs_en_hub_Hub2331.png)
5. Dans ***Overview***, cliquez sur ***Add***, puis sélectionnez ***Enterprise application***.

   ![](https://cdnweb.devolutions.net/docs/docs_en_hub_Hub4165.png)
6. Cliquez sur ***Create your own application***.

   ![](https://cdnweb.devolutions.net/docs/docs_en_hub_Hub2138.png)
7. Saisissez le nom de cette nouvelle application, puis cliquez sur ***Create***.

{% hint style="success" %}
Nous recommandons d'inclure « Devolutions » ou « Cloud » dans le nom.
{% endhint %}

![](https://cdnweb.devolutions.net/docs/docs_en_hub_Hub2139.png)

8. Dans les ***Properties***, configurez les paramètres ***Assignment required?*** et ***Visible to users*** selon vos besoins. Pour en savoir plus sur ces paramètres, survolez les icônes d'information à côté d'eux avec votre curseur.
9. Enregistrez vos modifications le cas échéant à l'aide du bouton ***Save*** en haut.
10. Restant dans ***Properties***, cliquez sur ***application registration*** dans le texte en haut.
11. Sélectionnez ***Authentication*** dans le menu de gauche, puis cliquez sur ***Add a platform***.

    <div data-gb-custom-block data-tag="hint" data-style="info" class="hint hint-info"><p>Essayez d'activer l'option <em><strong>ID tokens (used for implicit and hybrid flows)</strong></em> si vous recevez le message d'erreur suivant lors de l'authentification : « There was an error with the external authentication request. Check console for details ».</p></div>
12. Dans ***Configure platforms***, sélectionnez ***Web***.

    ![](https://cdnweb.devolutions.net/docs/docs_en_hub_Hub2143.png)

**Dans Devolutions Cloud**

13. De retour sur la page ***Configure Single Sign-On (SSO)***, copiez le ***Callback URL*** en cliquant sur l'icône ***Copy to Clipboard*** à côté.

**Dans le portail Azure**

14. De retour dans le portail Azure, collez le ***Callback URL*** dans le champ ***Redirect URIs***, puis cliquez sur ***Configure*** en bas.

    ![](https://cdnweb.devolutions.net/docs/docs_en_hub_Hub2145.png)
15. Sélectionnez ***Token configuration*** dans le menu de gauche, puis cliquez sur ***Add optional claim***.
16. Sous ***Token type***, sélectionnez ***ID***. Ensuite, dans la liste, sélectionnez les revendications suivantes :
    * ***email***
    * ***family\_name***
    * ***given\_name***
    * ***upn***
    * ***xms\_pl***
    * ***xms\_tpl***

![](https://cdnweb.devolutions.net/docs/docs_en_hub_Hub2148.png)

17. Cliquez sur ***Add***.
18. Lorsque vous y êtes invité, activez ***Turn on the Microsoft Graph email***, puis cliquez sur ***Add***.

![](https://cdnweb.devolutions.net/docs/docs_en_hub_Hub2149.png)

19. Sélectionnez ***Overview*** dans le menu de gauche, puis copiez l'***Application (client) ID*** en cliquant sur l'icône ***Copy to clipboard*** à côté.

**Dans Devolutions Cloud**

20. De retour sur la page ***Configure Single Sign-On (SSO)***, collez l'***Application (client) ID*** de l'étape précédente dans le champ ***Client ID***.

**Dans le portail Azure**

21. De retour dans le portail Azure, sélectionnez ***Certificates & secrets*** dans le menu de gauche, puis, dans l'onglet ***Client secrets***, cliquez sur ***New client secret***.
22. Dans la fenêtre ***Add a client secret***, saisissez une ***Description*** (par exemple, le nom de votre application d'entreprise) et sélectionnez une date d'expiration pour ce secret client, conformément à vos meilleures pratiques de sécurité interne.

{% hint style="warning" %}
Notez que lorsque le secret client expire, personne ne pourra se connecter à l'instance Devolutions Cloud associée. Vous devrez alors créer un nouveau secret client. Nous vous recommandons de définir un rappel de tâche avant la date d'expiration.
{% endhint %}

23. Cliquez sur ***Add***.
24. Copiez la ***Value*** de ce nouveau secret client en cliquant sur l'icône ***Copy to clipboard*** à côté.

**Dans Devolutions Cloud**

25. De retour sur la page ***Configure Single Sign-On (SSO)***, cliquez sur l'icône ***Paste*** pour saisir la ***Value*** de l'étape précédente dans le champ ***Client secret Key***.

**Dans le portail Azure**

26. De retour dans le portail Azure, sélectionnez ***Overview*** dans le menu de gauche, puis cliquez sur l'onglet ***Endpoints***.
27. Dans la fenêtre ***Endpoints***, copiez l'URL du ***OpenID Connect metadata document*** en cliquant sur l'icône ***Copy to clipboard*** à côté.

    ![](https://cdnweb.devolutions.net/docs/docs_en_hub_Hub2160.png)

**Dans Devolutions Cloud**

28. De retour sur la page ***Configure Single Sign-On (SSO)***, collez l'URL de l'étape précédente dans le champ ***Discovery URL***.
29. Cliquez sur ***Test Configuration*** pour vous assurer qu'elle est correcte. Une fenêtre contextuelle vous invitera à saisir vos identifiants de connexion.

{% hint style="warning" %}
Si la fenêtre contextuelle n'apparaît pas, consultez [La page de connexion Devolutions ne s'ouvre pas dans le navigateur](https://docs.devolutions.net/fr/resources/other-resources/devolutions-login-page-does-not-open-browser/).
{% endhint %}

30. Si la connexion est réussie, votre compte se connectera avec Entra ID et vous verrez un résumé de votre configuration.
31. Dans le ***Summary*** de votre configuration, cliquez sur ***Save***.

    ![](https://cdnweb.devolutions.net/docs/docs_en_hub_Hub2225.png)

### Configuration du provisionnement

La vérification du domaine doit être effectuée pour pouvoir configurer le provisionnement.

Pour synchroniser vos utilisateurs et groupes d'utilisateurs de vos fournisseurs vers Devolutions Cloud, ajoutez d'abord vos utilisateurs et groupes à votre application d'entreprise. Vous devez disposer d'une licence Azure Enterprise pour pouvoir synchroniser les groupes d'utilisateurs.

{% hint style="warning" %}
Les groupes imbriqués ne sont pas pris en charge, ce qui signifie que le provisionnement Azure ne synchronisera pas les utilisateurs membres du groupe imbriqué.
{% endhint %}

**Dans le portail Azure**

1. Sélectionnez ***Users and groups*** dans le menu de gauche, puis cliquez sur ***Add user/group***.
2. Sous ***Add Assignment***, cliquez sur ***None selected***.

   ![](https://cdnweb.devolutions.net/docs/docs_en_hub_Hub2168.png)
3. Recherchez manuellement des utilisateurs et des groupes ou utilisez la barre ***Search***. Cliquez sur ***Select*** lorsque vous avez terminé votre sélection.
4. Cliquez sur ***Assign*** lorsque votre sélection est complète.

   ![](https://cdnweb.devolutions.net/docs/docs_en_hub_Hub2170.png)

   Maintenant que vos utilisateurs et groupes ont été ajoutés, poursuivez avec la configuration du provisionnement.
5. Dans la gestion de votre application d'entreprise, allez dans ***Provisioning*** et cliquez sur ***Get started***.

**Dans Devolutions Cloud**

6. Allez dans ***Administration – Authentication – Provisioning*** et activez ***SCIM provisioning***.
7. Dans la ***Provisioning synchronization setup***, copiez le ***Tenant URL*** en cliquant sur l'icône ***Copy to Clipboard*** à côté.

**Dans le portail Azure**

8. Définissez le ***Provisioning Mode*** sur ***Automatic***, puis collez l'URL de l'étape précédente dans le champ ***Tenant URL***.

**Dans Devolutions Cloud**

9. Copiez le ***Secret Token*** en cliquant sur l'icône ***Copy to Clipboard*** à côté.

**Dans le portail Azure**

10. Collez le jeton de l'étape précédente dans le champ ***Secret Token***.
11. Testez la connexion pour vous assurer qu'elle fonctionne, puis cliquez sur ***Save***.
12. Sélectionnez ***Provisioning*** dans le menu de gauche, puis cliquez sur ***Start provisioning***.

**Dans Devolutions Cloud**

13. Cliquez sur ***Activate Synchronization***.
14. Lorsqu'on vous demande de confirmer, cliquez sur ***Start Synchronization***.

    ![](https://cdnweb.devolutions.net/docs/docs_en_hub_Hub2230.png)

Vous pouvez maintenant voir une vue d'ensemble de votre synchronisation de provisionnement. À côté du ***Tenant URL***, vous avez les options ***Regenerate a SCIM Token*** ou ***Delete the SCIM Provisioning***.

{% hint style="warning" %}
Le ***Secret Token*** expirera 365 jours après sa génération. Lorsque cela se produit, le provisionnement cessera de fonctionner. Vous devrez alors régénérer un nouveau jeton dans la page ***Provisioning synchronization overview*** vue ci-dessus. Nous vous recommandons de définir un rappel de tâche avant la date d'expiration.
{% endhint %}

### Synchronisation entre Azure et Devolutions Cloud

La synchronisation démarre automatiquement lorsque la configuration du provisionnement est terminée. La fréquence de provisionnement d'Azure est d'au maximum 45 minutes et est déterminée par votre fournisseur d'identité. Les groupes d'utilisateurs, y compris leurs membres, se synchroniseront dans ce délai de provisionnement Azure. Nous vous recommandons de vérifier les premiers résultats de provisionnement.

Dans ***Administration*** – ***User groups***, les groupes d'utilisateurs Azure seront ajoutés. Ils sont reconnaissables par l'icône de groupe ***Is sync*** à côté du nom du groupe.

![](https://cdnweb.devolutions.net/docs/docs_en_hub_Hub2182.png)

Dans ***Administration*** – ***Users***, tous les utilisateurs du groupe d'utilisateurs Azure qui font déjà partie de votre Devolutions Cloud seront marqués comme synchronisés avec l'icône ***Is sync*** à côté de leur nom. Tous les nouveaux utilisateurs faisant partie du groupe d'utilisateurs Azure synchronisé qui ne font pas partie de Devolutions Cloud seront suggérés comme [nouvelles invitations](https://docs.devolutions.net/fr/cloud/getting-started/get-started-with-sso-in-devolutions-cloud/invite-users-to-devolutions-cloud-with-sso/) dans ***Invitations required***.

![](https://cdnweb.devolutions.net/docs/HUBB0000_2025_1.png)

{% hint style="success" %}
Tous les utilisateurs qui avaient déjà un compte Devolutions verront les deux options de connexion : la méthode compte Devolutions et la méthode Microsoft.
{% endhint %}

![](https://cdnweb.devolutions.net/docs/docs_en_hub_Hub4139.png)

Ensuite, rendez-vous sur votre portail Azure, sélectionnez votre application Devolutions Cloud, accédez à ***Manage*** – ***Provisioning***, puis cliquez sur ***Restart provisioning*** pour synchroniser les nouveaux utilisateurs.

![](https://cdnweb.devolutions.net/docs/INTERFACE4110.png)

### Q\&A

**Q : Pourquoi les utilisateurs reçoivent-ils toujours une invite de mot de passe après la connexion SSO ?**

**R :** Cette invite est liée à la clé privée. Lorsque les utilisateurs se connectent, ils sont invités à choisir comment la clé privée sera stockée. S'ils choisissent le mot de passe, ils devront le saisir la première fois qu'ils se connecteront depuis un nouveau navigateur ou après avoir effacé le cache de leur navigateur.

**Q : Cette invite de clé privée peut-elle être désactivée ?**

**R :** La seule façon de désactiver l'invite de clé privée est de configurer votre propre service de chiffrement. Pour plus de détails, consultez [Service de chiffrement](https://docs.devolutions.net/fr/cloud/web-interface/administration/configuration-security/authentication/encryption-service).

**Q : Comment pouvons-nous ajouter des utilisateurs invités à notre Devolutions Cloud ?**

**R :** Si les utilisateurs invités font partie de l'environnement Entra ID, ils peuvent être ajoutés via le processus de provisionnement. Une fois que les utilisateurs invités n'ont plus besoin d'accès, il suffit de les retirer de la configuration de provisionnement.

**Q : L'ID client ou le secret fourni par votre organisation est invalide, veuillez contacter un administrateur de votre organisation.**

**R :** Cela signifie très probablement que le secret client a expiré dans le portail Microsoft Azure. La solution est de créer un nouveau secret et de le mettre à jour dans la configuration SSO de Devolutions Cloud.

**Q : Si l'option de forcer tous les utilisateurs et administrateurs à se connecter avec SSO est activée, que se passerait-il si le SSO échoue ?**

**R :** Si Forcer le SSO est activé pour tous les utilisateurs, ils perdront l'accès à Devolutions Cloud en cas de mauvaise configuration ou d'interruption du fournisseur SSO. Il est fortement recommandé d'informer tous les utilisateurs existants dans Devolutions Cloud de cette nouvelle méthode d'authentification avant l'activation. Alternativement, consultez [Désactiver Forcer le SSO pour tous les utilisateurs dans Devolutions Cloud avec PowerShell](https://docs.devolutions.net/fr/powershell/devolutions-cloud-powershell/disable-force-sso-on-all-users/) pour désactiver temporairement la fonctionnalité.

**Q : Le nom d'utilisateur principal (UPN) d'un utilisateur peut-il être modifié ?**

**R :** Devolutions Cloud utilise l'UPN, et non le courriel, pour authentifier les utilisateurs dans la base de données. La modification de l'UPN modifie également les informations relatives à l'utilisateur. Devolutions Cloud considère cela comme un nouvel utilisateur, ce qui nécessite de répéter le processus d'invitation.

**Q :** **Si un** **Devolutions Cloud** **est créé par erreur et lié à un compte, peut-il être supprimé ?**

**R :** Devolutions Cloud est automatiquement supprimé après 90 jours d'inactivité.


---

# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.

## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.devolutions.net/cloud/fr/getting-started/get-started-with-sso-in-devolutions-cloud/configure-sso-authentication-with-microsoft-azure.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.