1. La tâche d'authentification doit être configurée dans la plateforme Efecte Service Management (dans l'onglet Connecteurs, en tant que tâche d'authentification), avant de configurer le composant Efecte Secure Access .

• Comment configurer la tâche de provisionnement pour l'authentification ?

2. Lorsque vous avez créé une tâche d'authentification pour ESM, l'intégration crée automatiquement un fournisseur d'identité nommé de la même manière pour ESA . Après avoir créé une tâche d'authentification pour ESM, vérifiez que la configuration est correctement stockée dans Efecte Secure Access ( ESA ) (avec les mêmes informations que celles définies dans la configuration de la tâche de connecteur) en suivant les étapes 3 à 7 .

Si votre tâche d'authentification ne trouve pas de fournisseur d'authentification auprès d' ESA , il est possible qu'il y ait un problème de connectivité entre ESM et ESA . Dans ce cas, vous pouvez configurer manuellement le fournisseur d'authentification auprès ESA , en suivant également les étapes 3 à 7 ci-dessous.

Si vous créez un fournisseur manuellement, utilisez OpenID Connect V1.0 au lieu de Keycloak OpenID Connect . Utilisez également le point de terminaison de découverte Microsoft V1 : https://login.microsoftonline.com/[TENANT]/.well-known/openid-configuration. Remplacez [TENANT] par votre identifiant ou domaine de locataire Azure AD . Si l'utilisation de ce lien directement depuis ESA ne fonctionne pas, téléchargez-le d'abord sous forme de fichier sur votre ordinateur, puis utilisez-le pour configurer le fournisseur d'identité.

3. Connectez-vous à la console d'administration ESA (avec l'utilisateur : main.admin) en accédant à l'URL https://<your env domain.com> /auth/admin

4. Sélectionnez votre environnement Realm dans le menu déroulant en haut à gauche (sélectionnez-en un nommé comme votre environnement)

5. Ouvrez les paramètres Pro fournisseur d'identité à partir du panneau latéral gauche

6. Dans la liste, la même tâche de provisionnement pour l'authentification, qui a été créée sur la plate-forme Efecte Service Management, doit être affichée.

Par exemple, le nom de la tâche dans EPE :

Dans ESA pour cet exemple, il doit y avoir un « fournisseur d'identité » avec le même nom (et avec le type de fournisseur : OpenID Connect V1.0 ) :

7. Vérifiez que la configuration est correctement transférée de la plateforme Matrix42 Core , Pro ou IGA vers le composant Secure Access . Effectuez les modifications et ajouts nécessaires conformément aux chapitres suivants.

Si votre configuration n'a pas été transférée, vous pouvez créer un fournisseur d'identité manuellement. Pour ce faire, ouvrez « Fournisseurs d'identité Pro dans le menu de gauche, cliquez sur « Ajouter un fournisseur » et sélectionnez OpenID Connect V1.0.

Définir Utiliser le point de terminaison de découverte sur Activé

Utilisez l'URL du point de terminaison Discovery v1, qui utilise le format : https://login.microsoftonline.com/[TENANT]/.well-known/openid-configuration

Définissez l'authentification client sur « Courriel client envoyé par courrier » . Pour cette configuration, vous avez besoin du secret client de l'application client Entra ID ( uid client ). Il est techniquement possible d'utiliser un certificat à la place du secret client, mais nous ne disposons pas encore uid pour le configurer.

Définir l'ID du locataire Entra des clients sur l'attribut ID client

Définir le secret de l'application Entra sur l'attribut Secret client

Note importante ! Si vous/le client avez configuré l'application Entra pour plusieurs domaines ( instructions client ) , vous devez définir tous les domaines autorisés sur l'attribut émetteur de ce fournisseur d'identité . Dans le cas contraire, un utilisateur indésirable risque de se connecter au portail. Vous pouvez ajouter plusieurs locataires à l'attribut émetteur, en les séparant par une virgule. N'utilisez pas d'espaces.
Exemple de valeur d'émetteur dans une configuration multilocataire, lorsque l'URL du point de terminaison Discovery v1 (si vous utilisez pour une raison quelconque le point de terminaison Discovery v2, son format d'URL est légèrement différent) : https://sts.windows.net/cbd5fb36-aad31-4d23-9b42-2f11dfaa5b33/,https://sts.windows.net/cbd5fb36-aad31-4d23-9b42-2f11dfaa5b52/,https://sts.windows.net/cbd5fb36-aad31-4d23-9b42-2f11dfaa5b44/

Votre fournisseur d'identité OpenID Connect V1.0 devrait ressembler à ceci, avant de cliquer sur « Ajouter »

Après avoir ajouté ce fournisseur Pro identité, vous devez encore définir ces paramètres :

Pro : Connexion

Accepter l'invite = aucune transmission du client : Activé

E-mail de confiance : activé

Remplacement du flux de première connexion : première connexion au courtier

Flux de connexion après publication : Aucun

Ne pas stocker les utilisateurs : activé
Il est recommandé d'activer l'option « Ne pas enregistrer les utilisateurs », sinon des problèmes pourraient survenir lors de la modification des données utilisateur dans Entra ID . Vous pouvez toutefois désactiver cette option lors des phases de test et de débogage pour faciliter la résolution des problèmes.

8. Enregistrez votre fournisseur d'identité

9. Créez les mappeurs nécessaires à votre fournisseur d'identité

Ouvrez le fournisseur d'identité, accédez à l'onglet Mappers

Nom d'utilisateur

Il s'agit du mappeur le plus important, car il est utilisé lors de la connexion à Matrix42 Core , Pro and IGA . Si ce mappeur est absent lors de la connexion, l'utilisateur s'affiche et doit saisir ses informations de connexion, avec un nom d'utilisateur étrange.

E-mail

Cette réclamation (information) ne provient pas par défaut d' Entra , vérifiez donc que le client a configuré cette réclamation par e-mail personnalisée à Entra conformément aux uid : Instructions client ).

Groupes

Cette réclamation (information) ne provient pas par défaut d' Entra , vérifiez donc que le client a configuré la réclamation de ce groupe auprès d' Entra conformément aux uid : Instructions client ).

10. Si vous avez ajouté les 3 mappeurs, votre liste de mappeurs devrait maintenant ressembler à ceci ( rappelez-vous que vous devez avoir au moins username_mapper, et il est fortement recommandé d'avoir également email_mapper ) :

11. Ouvrez les paramètres des clients depuis la barre d'outils de gauche

• Sélectionnez la ligne relative à l'authentification Sibboleth (par exemple : https://Customer.efectecloud-test.com/shibboleth) de type SAML
• Ouvrir l'onglet Étendues du client dans la barre d'outils
• Lien ouvert se terminant par /shibboleth-dedicated
• Vérifiez que ces mappeurs sont trouvés (si vous avez d'autres mappeurs, consultez la section « Informations sur le mappeur au niveau utilisateur ») :

informations sur le mappeur userLevel

Si vous avez dans cette liste de mappeurs également ce mappeur userLevel com:efecte:esm:userLevel:

Ouvrez-le en cliquant dessus

Selon la conception de votre architecture, vous souhaiterez peut-être ou non calculer userLevel dans Secure Access .
Si vous ne souhaitez pas que Secure Access calcule le niveau utilisateur pour vous, vous pouvez soit supprimer ce mappeur de niveau utilisateur, soit modifier son nom d'attribut SAML de manière à ce qu'il ne soit plus reconnu par la plateforme, par exemple en ajoutant le texte _Disabled à la fin.
Si vous souhaitez que Secure Access calcule userLevel, le nom de l'attribut SAML doit être com:efecte:esm:userLevel

12. Ajouter les certificats https liés à Entra ID au composant Secure Access

Ceux-ci sont nécessaires pour établir une connexion sécurisée entre les systèmes Entra ID et Secure Access .

Suivez les uid du chapitre « Ajouter des certificats Microsoft à Secure Access » : https://docs.efecte.com/configure-authentication/download-and-install-certificates-to-secure-access-esa

13. La configuration de base est maintenant terminée. Testez l'authentification sur Matrix42 Core , Pro ou le portail IGA et sur l'interface utilisateur Agent . Pensez également à tester la déconnexion. Reconnectez-vous après la déconnexion pour confirmer la réussite de la déconnexion.

Remarque ! N'oubliez pas d'envoyer l'URI de redirection au client ; il en aura besoin dans la configuration de l'application Microsoft Entra .

Remarque ! Si vous utilisez le calcul de niveau utilisateur dans ESA et que ce mappeur est actif, pensez à modifier le fichier de mappage JavaScript dans le docker ESA . Sinon, vous risquez d'obtenir un message d'erreur « NoAccess userLevel » lors de votre connexion. Seul Matrix42 a accès à ces fichiers de mappage JavaScript.

Si le client souhaite rediriger les utilisateurs vers le fournisseur SSO (pas besoin de voir d'abord la page de connexion Secure Access ), effectuez la configuration suivante dans Secure Access .

1. Sélectionnez le royaume correct dans le menu déroulant en haut à gauche

2. Ouvrez l'authentification depuis le panneau latéral gauche

3. Dans le navigateur (intégré), sélectionnez le bouton à 3 points à gauche et sélectionnez Dupliquer

4. Donnez-lui un nom et une description, puis cliquez sur Dupliquer

Remarque ! Si vous ne créez pas de doublon et modifiez plutôt le flux de navigation intégré, la prochaine mise à niveau d' ESA Keycloak pourrait annuler vos modifications.

5. Définissez le redirecteur Pro d'identité sur « Alternatif »

REMARQUE ! Si le redirecteur du fournisseur Pro identité est absent des étapes du navigateur, vous pouvez l'ajouter ici :

4. Configurez le fournisseur d'identité par défaut à l'aide du bouton de configuration. Alias = Nom de la configuration. Pro d'identité par défaut = Pour rediriger automatiquement vers un fournisseur d'identité défini sur l'alias du fournisseur d'identité.

Vérifiez l'alias auprès de votre fournisseur d'identité

Configurez cet alias sur l'attribut Fournisseur d'identité Pro défaut, en sélectionnant la roue et en lui donnant un nouveau nom d'alias et en définissant votre alias de fournisseur d'identité sur l'attribut Fournisseur d'identité Pro défaut

5. Modifiez les paramètres Pro invite du Pro identité dans la section Avancé si nécessaire

• Indéterminé
  Cette option laisse la tâche de décision à Entra ID
• Aucun
  Cette option effectue toujours la connexion Entra ID , aucune possibilité d'utiliser les informations d' Entra ID manuellement
• Consentement
  Généralement non utilisé. R exige que l'utilisateur donne son consentement aux autorisations demandées. Si l'utilisateur a déjà donné son consentement, aucune interaction n'aura lieu. En revanche, s'il n'a pas encore donné son consentement, le système affichera un écran de consentement indiquant les autorisations demandées par l'application.
• Se connecter
  Par défaut. Force l'utilisateur à se connecter, même s'il est déjà authentifié. Cela garantit que l'utilisateur est ré-authentifié et qu'une nouvelle session est établie.
• Sélectionner_Compte
  L'utilisateur peut choisir le compte à partir des sessions à l'intérieur du navigateur (aucune connexion requise)
  

6. Vérifiez les flux ESA : Authentification -> Flux. Si la connexion effective est utilisée par le flux du navigateur ou si le navigateur intégré est utilisé par le flux du navigateur, remplacez votre nouveau flux par Flux du navigateur à l'étape 6.1.

6.1 Sélectionnez votre nouveau flux (dans ce cas nommé M42 browser SSO) et trois points et liez le flux

6.2 Sélectionnez le navigateur et enregistrez les modifications

7. Configurer les URL de déconnexion du portail et de l'ESM

Si vous ne les configurez pas correctement, après la déconnexion, Secure Access tentera de reconnecter automatiquement l'utilisateur à Matrix42 Core , Pro and IGA (l'utilisateur peut se retrouver dans une boucle de déconnexion-connexion. L'URL de déconnexion peut être par exemple l'adresse intranet du client ou la page que le client souhaite utiliser.

Le paramètre d'URL de déconnexion ESM se trouve sous Maintenance / Paramètres système / Modifier les paramètres de la plateforme

Paramètre : sessionterminator.redirecturl

Le format de configuration est <your matrix42 system url>/Shibboleth.sso/Logout?return=https://companyintranet.companyexample.com

à partir de la capture d'écran, indiquez l'adresse de votre page de déconnexion après ?return=

Le paramètre d'URL de déconnexion du portail (ssc) est sur ssc admin <your matrix42 system url>/ssc/admin sous Paramètres / Général

Paramètre : page de déconnexion

La page de déconnexion du portail est par locataire, donc chaque locataire peut avoir sa propre page de déconnexion si nécessaire.

8. Testez la connexion automatique et testez également la déconnexion