Cet article fournit des instructions aux clients pour configurer Microsoft Entra ID (anciennement Azure AD ) pour l'authentification unique (SSO) à l'aide OpenID Connect ( OIDC ) avec les solutions Matrix42 Pro and IGA .

Cette configuration est généralement effectuée par le Entra ID ou le spécialiste de l'authentification du client. Sa mise en œuvre et ses tests ne devraient pas prendre plus d'une demi-journée. Veuillez noter que certaines captures d'écran peuvent différer selon l' Entra ID du client.

Ces instructions s'appliquent à toutes les solutions Matrix42 Pro and IGA (par exemple, ITSM, IGA , RH) qui utilisent le composant Secure Access pour l'authentification.

Toutes les étapes ci-dessous sont obligatoires, sauf indication contraire.

Comment configurer Entra ID pour OpenID Connect ( OIDC )

Inscription à l'application

Le client doit configurer son tenant Entra pour autoriser le composant Matrix42 Security Access à récupérer les informations des comptes utilisateurs et des groupes. Cette configuration s'effectue après la connexion à la console Entra ID (anciennement Azure AD ).

1. Rendez-vous sur https://entra.microsoft.com et après vous être connecté, sélectionnez App registrations » (REMARQUE ! Il ne s’agit pas d’une « Enterprise Application », qui est créée via un autre chemin, mais qui pourrait être confondue avec celle-ci).
   
2. Sélectionnez New registration .
   
3. Veuillez saisir un nom pour l'application.
4. Sélectionnez Supported Account Types adaptés à votre cas d'utilisation. Ce choix est crucial ; en cas de doute, consultez une personne plus expérimentée.
   1. Option 1 - recommandée dans la plupart des cas : Si vous créez une configuration de base, où tous les utilisateurs qui doivent se connecter au système Matrix42 appartiennent à votre locataire, sélectionnez Accounts in this organizational directory only (<this tenant> only - Single tenant)
   2. Option 2 : - Dans ce cas d'utilisation, vous êtes sûr de vouloir que les utilisateurs des autres locataires puissent également se connecter à vos solutions Matrix42 (vous avez par exemple un fournisseur de services multiples (MSP)).
      Sélectionnez : Accounts in any organizational directory (Any Microsoft Entra ID tenant - Multitenant) .
      1. Notez que lors de l'utilisation d'une application multi-locataire, Azure n'envoie pas les groupes sous forme de noms, mais uniquement sous forme d'identifiants.
      2. Remarque ! Si vous sélectionnez cette option multitenant, Matrix42 doit configurer tous les locataires autorisés dans le champ Émetteur des fournisseurs d’identité sous forme de liste séparée par des virgules.
         
5. Sous Redirect URI , sélectionnez Web comme plateforme, puis saisissez l'URL de réponse de Secure Access (celle-ci peut être ajoutée ultérieurement si Matrix42 ne l'a pas encore fournie).
   
6. Sélectionnez Register .

Comment définir l'URI de redirection après la création de l'application

1. Rendez-vous sur https://entra.microsoft.com et après vous être connecté, sélectionnez App registrations .
2. Trouvez et ouvrez l'application que vous avez créée.
3. Sélectionnez Authentification dans le menu de gauche.
   
4. Ajouter l'URI de redirection
   Type de plateforme : Web
   URI de redirection : l’URL que vous avez obtenue des fournisseurs d’identité Matrix42 OpenID Connect v1.0. Redirect URI -attribute .
   

Certificats et secrets

Secure Access prend en charge la connexion sécurisée avec Entra ID en utilisant Client Secrets .

Instructions secrètes du client

1. Dans le centre d'administration Microsoft Entra , dans App registrations , sélectionnez votre application.
   
2. Sélectionnez Certificates & secrets > Client secrets > New client secret .
   
3. Ajoutez une description pour votre secret client.
4. Choisissez une date d'expiration pour le secret ou spécifiez une durée de vie personnalisée.
   1. La durée de validité du secret client est limitée à 730 jours / 24 mois (deux ans) maximum. Il n'est pas possible de définir une durée de validité personnalisée supérieure à 730 jours / 24 mois.
   2. Microsoft recommande de définir une date d'expiration inférieure à 365 jours / 12 mois.
5. Sélectionnez Add .
   
6. Enregistrez la valeur secrète pour l'utiliser dans le code de votre application cliente.
   

   Cette valeur secrète ne sera plus jamais affichée après votre départ de cette page. Si elle est perdue ou non enregistrée, la seule solution pour en obtenir une nouvelle est de reconfigurer la page.
   

Configuration du jeton

Pour que la connexion OpenID Connect ( OIDC ) de base fonctionne, vous n'avez pas besoin d'ajouter de Optional claim .

Ajout d'une réclamation par e-mail

Il est toutefois fortement recommandé de transmettre également l'adresse e-mail de l'utilisateur depuis Entra vers Secure Access . De là, les informations de messagerie de l'utilisateur sont envoyées à Matrix42 Pro and IGA . Ceci est nécessaire au fonctionnement du chat.

Pour ce faire, vous devez ajouter une revendication d'email :

1. Accédez à Token configuration , puis cliquez sur Add optional claim pour ajouter une revendication d'adresse e-mail.
2. Sélectionnez le type de jeton : ID and Claim: email
   

Ajouter un jeton de groupe

Facultativement, si vous souhaitez également envoyer les informations de groupe de l'utilisateur d' Entra à Secure Access , vous devez ajouter une revendication de groupe.

Dans Secure Access vous pouvez utiliser les informations de revendication de groupes pour calculer userLevel et les rôles esm :

1. Accédez à Token configuration , puis cliquez sur Add groups claim .
2. Sélectionnez les types de groupes appropriés, en fonction du type de groupes que vous souhaitez envoyer au composant Secure Access .
   1. En général, Security groups suffisent, mais cela dépend de la conception des groupes Entra ID des clients.
3. Choisissez Customize token properties by type .
   1. Notez que la valeur par défaut est Group ID , mais avec Matrix42 Professional et la solution IGA , sAMAccountName est généralement une meilleure option si les groupes ne sont pas créés directement à partir d' Entra .
      
   2. Si vous souhaitez envoyer des groupes cloud dans la revendication en tant groupIDs , il vous suffit de sélectionner « group type » et de sélectionner IDs .
      

Autorisations API

Les autorisations API sont accordées selon un ensemble minimal. Cela signifie que seul l'accès nécessaire doit être autorisé à l'application Secure Access .

1. Sélectionnez « Autorisations API » dans la barre latérale.
2. Sur cette page, sélectionnez « Ajouter une autorisation ».
   1. Vous devriez déjà avoir ajouté Microsoft Graph > User.Read ; vous pouvez laisser ceci tel quel.
      
3. Sélectionnez « Microsoft Graph ».
4. Sélectionner Delegated permissions
   
5. Faites défiler vers le bas jusqu'à Directory et sélectionnez les autorisations nécessaires.
   1. Autorisation : User.Read, Type : Déléguée
   2. Autorisation : courriel, Type : déléguée
      1. Cela n'est nécessaire que si une revendication par e-mail a été configurée et est requise.
6. Cliquez sur « Add permissions ».
7. Les autorisations configurées sont maintenant affichées.
   

Facultatif : Configurer Entra ID pour émettre UPN fédéré/invité dans les jetons d’identification OIDC

Cette configuration est recommandée si vous autorisez la connexion des utilisateurs invités.

1. Ouvrez votre App Registration .
2. Sélectionnez l'application que vous avez créée ( Riku M42 native connectors dans la capture d'écran).
3. Accédez à Token configuration
4. Sélectionnez Add optional claim .
5. Sélectionnez ID comme Token type et upn comme Claim .
6. Cliquez sur Add pour ajouter ce jeton.
   
7. Une fenêtre contextuelle apparaîtra, cochez la case et cliquez sur Add .
   
8. Modifiez la revendication que nous venons de configurer en sélectionnant l'option Edit située derrière les trois points :
   
9. Définissez Externally authenticated sur Yes et Save .

La configuration pour les utilisateurs fédérés/invités est maintenant terminée.

Leur upn sera affiché dans le jeton d'identification au format suivant : < upn >_<homedomain>#EXT#@<resourcedomain> par exemple : john_contoso.com#EXT#@contoso.onmicrosoft.com

Ce paramètre n'affecte pas le format upn des utilisateurs internes ; il reste au format upn normal, par exemple : john.doe@contoso.com