Configurer l'authentification SSO avec Microsoft Azure

Voici les étapes pour configurer Azure avec Devolutions Hub Business pour l'authentification Single Sign-on (SSO) et la provision des utilisateurs.

Vérification de domaine

Dans Devolutions Hub Business

1. Aller à Administration – Authentification – Domaine, puis cliquer sur Ajouter un domaine.

   

2. Remplir votre domaine, puis cliquer sur la coche pour démarrer le processus de vérification.

   

3. Pour avoir plusieurs domaines, cliquer Ajouter un domaine une fois de plus, remplir votre autre domaine, puis cliquer sur la coche. Répéter ce processus pour chaque domaine que vous souhaitez ajouter.

   

4. Créer un enregistrement DNS TXT en utilisant le Nom d'hôte et la Valeur TXT fournis. Cela nous permet de vérifier la propriété des domaines fournis.

   

   Nous recommandons de vérifier que votre configuration est adéquate à travers des outils de requête DNS tels que MXToolBox ou whatsmydns.net. L'exemple ci-dessous utilise l'outil de recherche TXT de MXToolBox. La première partie du nom de domaine doit correspondre au Nom d'hôte dans Devolutions Hub et l'enregistrement doit correspondre à la Valeur TXT dans Devolutions Hub également.

   Les enregistrements DNS TXT peuvent prendre du temps à se propager.

   

5. Attendre la vérification du domaine. Une fois la vérification réussie, une coche dans un cercle vert s'affichera à côté du domaine. Vous pouvez procéder à la configuration de l'authentification Single Sign-On (SSO) pendant le processus de vérification ; cependant, la provision des utilisateurs ne sera accessible qu'après la vérification du domaine.

   

   Cette validation dure 48 heures et ne redémarre pas automatiquement après cette période. Si vous ne configurez pas votre enregistrement TXT dans ces 48 heures, votre statut de validation sera Expiré. Si cela se produit, vous pouvez cliquer sur Réessayer.

   Si vous rencontrez des problèmes lors de la tentative de vérification de votre domaine, consultez notre guide de dépannage de validation de domaine Domain validation troubleshooting.

Configuration de l'authentification Single Sign-On (SSO)

1. Aller à Administration – Authentification – Single Sign-On (SSO), puis cliquer sur Microsoft Single Sign-On (SSO). Vous serez dirigé vers la page de configuration.

   

2. Nommer votre configuration SSO. Ce nom n'apparaîtra que dans votre menu de paramètres SSO Devolutions Hub. Le nom par défaut est "Microsoft".

   

   Ne fermez pas cette page de configuration, car les étapes suivantes vous montreront où trouver les informations à saisir dans ses champs.

Dans le portail Azure

3. Dans une nouvelle page de navigateur Web, ouvrir votre portail Microsoft Azure et vous connecter à votre compte.

4. Sélectionner Microsoft Entra ID (anciennement Azure Active Directory) dans la section Services Azure. Si vous ne le voyez pas, cliquer sur Plus de services pour faire apparaître d'autres services.

   

5. Dans Vue d'ensemble, cliquer sur Ajouter, puis sélectionner Application d'entreprise.

   

6. Cliquer sur Créer votre propre application.

   

7. Entrer le nom de cette nouvelle application, puis cliquer sur Créer.

   Nous recommandons d'inclure soit "Devolutions" soit "Hub" dans le nom.

   

8. Dans les Propriétés, définir le paramètre L'attribution est-elle requise ? selon vos besoins. Pour en savoir plus sur ce paramètre, survoler l'icône d'information à côté de celui-ci avec votre curseur.

   

9. Sauvegarder vos modifications si applicable en utilisant le bouton Enregistrer en haut.

10. Rester dans Propriétés, cliquer sur inscription d'application dans le texte en haut.

    

11. Sélectionner Authentification dans le menu de gauche, puis cliquer sur Ajouter une plateforme.

    

12. Dans Configurer les plateformes, sélectionner Web.

    

Dans Devolutions Hub Business

13. Retourner sur la page Configurer l'authentification Single Sign-On (SSO), copier l'URL de rappel en cliquant sur l'icône Copier dans le presse-papiers à côté de celle-ci.

    

Dans le portail Azure

14. Retourner dans le portail Azure, coller l'URL de rappel dans le champ URI de redirection, puis cliquer sur Configurer en bas.

    

15. Sélectionner Configuration des jetons dans le menu de gauche, puis cliquer sur Ajouter une revendication facultative.

    

16. Sous Type de jeton, sélectionner ID. Ensuite, dans la liste, sélectionner les revendications suivantes :
    • email
    • family_name
    • given_name
    • upn
    • xms_pl
    • xms_tpl

1. Cliquer sur Ajouter.
2. Lorsque demandé, activer Activer l'email Microsoft Graph, puis cliquer sur Ajouter.

   

3. Sélectionner Vue d'ensemble dans le menu de gauche, puis copier l'ID d'application (client) en cliquant sur l'icône Copier dans le presse-papiers à côté de celui-ci.

   

Dans Devolutions Hub Business

20. Retourner sur la page Configurer l'authentification Single Sign-On (SSO), coller l'ID d'application (client) de l'étape précédente dans le champ ID client.

    

Dans le portail Azure

21. Retourner dans le portail Azure, sélectionner Certificats et secrets dans le menu de gauche, puis, dans l'onglet Secrets client, cliquer sur Nouveau secret client.

    

22. Dans la fenêtre Ajouter un secret client, entrer une Description (par exemple, le nom de votre application d'entreprise) et sélectionner une date d'expiration pour ce secret client, conformément à vos meilleures pratiques de sécurité internes.

    Notez que lorsque le secret client expire, personne ne pourra se connecter au hub associé. Vous devrez alors créer un nouveau secret client. Nous recommandons de vous fixer un rappel de tâche avant la date d'expiration.

    

23. Cliquer sur Ajouter.

24. Copier la Valeur de ce nouveau secret client en cliquant sur l'icône Copier dans le presse-papiers à côté de celle-ci.

    

Dans Devolutions Hub Business

25. Retourner sur la page Configurer l'authentification Single Sign-On (SSO), coller la valeur du secret client Valeur de l'étape précédente dans le champ Clé secrète client.

    

Dans le portail Azure

26. Retourner dans le portail Azure, sélectionner Vue d'ensemble dans le menu de gauche, puis cliquer sur l'onglet Points de terminaison.

    

27. Dans la fenêtre Points de terminaison, copier l'URL du document de métadonnées OpenID Connect en cliquant sur l'icône Copier dans le presse-papiers à côté de celle-ci.

    

Dans Devolutions Hub Business

28. Retourner sur la page Configurer l'authentification Single Sign-On (SSO), coller l'URL de l'étape précédente dans le champ URL de découverte.

    

29. Cliquer sur Tester la configuration pour vous assurer qu'elle est correcte. Une fenêtre contextuelle vous invitera à saisir vos identifiants de connexion.

    Si la page contextuelle n'apparaît pas, voir La page de connexion Devolutions ne s'ouvre pas dans le navigateur.

    

30. Si la connexion est réussie, votre compte se connectera avec Entra ID (anciennement Azure AD) et vous verrez un résumé de votre configuration.

31. Dans le Résumé de votre configuration, cliquer sur Enregistrer.

    

Configuration de la provision

La vérification du domaine doit être complétée pour pouvoir configurer la provision.

Pour synchroniser vos utilisateurs et vos groupes d'utilisateurs de vos fournisseurs vers le hub, ajouter d'abord vos utilisateurs et groupes à votre application d'entreprise. Vous devez avoir une licence Azure Enterprise pour pouvoir synchroniser les groupes d'utilisateurs.

Dans le portail Azure

1. Sélectionner Utilisateurs et groupes dans le menu de gauche, puis cliquer sur Ajouter un utilisateur/groupe.

   

2. Sous Ajouter une attribution, cliquer sur Aucun sélectionné.

   

3. Rechercher manuellement des utilisateurs et des groupes ou utiliser la barre de Recherche. Cliquer sur Sélectionner lorsque vous avez terminé votre sélection.

   

4. Cliquer sur Attribuer lorsque votre sélection est complète.

   

Maintenant que vos utilisateurs et groupes ont été ajoutés, continuer avec la configuration de la provision.

5. Dans la gestion de votre application d'entreprise, aller à Provisioning et cliquer sur Commencer.

   

Dans Devolutions Hub Business

6. Aller à Administration – Authentification – Provisioning et activer Provisioning SCIM.

   

7. Dans la configuration de la synchronisation de provisionnement, copier l'URL du locataire en cliquant sur l'icône Copier dans le presse-papiers à côté de celle-ci.

   

Dans le portail Azure

8. Définir le Mode de provisionnement sur Automatique, puis coller l'URL de l'étape précédente dans le champ URL du locataire.

   

Dans Devolutions Hub Business

9. Copier le Jeton secret en cliquant sur l'icône Copier dans le presse-papiers à côté de celui-ci.

   

Dans le portail Azure

10. Coller le jeton de l'étape précédente dans le champ Jeton secret.

    

11. Tester la connexion pour vous assurer qu'elle fonctionne, puis cliquer sur Enregistrer.
12. Sélectionner Provisioning dans le menu de gauche, puis cliquer sur Démarrer le provisionnement.

    

Dans Devolutions Hub Business

13. Cliquer sur Activer la synchronisation.

    

14. Lorsqu'on vous