Guide de configuration du portail Azure pour l'authentification Microsoft

Configurer Azure et Devolutions Server correctement pour utiliser l'authentification Microsoft en suivant les instructions ci-dessous.

Exigences

  • Devolutions Server scheduler installé et en cours d'exécution
  • Un abonnement Microsoft Azure AD
  • Une application web Azure AD pour l'application web Devolutions Server et le cache

Création des applications Azure AD et configuration Microsoft de Devolutions Server

Pour simplifier les étapes de configuration et pour copier et coller facilement tous les paramètres requis, garder les pages web de Devolutions Server et du portail Azure ouvertes côte à côte tout au long du processus.

Dans Devolutions Server

  1. Se connecter à votre Devolutions Server et naviguer vers Administration – Paramètres du serveur – Authentification.
  2. Sous Modes d'authentification, s'assurer que Authentifier avec un utilisateur Microsoft est activé.
  3. Sous Configuration, cliquer sur Authentification Microsoft.
    Administration – Paramètres du serveur – Authentification – Authentification Microsoft
    Administration – Paramètres du serveur – Authentification – Authentification Microsoft

Dans le portail Azure

  1. Se connecter à votre portail Microsoft Azure en utilisant des identifiants d'administrateur.
  2. Une fois connecté, sélectionner Microsoft Entra ID dans la section des services Azure. Si vous ne le voyez pas, cliquer sur Plus de services pour faire apparaître d'autres services ou le rechercher dans la barre de recherche.
    Service Microsoft Entra ID
    Service Microsoft Entra ID
  3. Dans Propriétés, copier la valeur Tenant ID.
    Copier le Tenant ID
    Copier le Tenant ID

Dans Devolutions Server

  1. Coller cette valeur dans le champ Tenant ID de la page de configuration Authentification Microsoft de Devolutions Server.

    L'option Utiliser un client ID spécifique pour les utilisateurs et le cache des groupes d'utilisateurs ne doit être cochée que pour prendre en charge les configurations lors de la migration d'une version antérieure de Devolutions Server.

    Coller le Tenant ID
    Coller le Tenant ID

Dans le portail Azure

  1. Dans la section du menu Gérer, cliquer sur Inscriptions d'applications puis sur Nouvelle inscription.
    Inscriptions d'applications – Nouvelle inscription
    Inscriptions d'applications – Nouvelle inscription
  2. Entrer un nom significatif pour l'application. Ce nom ne sera pas utilisé en dehors du portail Azure.
  3. Définir quels Types de comptes pris en charge sont autorisés à se connecter. Généralement, sélectionner Comptes dans cet annuaire organisationnel uniquement est largement suffisant pour votre authentification Azure AD.
  4. Définir l'URI de redirection sur Web et entrer une URL valide, l'URL pour atteindre votre instance Devolutions Server, avec /api/external-provider-response à la fin.
    Enregistrer une application
    Enregistrer une application
  5. Cliquer sur Enregistrer.
  6. Cliquer sur Copier dans le presse-papiers à côté de Application (client) ID.
    Copier l'ID de l'application
    Copier l'ID de l'application

Dans Devolutions Server

  1. Coller l'Application (client) ID dans le champ Client ID.
    Coller l'ID de l'application
    Coller l'ID de l'application

Dans le portail Azure

  1. Dans la section Authentification, sous Flux implicite et hybrides, activer Jeton d'accès et Jeton ID.
    Activer les jetons d'accès et jetons ID
    Activer les jetons d'accès et jetons ID
  2. Cliquer sur Enregistrer.
  3. Dans la section Certificats & secrets, cliquer sur Nouveau secret client.
    Certificats & secrets – Nouveau secret client
    Certificats & secrets – Nouveau secret client
  4. Entrer une description et définir une date d'expiration.
    Ajouter un secret client
    Ajouter un secret client
  5. Cliquer sur Ajouter.
  6. Copier la Valeur. Assurez-vous de sauvegarder la Valeur dans un endroit sûr avant de passer à une autre page du portail Azure, car le bouton de copie ne sera plus disponible.
    Copier la valeur du secret client
    Copier la valeur du secret client

Dans Devolutions Server

  1. S'assurer que le paramètre Utiliser uniquement le TokenID pour l'authentification est désactivé. Ce paramètre ne doit être activé que si vous avez activé les jetons ID dans Azure, mais pas les jetons d'accès, pour des raisons de rétrocompatibilité.
  2. Coller la Valeur dans le champ Valeur du secret.
    Coller la valeur du secret client
    Coller la valeur du secret client

Dans le portail Azure

  1. Dans la section Permissions API, cliquer sur Ajouter une permission.
    Permissions API – Ajouter une permission
    Permissions API – Ajouter une permission
  2. Sélectionner Microsoft Graph.
    Microsoft Graph
    Microsoft Graph
  3. Sélectionner Permissions d'application.
    Permissions d'application
    Permissions d'application
  4. Sélectionner Group.Read.All sous la section Groupe et User.Read.All sous la section Utilisateur.
    Permission Group.Read.All
    Permission Group.Read.All
    Permission User.Read.All
    Permission User.Read.All
  5. Cliquer sur Ajouter des permissions.
  6. Cliquer sur les trois points à côté de la permission User.Read et la supprimer.
    Supprimer la permission User.Read
    Supprimer la permission User.Read
  7. Confirmer la suppression en cliquant sur Oui, supprimer puisque cette permission n'est pas requise pour l'application de synchronisation.
  8. Si le Statut des permissions User.Read.All et Group.Read.All est défini sur Non accordé, un administrateur doit donner son consentement. Si le compte utilisé pour créer l'application est déjà un administrateur dans Azure, cliquer sur Accorder le consentement d'administration pour <votre organisation>.
    Accorder le consentement d'administration pour votre organisation
    Accorder le consentement d'administration pour votre organisation

Dans Devolutions Server

  1. Cliquer sur Enregistrer.

Vous devriez maintenant être capable d'utiliser le bouton Microsoft sur l'interface web.

Après avoir activé l'authentification Microsoft, il peut falloir un certain temps pour que le cache se charge avant de pouvoir importer des utilisateurs et des groupes d'utilisateurs. Si le problème persiste, veuillez consulter Impossible d'importer des utilisateurs ou des groupes Azure AD pour le dépannage via la Console de Devolutions Server.

Méthode d'authentification Microsoft
Méthode d'authentification Microsoft

Suivant le processus de connexion, vous pourriez recevoir une invite pour autoriser l'application à lire les comptes utilisateurs et les groupes. Cocher la case Consentir au nom de votre organisation puis cliquer sur Accepter.

Accepter les permissions
Accepter les permissions

Devolutions Forum logo Donnez-nous vos commentaires