Guide de configuration SAML avec Azure AD
Note
SAML (Security Assertion Markup Language) est une méthode d'authentification unique qui permet aux utilisateurs de se connecter une seule fois et d'obtenir ensuite accès à d'autres applications.
L'authentification SAML implique deux parties :
- Le fournisseur de services (Service Provider) : L'application sur laquelle l'utilisateur tente de se connecter. Dans notre cas, il s'agit de S-Filer Portal.
- Le fournisseur d'identité (Identity Provider) : Effectue l'authentification et transmet l'identité de l'utilisateur au fournisseur de service. Dans notre cas, il s'agit de Microsoft Azure AD.
Flux SAML
- L'utilisateur non authentifié tente d'accéder au fournisseur de services.
- Le fournisseur de services détermine les fournisseurs d'identité disponibles pour l'authentification.
- L'utilisateur entre ses informations d'identification au fournisseur d'identité sélectionné avec une demande SAML.
- Le fournisseur d'identité valide les informations d'identification et l'assertion est renvoyée au fournisseur de services.
- L'utilisateur est maintenant autorisé à accéder à l'application.
Mise en place dans le portail Azure
La mise en œuvre de SAML requiert des étapes devant prendre place sur le portail Azure et d'autres devant prendre place dans la console administrative de S-Filer Portal.
Les étapes suivantes sont effectuées dans le portail Azure et requièrent d'avoir les permissions nécessaires pour ajouter une nouvelle "Application d'entreprise".
Étape nº 1 - Connexion au portail Azure
Se connecter au portail Azure en utilisant votre navigateur et vos identifiants de connexion.
Étape nº 2 - Création d'une nouvelle "Application d'entreprise"
Utiliser la barre de recherche présente dans la page d'accueil du Portail Azure afin de retrouver le service d'Applications d'entreprise. Une fois dans l'écran d'Applications d'entreprise, utiliser le bouton Nouvelle application présent dans la barre du haut pour créer une nouvelle application :
Étape nº 3 - Création de votre propre application
Lorsque la nouvelle page est présentée, cliquer sur le bouton Créer votre propre application, puis entrer un nom identifiant l'application S-Filer Portal. Cliquer sur Créer.
Étape nº 4 - Retrouver l'application S-Filer Portal
Taper dans le champ de recherche du service : Enregistrements d'applications
Taper dans la boîte de recherche de service : SFILER-App (utiliser le nom que vous avez choisi au moment de la création de l'application) et sélectionner l'application nouvellement créée dans la liste.
Étape nº 5 - Configuration de l'authentification
Cliquer sur Authentication, puis Ajouter une plateforme et finalement Web.
Étape nº 6 - Spécification de l'URI de redirection
Entrer comme URI de redirection le nom de domaine de S-Filer Portal suivi de /sfiler/LoginSamlAzureCallback.action (ex: https://[VOTRE.DOMAINE-SFILER.COM]/sfiler/LoginSamlAzureCallback.action). Noter cette valeur quelque part et cliquer sur Configurer. Cette URL provient de l'environnement sur lequel S-Filer Portal s'exécute. Il doit s'agir d'une URL publique qui est accessible pour les usagers voulant utiliser la fonctionnalité Azure SAML.
Étape nº 7 - Configuration de l'exposition de l'API
Cliquer sur l'onglet Exposer une API, puis sur Définir URI ID d'application.
Entrer un ID pour l'application. Noter cette valeur quelque part. Puis cliquer sur Enregistrer.
Cliquer sur l'onglet Vue d'ensemble, puis sur Application managée da...
Cliquer sur Authentification unique, puis SAML.
Dans la boîte Configuration SAML de base, cliquer sur Modifier.
Dans le champ Identifiant, entrer la valeur qui a été mise pour l'ID de l'application. Cliquer sur la case à cocher Par défaut. Dans le champ URL de réponse entrer la valeur qui a été mise pour Redirect URIs. Cliquer sur la case à cocher Par défaut.
Cliquer sur Enregistrer.
La sauvegarde devrait être confirmée dans la page de détail.
Copier et conserver la valeur de URL des métadonnées de fédération d'application dans la boîte Certificat de signature SAML.
Cliquer sur l'onglet Utilisateurs et groupes, puis sur Ajouter un utilisateur/groupe. C'est dans cet écran qu'il est possible de spécifier les usagers et/ou les groupes qui pourront s'authentifier avec SAML.
Les étapes de configuration devant prendre place dans le portail Azure sont maintenant complétées. Les prochaines étapes prennent place dans la console administrative de S-Filer Portal.
Étape nº 8 - Authorization d'un API
Les étapes suivantes sont nécessaire pour supporter l'adoption des comptes dans S-Filer Portal.
Vous devez donc sélectionner API Authorisées dans le menu de gauche ensuite cliquer sur Ajouter une authorisation.
Dans le cas de S-Filer Portal, vous devez sélectionner Microsoft Graph.
Dans l'écran suivant, cliquer sur Authorisation d'application
Sélectionner les items suivants:
- Application.Read.All
- Group.Read.All
- GroupMember.Read.All
- User.Read.All
Cliquer sur Ajouter des autorisations.
Une fois que l'API est ajouté, vous devez cliquer sur Accorder un consentement d'administrateur pour [ID du locataire].
Finalement, cliquer sur Oui pour confirmer l'accord de consetnement d'administrateur
Étape nº 9 - Création d'un secret
Cette dernière étape consiste à créer un secret. Pour se faire, cliquer sur Certificats & secrets à gauche dans le menu. Aller sur l'onglet Secrets client et cliquer sur Nouveau secret client.
Dans la boîte qui s'ouvre, entrer la Description et la Date d'expiration et cliquer sur Ajouter
Copier la valeur du secret. Elle sera nécessaire plus bas dans l'étapeº 2 de la configuration dans S-Filer Portal dans l'onglet Source d'adoption.
Vous avez terminé les configurations à faire dans le portail Azure.
Configuration dans S-Filer Portal
Les étapes suivantes prennent place dans la console administrative de S-Filer Portal.
Étape nº 1 - Activation de la fonctionnalité Multidomaine pour le/les client(s) Web
Se connecter dans la Console Administrative en utilisant vos identifiants de connexion. Ouvrir la section identifiée par le nom de votre interface utilisateur. Ouvrir la section Configuration et cliquer sur Fonctionnalités. Activer ensuite la fonctionnalité Activer la fonctionnalité Multidomaine pour le ou les client(s) Web pour lesquels vous voulez offrir l'authentification Azure SAML.
Étape nº 2 - Création et paramétrage de la méthode d'authentification
Utiliser ensuite le lien représenté par le nom du serveur dans le menu de gauche afin de créer un nouveau mécanisme d'authentification.
Vous devez sélectionner l'option Azure AD comme Mécanisme d'authentification.
Vous devez ensuite Activer le mécanisme d'authentification et saisir ID du locataire et ID d'application tel que configuré dans la section Flux SAML.
Optionnellement, vous devez déterminer si vous activez l'inscription automatique. Cela permettra aux utilisateurs qui n'ont pas de profil dans la solution de le compléter après une authentification SAML réussie. Il n'est pas nécessaire d'activer l'inscription automatique lorsque l'adoption est en place, car les utilisateurs seront déjà présents dans la base de données.
Activer ensuite l'Adoption automatique.
- Entrer la valeur de l'URL du jeton d'authentification configuré comme ceci: https://login.microsoftonline.com/[tenantid]/oauth2/token et remplacer le [tenantid] par l'identifiant de votre "tenant".
- Entrer le Secret du client tel que configuré dans la section Flux SAML.
Étape nº 3 - Configuration SAML
Il est finalement nécessaire de saisir le paramètre URL de métadonnées tel que configuré dans la section Flux SAML.
Voir aussi
Référez-vous à la documentation de configuration des mécanismes d'authentification pour Microsoft Azure pour une description complète de tous les champs de configuration de ce mécanisme d'authentification.
Étape nº 4 - Redémarrage du serveur S-Filer Portal
Pour rendre les changements effectifs, il est nécessaire de redémarrer le serveur et le client Web S-Filer Portal. Suite au redémarrage des deux composantes, un nouveau bouton deviendra disponible sur la page d'authentification.
