Secure Access - Instructions client pour la configuration SAML Entra ID
Secure Access - Instructions client pour la configuration SAML Entra ID
Cet article fournit des instructions permettant au client de configurer Microsoft Entra ID (anciennement Azure AD ) pour l’authentification unique (SSO) avec les solutions Matrix42 Pro and IGA .
Généralement, cette configuration est effectuée par le spécialiste Entra ID ou l'authentification du client. Sa mise en œuvre et ses tests ne devraient pas prendre plus d'une demi-journée. Veuillez noter que certaines captures d'écran peuvent s'afficher différemment dans l' Entra ID du client.
Ces instructions s'appliquent à toutes les solutions Matrix42 Pro and IGA (par exemple, ITSM, IGA , HR) qui utilisent le composant Secure Access pour l'authentification.
Comment configurer Entra ID avec SAML
Inscription à la candidature
Le client doit configurer son Entra ID pour permettre au composant Security Access de récupérer les comptes et groupes d'utilisateurs. Toutes les étapes de configuration s'effectuent dans le centre d'administration Entra ID .
- Accédez à https://entra.microsoft.com et après la connexion, sélectionnez Identité → Applications → Applications d’entreprise .
Il ne s'agit PAS d'un « enregistrement d'application », qui est créé via un autre chemin, mais qui pourrait être confondu avec celui-ci.
- Créez une nouvelle application d’entreprise en sélectionnant « + Nouvelle application » dans le menu supérieur.
- Sélectionnez « Créer votre propre application ».
- Remplissez le nom sous « Quel est le nom de votre application » Sélectionnez ensuite l'option « Hors galerie » à la fin. Cliquez ensuite sur le bouton « Créer ».
- L'application Enterprise est maintenant créée. L'étape suivante consiste à lui attribuer des utilisateurs et des groupes. L'aperçu vous permet de visualiser les étapes suivantes. Choisissez « 1. Affecter des utilisateurs et des groupes » .
- Ajoutez les groupes nécessaires qui utilisent SSO dans les solutions Matrix42 Pro and IGA en sélectionnant + Ajouter un utilisateur/groupe.
- Cliquez sur « Utilisateurs et groupes ». Sélectionnez ensuite tous les groupes utilisés par votre organisation pour l'authentification unique (SSO) dans les solutions Matrix42 Pro and IGA , puis cliquez sur « Sélectionner ».
- L'étape suivante consiste à configurer l'authentification unique (SSO). L'aperçu vous permet de consulter les étapes suivantes. Choisissez 2. Configurer l'authentification unique .
Une implémentation SSO basée sur des protocoles de fédération améliore la sécurité, la fiabilité et l’expérience de l’utilisateur final et est plus facile à mettre en œuvre.
- Sélectionnez l'option SAML .
- Définir l'identifiant (ID d'entité) et l'URL de réponse (URL du service client d'assertion) :
- L'identifiant (ID d'entité) doit correspondre à l'ID d'entité du fournisseur de services d'identité Secure Access . (Identique à l'URL de réponse mais ne se terminant pas
/broker/<tenant>/endpoint -part). - L'URL de réponse doit correspondre à l'URI de redirection du fournisseur d'identité Secure Access .
- Remplissez le avec l'URL de votre environnement de solutions Matrix42 Pro and IGA .
- Si vous disposez de plusieurs environnements, par exemple de test ou de développement, en plus de votre environnement de production, vous pouvez ajouter l'URI pour ceux-ci ultérieurement.
- Par exemple.
https://example.m42cloud.com/auth/realms/example/broker/baseline/endpoint
- L'identifiant (ID d'entité) doit correspondre à l'ID d'entité du fournisseur de services d'identité Secure Access . (Identique à l'URL de réponse mais ne se terminant pas
- Copiez l'URL des métadonnées de la fédération d'applications et fournissez-la au consultant Matrix42 qui effectue l'implémentation SSO.
2. Certificats et secrets
Secure Access prend en charge la connexion sécurisée avec Entra ID en utilisant les secrets client.
Instructions relatives au secret client
- Dans le centre d’administration Microsoft Entra , dans Inscriptions d’applications, sélectionnez votre application.
- Sélectionnez Certificats et secrets > Secrets client > Nouveau secret client.
- Ajoutez une description pour votre secret client.
- Sélectionnez une date d’expiration pour le secret ou spécifiez une durée de vie personnalisée.
- La durée de vie du secret client est limitée à deux ans (24 mois) ou moins. Vous ne pouvez pas spécifier une durée de vie personnalisée supérieure à 24 mois.
- Microsoft vous recommande de définir une valeur d’expiration inférieure à 12 mois.
- Sélectionnez Ajouter.
- Enregistrez la valeur du secret pour l'utiliser dans le code de votre application cliente. Cette valeur ne s'affichera plus une fois que vous aurez quitté cette page.
Avis!
Notez dans le calendrier et dans le calendrier de l'année de solution que vous devez vous rappeler d'ajouter un nouveau secret et de l'utiliser dans Secure Access , avant l'expiration de l'ancien.
Planifiez à l'avance le changement de clé secrète, car une fois le secret expiré, les utilisateurs ne peuvent pas s'authentifier auprès des solutions Matrix42 Core , Pro and IGA .
Si cette même application est utilisée pour provisionner ou importer des données vers/depuis Entra vers Matrix42 Core , Pro ou IGA , elle cesse également de fonctionner si le secret expire.
3. Autorisations API
Les autorisations API sont accordées sous forme d'un ensemble minimal d'autorisations, ce qui signifie que seuls les accès nécessaires à l'application Efecte Secure Access doivent être autorisés. Ces autorisations doivent être configurées pour qu'Efecte Efecte Secure Access puisse s'authentifier, se connecter à Entra ID et lire les informations des comptes et groupes d'utilisateurs.
1. Les autorisations API peuvent être ouvertes après l'enregistrement de l'application
2. Sélectionnez « Autorisations API » dans la barre latérale, puis « Ajouter une autorisation ». Microsoft Graph > User.Read devrait déjà être ajouté ; vous pouvez le laisser tel quel.
3. Sélectionnez « Microsoft Graph »
4. Sélectionnez les autorisations API
5. Faites défiler jusqu'à Répertoire et sélectionnez « Directory.Read.All » et cliquez sur « Ajouter des autorisations ».
6. Enfin, cliquez sur « Accorder le consentement administrateur à <Nom de l'organisation> » et cliquez sur « Oui ». L'application est alors prête à être utilisée par Efecte.
7. La configuration devrait ressembler à ceci 
Les autorisations sont utilisées dans différentes fonctions, comme indiqué ci-dessous :
| Autorisation |
Fonction |
| Répertoire.Lire.Tout |
Programmé |
| Groupe.Lire.Tout |
Événement |
| Utilisateur.Lire |
Se connecter |
| Utilisateur.Lire.Tout |
Événement |
Il est également possible d'envoyer des groupes depuis Entra ID vers ESA , avec juste une revendication supplémentaire configurée dans la console Entra : 
4. Configuration de l'URL de redirection
1. Choisissez l'authentification
2. Vous devriez maintenant voir les URI de redirection que nous avons configurés précédemment. 
3. Faites défiler vers le bas et vérifiez que les bons jetons sont sélectionnés Jetons d'accès (utilisés pour les flux implicites) 
4. Vérifiez que les types de comptes pris en charge sont définis sur Comptes dans n'importe quel répertoire d'organisation (Tout répertoire Entra ID - Multilocataire)
- Si un seul locataire est sélectionné, tous les comptes utilisateurs et invités de votre annuaire peuvent utiliser votre application ou API .
Utilisez cette option si votre public cible est interne à votre organisation et que le répertoire cible est Entra ID . - Tous les utilisateurs et invités disposant d'un compte professionnel ou scolaire Microsoft peuvent utiliser votre application ou votre API . Cela inclut les écoles et les entreprises utilisant Microsoft 365. Utilisez cette option si votre public cible est composé de clients professionnels ou éducatifs, ou Entra ID Directory.
