Configurer l'authentification SSO avec Microsoft Azure

Sur cette page

Voici les étapes pour configurer Azure avec Devolutions Cloud pour l’authentification unique (SSO) et l’approvisionnement des utilisateurs.

Un compte Microsoft Entra ID avec les droits appropriés est requis.

Même avec une authentification unique configurée, accéder à des informations sensibles nécessite toujours de saisir un mot de passe, de répondre à une notification poussée, de scanner un code QR, ou bien de satisfaire à toute autre invite de confirmation jugée nécessaire pour respecter le principe du chiffrement à connaissance nulle. Installer le service de chiffrement de Devolutions permet de contourner cette mesure.

Vérification du domaine

Dans Devolutions Cloud

  1. Aller dans AdministrationAuthentificationDomaine, puis cliquer sur Ajouter un domaine.

  2. Saisir votre domaine, puis cliquer sur la coche pour démarrer le processus de vérification.

  3. Pour avoir plusieurs domaines, cliquer sur Ajouter un domaine à nouveau, remplir votre autre domaine, puis cliquer sur la coche. Répéter ce processus pour chaque domaine que vous souhaitez ajouter.

  4. Créer un enregistrement DNS TXT en utilisant le Nom d'hôte et la valeur TXT fournis. Ceci permet de vérifier la propriété du(des) domaine(s) fourni(s).

    Nous vous recommandons de vérifier que votre configuration est adéquate à l’aide d’outils d’interrogation DNS tels que MXToolBox ou whatsmydns.net. L’exemple ci-dessous utilise l’outil TXT Lookup de MXToolBox. La première partie du Nom de domaine doit correspondre au Nom d’hôte dans Devolutions Cloud, et l’Enregistrement doit correspondre à la Valeur TXT dans Devolutions Cloud également.

    Les enregistrements DNS TXT peuvent prendre du temps à se propager. Une fois le domaine vérifié, il n’est plus nécessaire de conserver l’enregistrement DNS TXT.

  5. Attendre la vérification du domaine. Une fois la vérification réussie, une coche dans un cercle vert apparaîtra à côté du domaine. Vous pouvez procéder à la configuration de l’Authentification Unique (SSO) durant le processus de vérification ; cependant, l'approvisionnement des utilisateurs sera accessible seulement après la vérification du domaine.

    Cette validation dure 48 heures et ne redémarre pas automatiquement après cette période. Si vous ne configurez pas votre enregistrement TXT pendant ces 48 heures, votre statut de validation passe à Expiré. Le cas échéant, vous pouvez cliquer sur Réessayer.

    En cas de problème lors de la vérification de votre domaine, consulter notre guide de Dépannage de la validation du domaine.

Configuration de l’authentification unique (SSO)

  1. Aller à Administration – Authentification – Authentification unique (SSO), puis cliquer sur Microsoft Authentification unique (SSO) pour accéder à la page de configuration.

  2. Nommer votre configuration SSO. Ce nom n’apparaîtra que dans le menu des paramètres SSO de votre Devolutions Cloud. Le nom par défaut est « Microsoft ».

    Ne pas fermer cette page de configuration, car les étapes suivantes indiqueront où trouver les informations à saisir dans ses champs.

Dans Microsoft Entra ID Portal

  1. Dans une nouvelle page du navigateur Web, ouvrir votre Portail Microsoft Azure et se connecter à votre compte.

  2. Sélectionner Microsoft Entra ID dans la section Services Azure. Si vous ne le voyez pas, cliquer sur Plus de services pour afficher d’autres services.

  3. Dans Vue d’ensemble, cliquer sur Ajouter, puis sélectionner Application d'entreprise.

  4. Cliquer sur Créer votre propre application.

  5. Entrer le nom de cette nouvelle application, puis cliquer sur Créer.

    Il est recommandé d'inclure soit « Devolutions » soit « Cloud » dans le nom.

  6. Dans les Propriétés, définir les paramètres Affectation requise ? et Visible pour les utilisateurs selon vos besoins. Pour en savoir plus sur ces paramètres, survoler les icônes d'information à côté avec votre curseur.

  7. Enregistrer vos modifications si applicable à l'aide du bouton Enregistrer en haut.

  8. Rester dans Propriétés, cliquer sur enregistrement de l’application dans le texte en haut.

  9. Sélectionner Authentification dans le menu latéral gauche, puis cliquer sur Ajouter une plateforme.

    Try enabling the ID tokens (used for implicit and hybrid flows) option if you receive the following error message during authentication: "There was an error with the external authentication request. Check console for details".

  10. Dans Configurer les plateformes, sélectionner Web.

Dans Devolutions Cloud

  1. De retour sur la page Configurer l’authentification unique (SSO), copier l’URL de rappel en cliquant sur l’icône Copier dans le presse-papiers à côté.

Dans Microsoft Entra ID Portal

  1. Revenir dans le Portail Azure, coller l’URL de rappel dans le champ URI de redirection, puis cliquer sur Configurer en bas.

  2. Sélectionner Configuration du jeton dans le menu latéral gauche, puis cliquer sur Ajouter une revendication facultative.

  3. Sous Type de jeton, sélectionner ID. Ensuite, dans la liste, sélectionner les revendications suivantes :

    • email

    • family_name

    • given_name

    • upn

    • xms_pl

    • xms_tpl

  1. Cliquer sur Ajouter.

  2. Lorsque demandé, activer Activer Microsoft Graph email, puis cliquer sur Ajouter.

  1. Sélectionner Vue d'ensemble dans le menu latéral gauche, puis copier l’ID d'application (client) en cliquant sur l'icône Copier dans le presse-papiers à côté.

Dans Devolutions Cloud

  1. De retour sur la page Configurer l'authentification unique (SSO), coller l'ID d'application (client) de l'étape précédente dans le champ Client ID.

Dans Microsoft Entra ID Portal

  1. De retour dans Microsoft Entra ID Portal, sélectionner Certificats & secrets dans le menu latéral gauche, puis, dans l'onglet Secrets client, cliquer sur Nouveau secret client.

  2. Dans la fenêtre Ajouter un secret client, saisir une Description (par exemple, le nom de votre application d'entreprise) et sélectionner une date d'expiration pour ce secret client, selon vos meilleures pratiques de sécurité interne.

    Noter que lorsque le secret client expire, personne ne pourra plus se connecter à l'instance Devolutions Cloud associée. Il faudra alors créer un nouveau secret client. Il est conseillé de vous attribuer un rappel de tâche avant la date d'expiration.

  3. Cliquer sur Ajouter.

  4. Copier la Valeur de ce nouveau secret client en cliquant sur l’icône Copier dans le presse-papiers située à côté.

Dans Devolutions Cloud

  1. De retour sur la page Configurer l’authentification unique (SSO), cliquer sur l'icône Coller pour entrer la Valeur de l’étape précédente dans le champ Clé secrète du client.

Dans Microsoft Entra ID Portal

  1. De retour dans le portail Azure, sélectionner Vue d'ensemble dans le menu latéral gauche, puis cliquer sur l’onglet Points de terminaison.

  2. Dans la fenêtre Points de terminaison, copier l'URL du document des métadonnées OpenID Connect en cliquant sur l'icône Copier dans le presse-papiers à côté.

Dans Devolutions Cloud

  1. De retour sur la page Configurer l'authentification unique (SSO), coller l'URL de l'étape précédente dans le champ URL de découverte.

  2. Cliquer sur Tester la configuration pour vérifier qu’elle est correcte. Une fenêtre contextuelle vous demandera de saisir vos identifiants de connexion.

    Si la fenêtre contextuelle ne s'affiche pas, consulter La page de connexion Devolutions ne s'ouvre pas dans le navigateur.

  3. Si la connexion réussit, votre compte sera connecté à Entra ID et un résumé de votre configuration sera affiché.

  4. Dans le Résumé de votre configuration, cliquer sur Enregistrer.

Configuration de l'approvisionnement

La vérification du domaine doit être complétée pour pouvoir configurer l'approvisionnement.

Pour synchroniser vos utilisateurs et groupes d’utilisateurs depuis vos fournisseurs vers Devolutions Cloud, commencer par ajouter vos utilisateurs et groupes à votre application d’entreprise. Il est nécessaire d’avoir une licence Azure Enterprise pour synchroniser les groupes d’utilisateurs.

Les groupes imbriqués ne sont pas pris en charge, ce qui signifie que l'approvisionnement Microsoft Entra ID ne synchronisera pas les utilisateurs membres du groupe imbriqué.

Dans Microsoft Entra ID Portal

  1. Sélectionner Utilisateurs et groupes dans le menu latéral gauche, puis cliquer sur Ajouter un utilisateur/groupe.

  2. Sous Ajouter une affectation, cliquer sur Aucune sélection.

  3. Rechercher manuellement des utilisateurs et groupes ou utiliser la barre Recherche. Cliquer sur Sélectionner lorsque votre sélection est terminée.

  4. Cliquer sur Attribuer une fois la sélection terminée.

    Maintenant que vos utilisateurs et groupes ont été ajoutés, continuer avec la configuration de l'approvisionnement.

  5. Dans la gestion de votre appli Entreprise, aller à Approvisionnement et cliquer sur Commencer.

Dans Devolutions Cloud

  1. Aller à Administration – Authentification – Approvisionnement et activer l’approvisionnement SCIM.

  2. Dans le paramétrage de la synchronisation d'approvisionnement, copier l'URL du locataire en cliquant sur l'icône Copier dans le presse-papiers située à côté.

Dans Microsoft Entra ID Portal

  1. Définir le Mode d'approvisionnement sur Automatique, puis coller l'URL de l'étape précédente dans le champ URL du locataire.

Dans Devolutions Cloud

  1. Copier le Jeton secret en cliquant sur l’icône Copier dans le presse-papiers située à côté.

Dans Microsoft Entra ID Portal

  1. Coller le jeton de l'étape précédente dans le champ Jeton secret.

  2. Tester la connexion pour s'assurer qu'elle fonctionne, puis cliquer sur Enregistrer.

  3. Sélectionner Approvisionnement dans le menu latéral gauche, puis cliquer sur Démarrer l'approvisionnement.

Dans Devolutions Cloud

  1. Cliquer sur Activer la synchronisation.

  2. Lorsque la confirmation est demandée, cliquer sur Démarrer la synchronisation.

Vous pouvez maintenant voir une vue d'ensemble de votre synchronisation d’approvisionnement. À côté de l’URL du locataire, vous avez les options Régénérer un jeton SCIM ou Supprimer l'approvisionnement SCIM.

Le Jeton secret expirera 365 jours après sa génération. Une fois expiré, l’approvisionnement cessera de fonctionner. Il faudra alors régénérer un nouveau jeton sur la page Vue d’ensemble de la synchronisation d’approvisionnement vue ci-dessus. Nous recommandons de se fixer un rappel avant la date d’expiration.

Synchronisation entre Microsoft Entra ID et Devolutions Cloud

La synchronisation démarre automatiquement une fois la configuration de l'approvisionnement terminée. La fréquence d'approvisionnement d’Azure est au maximum de 45 minutes et est déterminée par votre fournisseur d'identité. Les groupes d’utilisateurs, y compris leurs membres, se synchroniseront dans ce délai d’approvisionnement Azure. Nous vous recommandons de vérifier les premiers résultats de l’approvisionnement.

Dans AdministrationGroupes d'utilisateurs, les groupes d'utilisateurs Azure seront ajoutés. Ils sont reconnaissables grâce à l’icône de groupe Est synchronisé à côté du nom du groupe.

Dans AdministrationUtilisateurs, tous les utilisateurs du groupe Azure qui font déjà partie de votre Devolutions Cloud seront identifiés comme synchronisés grâce à l’icône Est synchronisé à côté de leur nom. Tous les nouveaux utilisateurs du groupe Azure synchronisé qui ne font pas partie de Devolutions Cloud seront proposés comme nouvelles invitations dans Invitations requises.

Tous les utilisateurs ayant déjà un compte Devolutions verront les deux options de connexion : la méthode Compte Devolutions et la méthode Microsoft.

Ensuite, se rendre sur votre portail Azure, sélectionner votre application Devolutions Cloud, aller à GérerApprovisionnement, et cliquer sur Redémarrer l’approvisionnement pour synchroniser les nouveaux utilisateurs.

Q&R

Q : Pourquoi les utilisateurs reçoivent-ils encore une invite de mot de passe après la connexion SSO ?

R : Cette invite concerne la clé privée. Lorsque les utilisateurs se connectent, ils doivent choisir comment la clé privée sera stockée. S’ils choisissent le mot de passe, il faudra le saisir la première fois qu’ils se connectent à partir d’un nouveau navigateur ou après avoir vidé le cache de leur navigateur.

Q : Peut-on désactiver cette invite de clé privée ?

R : La seule façon de désactiver l'invite de clé privée consiste à configurer votre propre service de chiffrement. Pour plus de détails, consulter Service de chiffrement.

Q : Comment ajouter des utilisateurs invités à notre Devolutions Cloud ?

R : Si les utilisateurs invités font partie de l’environnement Microsoft Entra ID, ils peuvent être ajoutés via le processus d'approvisionnement. Dès que les utilisateurs invités n'ont plus besoin d'un accès, il suffit de les retirer de la configuration d'approvisionnement.

Q : L'ID client ou le secret fourni par votre organisation n'est pas valide, veuillez contacter un administrateur de votre organisation.

R : Cela signifie très probablement que le secret client a expiré dans Microsoft Entra ID Portal. La solution consiste à créer un nouveau secret et à le mettre à jour dans la configuration SSO de Devolutions Cloud.

Q : Si l'option obligeant tous les utilisateurs et administrateurs à se connecter avec SSO est activée, que se passera-t-il si le SSO échoue ?

R : Si la fonctionnalité Force SSO est activée pour tous les utilisateurs, ceux-ci perdront l’accès à Devolutions Cloud en cas de mauvaise configuration ou d’indisponibilité du fournisseur SSO. Il est fortement recommandé d’informer tous les utilisateurs existants dans Devolutions Cloud de cette nouvelle méthode d’authentification avant l’activation. Autrement, consulter Désactiver Force SSO pour tous les utilisateurs dans Devolutions Cloud via PowerShell pour désactiver temporairement la fonctionnalité.

Q : Le UPN d’un utilisateur peut-il être changé ?

R : Devolutions Cloud utilise le UPN, et non le courriel, pour authentifier les utilisateurs dans la base de données. Changer le UPN modifie également les informations liées à l’utilisateur. Devolutions Cloud considère cela comme un nouvel utilisateur, ce qui nécessite de répéter le processus d’invitation.

Q : Si un Devolutions Cloud est créé par erreur et lié à un compte, peut-il être supprimé ?

R : Le Devolutions Cloud est supprimé automatiquement après 90 jours d’inactivité.

Devolutions Forum logo Partagez vos commentaires