Configurer l'authentification SSO avec Microsoft Azure

Voici les étapes pour configurer Azure avec Devolutions Hub Business pour l'authentification Single Sign-on (SSO) et le provisionnement des utilisateurs.

Un compte Azure AD avec les droits appropriés est requis.

Vérification de domaine

Dans Devolutions Hub Business

  1. Aller à Administration – Authentification – Domaine, puis cliquer sur Ajouter un domaine.

    Administration – Authentification – Domaine – Ajouter un domaine
    Administration – Authentification – Domaine – Ajouter un domaine

  2. Remplir votre domaine, puis cliquer sur la coche pour démarrer le processus de vérification.

    Domaine
    Domaine

  3. Pour avoir plusieurs domaines, cliquer à nouveau sur Ajouter un domaine, remplir votre autre domaine, puis cliquer sur la coche. Répéter ce processus pour chaque domaine que vous souhaitez ajouter.

    Plusieurs domaines
    Plusieurs domaines

  4. Créer un enregistrement DNS TXT en utilisant le Nom d'hôte et la Valeur TXT fournis. Cela nous permet de vérifier la propriété du ou des domaines fournis.

    Nom d'hôte et Valeur TXT
    Nom d'hôte et Valeur TXT

    Nous recommandons de vérifier que votre configuration est adéquate à l'aide d'outils de requête DNS tels que MXToolBox ou whatsmydns.net. L'exemple ci-dessous utilise l'outil de recherche TXT de MXToolBox. La première partie du nom de domaine doit correspondre au Nom d'hôte dans Devolutions Hub et l'enregistrement doit correspondre à la Valeur TXT dans Devolutions Hub également.

    Les enregistrements DNS TXT peuvent prendre du temps à se propager.

    Enregistrement DNS TXT dans MXToolBox
    Enregistrement DNS TXT dans MXToolBox

  5. Attendre la vérification du domaine. Une fois la vérification réussie, une coche dans un cercle vert s'affichera à côté du domaine. Vous pouvez procéder à la configuration du Single Sign-On (SSO) pendant le processus de vérification ; cependant, le provisionnement des utilisateurs ne sera accessible qu'après la vérification du domaine.

    Domaine vérifié
    Domaine vérifié

    Cette validation dure 48 heures et ne redémarre pas automatiquement après cette période. Si vous ne configurez pas votre enregistrement TXT dans ces 48 heures, votre statut de validation sera Expiré. Si cela se produit, vous pouvez cliquer sur Réessayer.

    Si vous rencontrez des problèmes lors de la tentative de vérification de votre domaine, consultez notre guide de dépannage de la validation de domaine.

Configuration du Single Sign-On (SSO)

  1. Aller à Administration – Authentification – Single Sign-On (SSO), puis cliquer sur Microsoft Single Sign-On (SSO). Vous serez dirigé vers la page de configuration.

    Administration – Authentification – Single Sign-On (SSO) – Microsoft Single Sign-On (SSO)
    Administration – Authentification – Single Sign-On (SSO) – Microsoft Single Sign-On (SSO)

  2. Nommer votre configuration SSO. Ce nom n'apparaîtra que dans le menu des paramètres SSO de votre Devolutions Hub. Le nom par défaut est "Microsoft".

    Nom de la configuration
    Nom de la configuration

    Ne pas fermer cette page de configuration, car les étapes suivantes vous montreront où trouver les informations à entrer dans ses champs.

Dans le portail Azure

  1. Dans une nouvelle page de navigateur Web, ouvrir votre portail Microsoft Azure et vous connecter à votre compte.

  2. Sélectionner Microsoft Entra ID (anciennement Azure Active Directory) dans la section Services Azure. Si vous ne le voyez pas, cliquer sur Plus de services pour faire apparaître d'autres services.

    Service Microsoft Entra ID
    Service Microsoft Entra ID

  3. Dans Vue d'ensemble, cliquer sur Ajouter, puis sélectionner Application d'entreprise.

    Ajouter une application d'entreprise
    Ajouter une application d'entreprise

  4. Cliquer sur Créer votre propre application.

    Créer votre propre application
    Créer votre propre application

  5. Entrer le nom de cette nouvelle application, puis cliquer sur Créer.

    Nous recommandons d'inclure soit "Devolutions" soit "Hub" dans le nom.

    Nom de l'application
    Nom de l'application

  6. Dans les Propriétés, définir le paramètre Affectation requise ? selon vos besoins. Pour en savoir plus sur ce paramètre, survoler l'icône d'information à côté avec votre curseur.

    Propriétés – Affectation requise
    Propriétés – Affectation requise

  7. Enregistrer vos modifications si applicable en utilisant le bouton Enregistrer en haut.

  8. En restant dans les Propriétés, cliquer sur enregistrement de l'application dans le texte en haut.

    Propriétés – enregistrement de l'application
    Propriétés – enregistrement de l'application

  9. Sélectionner Authentification dans le menu de gauche, puis cliquer sur Ajouter une plateforme.

    Authentification – Ajouter une plateforme
    Authentification – Ajouter une plateforme

  10. Dans Configurer les plateformes, sélectionner Web.

    Configurer les plateformes – Web
    Configurer les plateformes – Web

Dans Devolutions Hub Business

  1. De retour sur la page Configurer le Single Sign-On (SSO), copier l'URL de rappel en cliquant sur l'icône Copier dans le presse-papiers à côté.
    Copier l'URL de rappel
    Copier l'URL de rappel

Dans le portail Azure

  1. De retour dans le portail Azure, coller l'URL de rappel dans le champ URI de redirection, puis cliquer sur Configurer en bas.
    URI de redirection
    URI de redirection
  2. Sélectionner Configuration des jetons dans le menu de gauche, puis cliquer sur Ajouter une revendication facultative.
    Configuration des jetons – Ajouter une revendication facultative
    Configuration des jetons – Ajouter une revendication facultative
  3. Sous Type de jeton, sélectionner ID. Ensuite, dans la liste, sélectionner les revendications suivantes :
    • email
    • family_name
    • given_name
    • upn
    • xms_pl
    • xms_tpl

Ajouter une revendication facultative
Ajouter une revendication facultative

  1. Cliquer sur Ajouter.
  2. Lorsqu'on vous le demande, activer Activer l'email Microsoft Graph, puis cliquer sur Ajouter.
    Activer l'email Microsoft Graph
    Activer l'email Microsoft Graph
  3. Sélectionner Vue d'ensemble dans le menu de gauche, puis copier l'ID d'application (client) en cliquant sur l'icône Copier dans le presse-papiers à côté.
    Copier l'ID d'application (client)
    Copier l'ID d'application (client)

Dans Devolutions Hub Business

  1. De retour sur la page Configurer le Single Sign-On (SSO), coller l'ID d'application (client) de l'étape précédente dans le champ ID client.
    ID client
    ID client

Dans le portail Azure

  1. De retour dans le portail Azure, sélectionner Certificats et secrets dans le menu de gauche, puis, dans l'onglet Secrets client, cliquer sur Nouveau secret client.

    Certificats et secrets – Secrets client – Nouveau secret client
    Certificats et secrets – Secrets client – Nouveau secret client

  2. Dans la fenêtre Ajouter un secret client, entrer une Description (par exemple, le nom de votre application d'entreprise) et sélectionner une date d'expiration pour ce secret client, selon vos meilleures pratiques de sécurité internes.

    Notez que lorsque le secret client expire, personne ne pourra se connecter au hub associé. Vous devrez alors créer un nouveau secret client. Nous recommandons de vous fixer un rappel de tâche avant la date d'expiration.

    Ajouter un secret client
    Ajouter un secret client

  3. Cliquer sur Ajouter.

  4. Copier la Valeur de ce nouveau secret client en cliquant sur l'icône Copier dans le presse-papiers à côté.

    Copier la valeur du secret client
    Copier la valeur du secret client

Dans Devolutions Hub Business

  1. De retour sur la page Configurer le Single Sign-On (SSO), coller la Valeur du secret client de l'étape précédente dans le champ Clé du secret client.
    Clé du secret client
    Clé du secret client

Dans le portail Azure

  1. De retour dans le portail Azure, sélectionner Vue d'ensemble dans le menu de gauche, puis cliquer sur l'onglet Points de terminaison.
    Vue d'ensemble – Points de terminaison
    Vue d'ensemble – Points de terminaison
  2. Dans la fenêtre Points de terminaison, copier l'URL du document de métadonnées OpenID Connect en cliquant sur l'icône Copier dans le presse-papiers à côté.
    Copier l'URL du document de métadonnées OpenID Connect
    Copier l'URL du document de métadonnées OpenID Connect

Dans Devolutions Hub Business

  1. De retour sur la page Configurer le Single Sign-On (SSO), coller l'URL de l'étape précédente dans le champ URL de découverte.

    URL de découverte
    URL de découverte

  2. Cliquer sur Tester la configuration pour s'assurer qu'elle est correcte. Une fenêtre contextuelle vous demandera d'entrer vos identifiants de connexion.

    Si la page contextuelle ne s'affiche pas, voir La page de connexion Devolutions ne s'ouvre pas dans le navigateur.

    Tester la configuration
    Tester la configuration

  3. Si la connexion est réussie, votre compte se connectera avec Entra ID (anciennement Azure AD) et vous verrez un résumé de votre configuration.

  4. Dans le Résumé de votre configuration, cliquer sur Enregistrer.

    Enregistrer votre configuration
    Enregistrer votre configuration

Configuration du provisionnement

La vérification du domaine doit être complétée pour pouvoir configurer le provisionnement.

Pour synchroniser vos utilisateurs et groupes d'utilisateurs de vos fournisseurs vers le hub, ajoutez d'abord vos utilisateurs et groupes à votre application d'entreprise. Vous devez avoir une licence d'entreprise Azure pour pouvoir synchroniser les groupes d'utilisateurs.

Les groupes imbriqués ne sont pas pris en charge, ce qui signifie que le provisionnement Azure ne synchronisera pas les utilisateurs membres du groupe imbriqué.

Dans le portail Azure

  1. Sélectionner Utilisateurs et groupes dans le menu de gauche, puis cliquer sur Ajouter un utilisateur/groupe.
    Utilisateurs et groupes – Ajouter un utilisateur/groupe
    Utilisateurs et groupes – Ajouter un utilisateur/groupe
  2. Sous Ajouter une affectation, cliquer sur Aucun sélectionné.
    Ajouter une affectation
    Ajouter une affectation
  3. Rechercher manuellement des utilisateurs et des groupes ou utiliser la barre de Recherche. Cliquer sur Sélectionner lorsque vous avez terminé votre sélection.
    Sélection des utilisateurs et groupes
    Sélection des utilisateurs et groupes
  4. Cliquer sur Attribuer lorsque votre sélection est complète.
    Attribuer des utilisateurs et groupes
    Attribuer des utilisateurs et groupes

Maintenant que vos utilisateurs et groupes ont été ajoutés, continuez avec la configuration du provisionnement.

  1. Dans la gestion de votre application d'entreprise, aller à Provisionnement et cliquer sur Commencer.
    Provisionnement – Commencer
    Provisionnement – Commencer

Dans Devolutions Hub Business

  1. Aller à Administration – Authentification – Provisionnement et activer le Provisionnement SCIM.

    Activer le provisionnement SCIM
    Activer le provisionnement SCIM

  2. Dans la Configuration de la synchronisation du provisionnement, copier l'URL du locataire en cliquant sur l'icône Copier dans le presse-papiers à côté.

    Copier l'URL du locataire
    Copier l'URL du locataire

Dans le portail Azure

  1. Définir le Mode de provisionnement sur Automatique, puis coller l'URL de l'étape précédente dans le champ URL du locataire.
    Mode de provisionnement et URL du locataire
    Mode de provisionnement et URL du locataire

Dans Devolutions Hub Business

  1. Copier le Jeton secret en cliquant sur l'icône Copier dans le presse-papiers à côté.
    Copier le Jeton secret
    Copier le Jeton secret

Dans le portail Azure

  1. Coller le jeton de l'étape précédente dans le champ Jeton secret.
    Jeton secret
    Jeton secret
  2. Tester la connexion pour s'assurer qu'elle fonctionne, puis cliquer sur Enregistrer.
  3. Sélectionner Provisionnement dans le menu de gauche, puis cliquer sur Démarrer le provisionnement.
    Démarrer le provisionnement
    Démarrer le provisionnement

Dans Devolutions Hub Business

  1. Cliquer sur Activer la synchronisation.
    Activer la synchronisation
    Activer la synchronisation
  2. Lorsqu'on vous le demande, cliquer sur Démarrer la synchronisation.
    Démarrer la synchronisation
    Démarrer la synchronisation

Vous pouvez maintenant voir un aperçu de votre synchronisation de provisionnement. À côté de l'URL du locataire, vous avez les options pour Régénérer un jeton SCIM ou Supprimer le provisionnement SCIM.

Aperçu de la synchronisation du provisionnement
Aperçu de la synchronisation du provisionnement

Le Jeton secret expirera 365 jours après sa génération. Lorsqu'il expirera, le provisionnement cessera de fonctionner. Vous devrez alors régénérer un nouveau jeton dans la page Aperçu de la synchronisation du provisionnement vue ci-dessus. Nous recommandons de vous fixer un rappel de tâche avant la date d'expiration.

Synchronisation entre Azure et Devolutions Hub

La synchronisation démarre automatiquement lorsque la configuration du provisionnement est terminée. La fréquence de provisionnement d'Azure est au maximum de 45 minutes et est déterminée par votre fournisseur d'identité. Les groupes d'utilisateurs, y compris leurs membres, se synchroniseront dans ce délai de provisionnement Azure. Nous recommandons de vérifier les premiers résultats de provisionnement.

Dans Administration – Groupes d'utilisateurs, les groupes d'utilisateurs Azure seront ajoutés. Ils sont reconnaissables par l'icône de groupe Est synchronisé à côté du nom du groupe.

Groupes d'utilisateurs synchronisés
Groupes d'utilisateurs synchronisés

Dans Administration – Utilisateurs, tous les utilisateurs du groupe d'utilisateurs Azure qui font déjà partie de votre Devolutions Hub seront marqués comme synchronisés avec l'icône Est synchronisé à côté de leur nom. Tous les nouveaux utilisateurs faisant partie du groupe d'utilisateurs Azure synchronisé qui ne font pas partie du Devolutions Hub seront proposés comme nouvelles invitations dans Invitations requises.

Invitations requises et utilisateurs synchronisés
Invitations requises et utilisateurs synchronisés

Tous les utilisateurs qui avaient déjà un compte Devolutions verront les deux options de connexion : la méthode compte Devolutions et la méthode Microsoft.

Se connecter avec votre compte Devolutions ou avec Microsoft
Se connecter avec votre compte Devolutions ou avec Microsoft

Devolutions Forum logo Donnez-nous vos commentaires