Voici les étapes pour configurer Azure avec Devolutions Hub Business pour l'authentification SSO et le provisionnement des utilisateurs.
Un compte Azure AD avec les droits appropriés est requis.
Configuration de l'authentification unique (SSO)
Dans Devolutions Hub Business
- Accéder à Administration – Authentification.
- Dans Authentification unique (SSO), cliquer sur Configurer l'authentification unique (SSO).
Administration – Authentification – Authentification unique (SSO) – Configurer l'authentification unique (SSO)
Un fenêtre de configuration s'ouvrira.
Ne pas fermer cette fenêtre de configuration, car les étapes suivantes indiqueront où trouver les informations à saisir dans ces champs.
Dans le Portail Azure AD
- Dans une nouvelle page de navigateur Web, ouvrir le Portail Microsoft Azure AD et se connecter à votre compte.
- Sélectionner Azure Active Directory dans la section des Services Azure. S'il n'est pas visible, cliquer sur Autres services pour faire apparaître davantage de services.
Service Azure Active Directory - Dans Vue d'ensemble, cliquer sur Ajouter, puis sur Application d'entreprise.
Ajouter une application d'entreprise - Cliquer sur Créer votre propre application.
Créer votre propre application - Saisir le nom de la nouvelle application, puis cliquer sur Créer.
Il est suggéré d'inclure soit « Devolutions » ou « Hub » dans le nom.
- Dans Propriétés, définir le paramètre Affectation requise? selon vos besoins. Pour en savoir davantage sur ce paramètre, survoler l'icône d'information située à côté avec votre curseur.
Propriétés – Affectation requise - Sauvegarder les modifications, le cas échéant, en utilisant le bouton Enregistrer en haut de la page.
- Toujours dans Propriétés, cliquer sur inscription de l'application dans le texte du haut.
Propriétés – inscription de l'application - Sélectionner Authentification dans le menu latéral gauche, puis cliquer sur Ajouter une plateforme.
Authentification – Ajouter une plateforme - Dans Configurer des plateformes, sélectionner Web.
Configurer des plateformes – Web
Dans Devolutions Hub Business
- De retour dans la fenêtre Configurer l'authentification unique (SSO), copier l'URL de rappel en cliquant sur l'icône Copier dans le presse-papiers située à côté.
Copier l'URL de rappel
Dans le Portail Azure AD
- De retour dans Azure, coller l'URL de rappel dans le champ d'URI de redirection, puis cliquer sur Configurer au bas de la page.
URI de redirection - Sélectionner Configuration du jeton dans le menu latéral gauche, puis cliquer sur Ajouter une revendication facultative.
Configuration du jeton – Ajouter une revendication facultative - Sous Type de jeton, sélectionner ID. Ensuite, dans la liste, sélectionner les revendications suivantes :
- family_name
- given_name
- upn
- xms_pl
- xms_tpl
Ajouter une revendication facultative
- Cliquer sur Ajouter.
- Lorsque demandé, cocher Activez l'autorisation Microsoft Graph email, puis cliquer sur Ajouter.
Activez l'autorisation Microsoft Graph email - Sélectionner Vue d'ensemble dans le menu latéral gauche, puis copier l'ID d'application (client) en cliquant sur l'icône Copier dans le Presse-papiers située à côté.
Copier l'ID d'application (client)
Dans Devolutions Hub Business
- De retour dans la fenêtre Configurer l'authentification unique (SSO), coller l'ID d'application (client) de l'étape précédente dans le champ ID du client.
ID du client
Dans le Portail Azure AD
- Sélectionner Certificats & secrets dans le menu latéral gauche, puis, dans l'onglet Secrets client, cliquer sur Nouveau secret client.
Certificats & secrets – Secrets client – Nouveau secret client - Dans la fenêtre Ajouter un secret client, saisir une Description (le nom de l'application d'entreprise, par exemple) et sélectionner une Date d'expiration pour ce secret client, conformément à vos meilleures pratiques de sécurité interne.
Il est à noter que lorsque le secret client expire, personne ne pourra se connecter au hub associé. Il faudra alors créer un nouveau secret client. Il est recommandé de se fixer un rappel de tâche avant la date d'expiration.
- Cliquer sur Ajouter.
- Copier la Valeur de ce nouveau secret client en cliquant sur l'icône Copier dans le Presse-papiers située à côté.
Copier la valeur du secret client
Dans Devolutions Hub Business
- De retour dans la fenêtre Configurer l'authentification unique (SSO), coller la Valeur du secret client de l'étape précédente dans le champ Secret du client.
Secret du client
Dans le Portail Azure AD
- Sélectionner Vue d'ensemble dans le menu latéral gauche, puis cliquer sur l'onglet Points de terminaison.
Vue d'ensemble – Points de terminaison - Dans la fenêtre Points de terminaison, copier l'URL du champ Document sur les métadonnées OpenID Connect en cliquant sur l'icône Copier dans le Presse-papiers située à côté.
Copier l'URL du Document sur les métadonnées OpenID Connect
Dans Devolutions Hub Business
-
De retour dans la fenêtre Configurer l'authentification unique (SSO), coller l'URL de l'étape précédente dans le champ URL de détection.
URL de détection -
Dans le champ Champs d'application de l'utilisateur, saisir “User.Read“.
Champs d'application de l'utilisateur -
Tester la connexion pour s'assurer que la configuration est correcte. Une fenêtre contextuelle vous invitera à saisir vos identifiants de connexion.
Si la fenêtre contextuelle ne s'affiche pas, il est possible que votre navigateur ou une extension de navigateur bloque son ouverture. Il vous faudra modifier vos paramètres de navigateur et/ou d'extension. Si cela ne fonctionne toujours pas, désactiver/supprimer l'extension ou changer de navigateur pourrait également régler le problème.
-
Si la connexion réussie, votre compte se connectera à Azure AD et vous verrez un résumé de votre configuration.
-
Cliquer sur le bouton Enregistrer au bas de la fenêtre.
Configuration du provisionnement
Pour synchroniser vos utilisateurs et groupes d'utilisateurs de vos fournisseurs vers Devolutions Hub Business, suivez les étapes suivantes.
Dans Devolutions Hub Business
- Accéder à Administration – Authentification.
- Dans Approvisionnement, cliquer sur Générer le jeton SCIM.
Administration – Authentification – Approvisionnement – Générer le jeton SCIM
Notez que ce jeton SCIM expirera dans les 365 jours suivant sa génération. À son expiration, le provisionnement cessera de fonctionner. Vous devrez alors régénérer un nouveau jeton SCIM. Nous vous recommandons de vous fixer une tâche de rappel avant la date d'expiration.
- Dans la fenêtre Générer un jeton secret SCIM, copier l'URL locataire en cliquant sur l'icône Copier dans le presse-papiers située à côté.
Copier l'URL locataire
Dans le Portail Azure AD
- Dans la gestion de l'application d'entreprise, sélectionner Approvisionnement dans le menu latéral gauche et cliquer sur Démarrer.
Approvisionnement – Démarrer - Dans la liste déroulante Mode d'approvisionnement, sélectionner Automatique. Ensuite, coller l'URL de l'étape 3 dans le champ URL de locataire.
Mode d'approvisionnement et URL de locataire
Dans Devolutions Hub Business
- Dans la fenêtre Générer un jeton secret SCIM, copier la Clé secrète du jeton en cliquant sur l'icône Copier dans le presse-papiers située à côté.
Copier le jeton SCIM
Dans le Portail Azure AD
- Coller le jeton de l'étape précédente dans le champ Jeton secret.
Jeton secret - Tester la connexion pour s'assurer qu'elle fonctionne, puis cliquer sur Enregistrer.
Ajout d'un utilisateur/groupe
Dans cette section, vous pourrez ajouter vos utilisateurs et groupes d'utilisateurs à votre application d'entreprise.
Vous devez avoir une licence Azure Entreprise pour pouvoir synchroniser des groupes d'utilisateurs.
Les groupes imbriqués ne sont pas supportés, ce qui signifie que le provisionnement d'Azure ne synchronisera pas les utilisateurs membres de groupes imbriqués.
Dans le Portail Azure AD
- Sélectionner Utilisateurs et groupes dans le menu latéral gauche, puis cliquer sur Ajouter un utilisateur/groupe.
Utilisateurs et groupes – Ajouter un utilisateur/groupe - Sous Ajouter une attribution, cliquer sur Aucune sélection.
Ajouter une attribution - Rechercher manuellement les utilisateurs et les groupes ou utiliser la barre de Recherche. Cliquer sur Sélectionner lorsque la sélection est terminée.
Sélection d'utilisateurs et de groupes - Cliquer sur Attribuer lorsque votre sélection est complète.
Attribuer des utilisateurs et groupes - Sélectionner Approvisionnement dans le menu latéral gauche, puis cliquer sur Démarrer le provisionnement.
Démarrer le provisionnement
Synchronisation entre Azure et Devolutions Hub
Dans Devolutions Hub Business
- Accéder à Administration – Authentification.
- Dans Approvisionnement, Activer la synchronisation.
Administration – Authentification – Approvisionnement – Activer la synchronisation
La fréquence de provisionnement d'Azure est d'au plus 40 minutes. Les groupes d'utilisateurs, y compris leurs membres, se synchroniseront dans ce délai de provisionnement d'Azure. Nous vous recommandons de vérifier les premiers résultats du provisionnement.
Dans Administration – Groupes d'utilisateurs, les groupes d'utilisateurs Azure seront ajoutés. Ils sont reconnaissables à l'icône du groupe Est synchronisée à côté du nom du groupe.
Dans Administration – Utilisateurs, tous les utilisateurs du groupe d'utilisateurs Azure qui font déjà partie du Devolutions Hub seront marqués comme synchronisés avec l'icône Est synchronisée à côté de leur nom. Tous les nouveaux utilisateurs faisant partie du groupe d'utilisateurs Azure synchronisé qui ne font pas partie du Devolutions Hub seront suggérés comme de nouvelles invitations dans Invitations nécessaires.
Tous les utilisateurs qui avaient déjà un Compte Devolutions verront les deux options de connexion : la méthode Compte Devolutions et la méthode Microsoft.