Configurer l'authentification SSO avec Microsoft Azure

Voici les étapes pour configurer Azure avec Devolutions Hub Business pour l'authentification Single Sign-On (SSO) et le provisionnement des utilisateurs.

Vérification de domaine

Dans Devolutions Hub Business

1. Aller à Administration – Authentification – Domaine, puis cliquer sur Ajouter Domaine.

   

2. Remplir votre domaine, puis cliquer sur la coche pour commencer le processus de vérification.

   

3. Pour posséder plusieurs domaines, cliquer sur Ajouter Domaine à nouveau, remplir votre autre domaine, puis cliquer sur la coche. Répéter ce processus pour chaque domaine que vous souhaitez ajouter.

   

4. Créer un DNS TXT Record en utilisant le nom d'hôte et la valeur TXT fournis. Cela nous permet de vérifier la propriété du ou des domaines fournis.

   

   Il est recommandé de vérifier que votre configuration est adéquate à l'aide d'outils de requête DNS tels que MXToolBox ou whatsmydns.net. L'exemple ci-dessous utilise l'outil de recherche TXT de MXToolBox. La première partie du nom de domaine doit correspondre au Nom d'hôte dans Devolutions Hub et l'enregistrement doit correspondre à la Valeur TXT dans Devolutions Hub également.

   Les enregistrements DNS TXT peuvent prendre un certain temps à se propager.

   

5. Attendre la vérification du domaine. Après la vérification réussie, une coche dans un cercle vert s'affichera à côté du domaine. Il est possible de configurer l'authentification unique (SSO) pendant le processus de vérification ; cependant, le provisionnement des utilisateurs ne sera accessible qu'une fois que le domaine aura été vérifié.

   

   Cette validation dure 48 heures et ne redémarre pas automatiquement après cette période. Si vous ne configurez pas votre enregistrement TXT dans les 48 heures, votre statut de validation sera Expiré. Si cela se produit, vous pouvez cliquer sur Réessayer.

   Si vous rencontrez des problèmes lors de la vérification de votre domaine, consultez notre guide de dépannage de la validation de domaine.

Configuration de l'authentification unique (SSO)

1. Aller à Administration – Authentification – Authentification unique (SSO), puis cliquer sur Authentification unique Microsoft (SSO). Vous serez dirigé vers la page de configuration.

   

2. Nommer votre configuration SSO. Ce nom apparaîtra uniquement dans votre menu des paramètres Aconnexion unique Devolutions. Le nom par défaut est "Microsoft".

   

   Ne fermez pas cette page de configuration, car les étapes suivantes vous indiqueront où trouver les informations à saisir dans ses champs.

Dans le portail Azure

3. Dans une nouvelle page de navigateur Web, ouvrir votre Microsoft Azure Portal et se connecter à votre compte.

4. Sélectionner Microsoft Entra ID (anciennement Azure Active Directory) dans la section Services Azure. Si vous ne le voyez pas, cliquer sur Plus de services pour faire apparaître d'autres services.

   

5. Dans Aperçu, cliquer sur Ajouter, puis sélectionner Application d'entreprise.

   

6. Cliquer sur Créer votre propre application.

   

7. Entrer le nom de cette nouvelle application, puis cliquer sur Créer.

   Nous recommandons d'inclure soit "Devolutions" soit "Hub" dans le nom.

   

8. Dans les Propriétés, définir le paramètre Assignation requise? selon les besoins. Pour en savoir plus sur ce paramètre, survoler l'icône d'information à côté avec votre curseur.

   

9. Enregistrer vos modifications si applicable en utilisant le bouton Save en haut.

10. En restant dans Propriétés, cliquer sur inscription de l'application dans le texte en haut.

    

11. Sélectionner Authentification dans le menu de gauche, puis cliquer sur Ajouter une plateforme.

    

12. Dans Configurer plateformes, sélectionner Web.

    

Dans Devolutions Hub Business

13. De retour sur la page Configurer Authentification unique (SSO), copier l'URL de rappel en cliquant sur l'icône Copier dans le presse-papiers à côté.

    

Dans le portail Azure

14. De retour sur le portail Azure, coller l'URL de rappel dans le champ URIs de redirection, puis cliquer sur Configurer en bas.

    

15. Sélectionner Configuration de jeton dans le menu de gauche, puis cliquer sur Ajouter une réclamation optionnelle.

    

16. Sous Type de jeton, sélectionner ID. Puis, dans la liste, sélectionner les revendications suivantes :
    • email
    • family_name
    • given_name
    • upn
    • xms_pl
    • xms_tpl

1. Cliquer sur Ajouter.
2. Lorsqu'on y est invité, activer Activer le courriel Microsoft Graph, puis cliquer sur Ajouter.

   

3. Sélectionner Vue d'ensemble dans le menu de gauche, puis copier l'ID Application (client) en cliquant sur l'icône Copier dans le presse-papiers à côté.

   

Dans Devolutions Hub Business

20. De retour sur la page Configurer Authentification unique (SSO), coller l'Application (client) ID de l'étape précédente dans le champ ID client.

    

Dans le portail Azure

21. De retour sur le portail Azure, sélectionner Certificats & secrets dans le menu de gauche, puis, dans l'onglet Secrets client, cliquer sur Nouveau secret client.

    

22. Dans la fenêtre Ajouter un secret client, entrer une Description (par exemple, le nom de votre application d'entreprise) et sélectionner une date d'expiration pour ce secret client, selon vos meilleures pratiques de sécurité internes.

    Notez que lorsque le secret client expire, personne ne pourra se connecter au hub associé. Vous devrez alors créer un nouveau secret client. Nous vous recommandons de vous rappeler de cette tâche avant la date d'expiration.

    

23. Cliquer sur Ajouter.

24. Copier la Valeur de ce nouveau secret client en cliquant sur l'icône Copier dans le presse-papiers à côté.

    

Dans Devolutions Hub Business

25. De retour sur la page Configurer Authentification unique (SSO), coller la Valeur du secret client de l'étape précédente dans le champ Clé du secret client.

    

Dans le portail Azure

26. De retour sur le portail Azure, sélectionner Vue d'ensemble dans le menu de gauche, puis cliquer sur l'onglet Points de terminaison.

    

27. Dans la fenêtre Points de terminaison, copier l'URL du document de métadonnées OpenID Connect en cliquant sur l'icône Copier dans le presse-papiers à côté.

    

Dans Devolutions Hub Business

28. De retour sur la page Configurer l'authentification unique (SSO), coller l'URL du dernier étape dans le champ URL de découverte.

    

29. Cliquer sur Test Configuration pour s'assurer qu'elle est correcte. Une fenêtre contextuelle vous demandera de saisir vos informations d'identification de connexion.

    Si la page contextuelle ne s'affiche pas, consultez La page de connexion Devolutions ne s'ouvre pas dans le navigateur.

    

30. Si la connexion est réussie, votre compte se connectera avec Entra ID (anciennement Azure AD) et vous verrez un résumé de votre configuration.

31. Dans le Résumé de votre configuration, cliquer sur Enregistrer.

    

Configuration du provisionnement

La vérification de domaine doit être complétée pour pouvoir configurer le provisionnement.

Pour synchroniser vos utilisateurs et groupes d'utilisateurs de vos fournisseurs vers le hub, ajoutez d'abord vos utilisateurs et groupes à votre application d'entreprise. Vous devez posséder une licence Azure Enterprise pour pouvoir synchroniser les groupes d'utilisateurs.

Dans le portail Azure

1. Sélectionner Utilisateurs et groupes dans le menu de gauche, puis cliquer sur Ajouter utilisateur/groupe.

   

2. Sous Ajouter une affectation, cliquer sur Aucun sélectionné.

   

3. Rechercher manuellement des utilisateurs et groupes ou utiliser la barre de Recherche. Cliquer sur Sélectionner lorsque vous avez terminé votre sélection.

   

4. Cliquer sur Assigner lorsque votre sélection est terminée.

   

Maintenant que vos utilisateurs et groupes ont été ajoutés, continuer avec la configuration du provisionnement.

5. Dans la gestion de votre application d'entreprise, aller à Provisionnement et cliquer sur Commencer.

   

Dans Devolutions Hub Business

6. Aller à Administration – Authentification – Provisionnement et activer le Provisionnement SCIM.

   

7. Dans la Configuration de la synchronisation de provisionnement, copier l'URL de locataire en cliquant sur l'icône Copier dans le presse-papiers à côté.

   

Dans le portail Azure

8. Définir le Mode de provisionnement sur Automatique, puis coller l'URL de l'étape précédente dans le champ URL du locataire.

   

Dans Devolutions Hub Business

9. Copier le Jeton Secret en cliquant sur l'icône Copier dans le presse-papiers à côté.

   

Dans le portail Azure

10. Coller le jeton de l'étape précédente dans le champ Jeton Secret.

    

11. Tester la connexion pour vous assurer qu'elle fonctionne, puis cliquer sur Enregistrer.
12. Sélectionner Provisionnement dans le menu de gauche, puis cliquer sur Démarrer le provisionnement.

    

Dans Devolutions Hub Business

13. Cliquer sur Activer Synchronisation.

    

14. Lorsqu'on vous demande de confirmer, cliquer sur Démarrer la Synchronisation.

    

Vous pouvez maintenant voir un aperçu de votre synchronisation de provisionnement. À côté de l'URL du locataire, vous avez les options pour Régénérer un jeton SCIM ou Supprimer le provisionnement SCIM.

Synchronisation entre Azure et Devolutions Hub

La synchronisation démarre automatiquement lorsque la configuration de provisionnement est terminée. La fréquence de provisionnement d'Azure est d'au plus 45 minutes et est déterminée par votre fournisseur d'identité. Les groupes d'utilisateurs, y compris leurs membres, se synchroniseront dans ce délai de provisionnement Azure. Nous vous recommandons de vérifier les résultats du premier provisionnement.

Dans Administration – Groupes d'utilisateurs, les groupes d'utilisateurs Azure seront ajoutés. Ils sont reconnaissables par l'icône du groupe Est synchronisé à côté du nom du groupe.

Dans Administration – Utilisateurs, tous les utilisateurs du groupe d'utilisateurs Azure qui font déjà partie de votre Hub Devolutions seront marqués comme synchronisés avec l'icône Est synchronisé à côté de leur nom. Tous les nouveaux utilisateurs faisant partie du groupe d'utilisateurs Azure synchronisé qui ne font pas partie du Hub Devolutions seront proposés comme nouvelles invitations dans Invitations requises.