Vue d'ensemble

Dans cet article, vous trouverez un guide étape par étape sur la façon de configurer Microsoft Entra IDSingle Sign-On(SSO) vers Admincontrol pour votre locataire/entreprise.

Microsoft Entra ID, anciennement connu sous le nom de Azure Active Directory (Azure AD), est un service de gestion des identités et des accès basé sur le cloud qui permet une intégration transparente des applications grâce au SSO, améliorant ainsi la sécurité et l'expérience de l'utilisateur.

La configuration s'effectue sur le portail Entra ID, ainsi que sur la page de configuration de l'intégration AD d'Admincontrol.

Portail Entra ID

Uneapplication d'entreprise estcréée et lespropriétés sont collectées/créées iciet également dans l'application d'enregistrement des applications d'appartenance.

Page de configuration de l'intégration AD Admincontrol

Ici, vous allezinsérer lesinformations d'identification, obtenir l'URI de redirection et, à la fin,activer le SSO.

Veuillez suivre ce guide étape par étape pour activer le SSO d'Entra ID :

1 Connectez-vous au portail Entra ID

Connectez-vous à votre compte administrateur Entra ID, en tant que "Cloud Application Administrator" ou plus haut.

2 Aller aux applications d'entreprise

Recherchez les applications d'entreprise dans la barre supérieure et sélectionnez-les sous les services.

3 Cliquez sur "Nouvelle application"

Sur la page des applications d'entreprise, cliquez sur "Nouvelle application"

4 Cliquez sur "Créer votre propre application"

Sur la page suivante, cliquez sur "Créer votre propre application".

5 Nommez-la "Admincontrol"

6 Sélectionnez la troisième option, sans galerie

Entrez dans Admincontrol, sélectionnez la dernière option "Intégrer toute autre application que vous ne trouvez pas dans la galerie (Non-gallery)" et cliquez sur "Créer".

7 Cliquez sur "Créer"

8 Allez dans "App Registrations"

Allez à "App Registrations" en le recherchant dans la barre supérieure comme indiqué dans la capture d'écran ci-dessous.

9 Cliquez sur "Toutes les applications"

C'est le premier des 3 onglets de la page "Enregistrements d'applications".

10 Cliquez sur "Admincontrol"

Localisez l'enregistrement d'application nommé "Admincontrol" et cliquez dessus.

11 Collecter l'ID de l'application (client)

Copiez la valeur dans un document temporaire, en la référençant comme "OIDC client ID".

12 Cliquez sur "Ajouter un certificat ou un secret"

Sur la même page, cliquez sur le lien ci-dessous

13 Cliquez sur "Nouveau secret client"

Localisez le bouton et cliquez dessus

14 Saisissez la description et la durée d'expiration

Inscrivez "Admincontrol" dans la description et sélectionnez 730 jours comme durée d'expiration.

IMPORTANT : Veuillez définir une alerte en temps utile pour garantir le renouvellement et la mise à jour de ce secret, étant donné qu'il expirera dans deux ans. Vous pouvez configurer l'alerte à l'aide d'une méthode adaptée à vos besoins. Actuellement, Microsoft ne supporte pas de méthode d'alerte intégrée dans le portail Entra ID. Les instructions pour la mise à jour du secret sont fournies dans une section séparée de cette page.

15 Cliquez sur "Ajouter"

16 Recueillir le secret

Copier en cliquant sur le bouton "copier" après "Value" et coller dans un document temporaire, en le référençant comme "OIDC Client Secret".

NOTE : Une fois que vous aurez quitté cette page, le secret ne sera plus jamais visible. Si vous en avez besoin ultérieurement pour quelque chose d'autre, veuillez le conserver dans un outil/endroit sûr. Vous pouvez également créer et utiliser un nouveau secret.

17 Accédez à l'aperçu dans l'enregistrement de l'application Admincontrol

Localisez la "Vue d'ensemble" comme indiqué ci-dessous et cliquez dessus.

18 Recueillir l'identifiant du locataire et l'enregistrer en tant qu'URL de l'émetteur OIDC.

Dans votre document temporaire, vous allez maintenant stocker une troisième valeur, référencée comme OIDC Issuer Url.

Copiez la valeur de "Directory (tenant) ID" danshttps://login.microsoftonline.com/[tenant-id]/v2.0 etcomposez une url.

Le résultat sera le suivant.

https://login.microsoftonline.com/00000000-0000-0000-0000-000000000000/v2.0

Stockez-le dans votre document temporaire, en le référençant comme "OIDC Issuer Url".

19 Cliquez sur "Api Permissions"

20 Cliquez sur "Add a permission"

Au milieu de la page, cliquez sur le bouton "Add a permission".

21 Cliquez sur "Microsoft Graph"

Dans la fenêtre modale suivante, cliquez sur la suggestion d'API supérieure, "Microsoft Graph".

22 Cliquez sur "Permissions déléguées"

Dans la vue suivante, cliquez sur "Delegated permissions" (autorisations déléguées)

23 Sélectionnez "openid" et "profile"

Une nouvelle section de la vue apparaît, ici vous devez descendre à la section "OpenId permissions" et cocher "openid" et "profile".

24 Cliquez sur "Ajouter des autorisations"

Sous les cases cochées, vous trouverez le bouton "Ajouter des autorisations", cliquez dessus.

25 Cliquez sur "Accorder le consentement de l'administrateur pour Admincontrol"

Au milieu de la page, localisez ce bouton et cliquez dessus.

26 Accédez aux applications d'entreprise

Recherchez "Enterprise applications" dans la barre de recherche supérieure du portail Entra ID, et sélectionnez-le.

27 Cliquez sur l'application d'entreprise "Admincontrol".

Recherchez "Admincontrol" et cliquez sur l'application trouvée.

28 Aller à "Utilisateurs et groupes"

Développez la zone "Gérer" et cliquez sur "Utilisateurs et groupes".

29 Ajouter des utilisateurs et des groupes

Ici, vous devez ajouter tous les utilisateurs/groupes qui doivent avoir accès à la connexion Admincontrol.

Pour minimiser la maintenance, il est recommandé d'ajouter des groupes, et non des utilisateurs individuels, mais vous êtes libre de faire ce qui vous semble logique pour l'utilisation de votre entreprise.

IMPORTANT : Tout utilisateur de votre locataire qui a besoin d'accéder à Admincontrol doit figurer ici. Si un utilisateur n'est pas inclus par utilisateur ou par groupe, la connexion à Admincontrol sera refusée. (Ceci ne s'applique qu'au(x) domaine(s) enregistré(s), les autres utilisateurs qui pourraient se trouver sur le portail avec un nom d'utilisateur différent se connecteront comme avant sans l'ID Entra).

L'ajout d'utilisateurs est un domaine plus vaste et si vous avez besoin d'instructions, veuillez consulter la documentation de Microsoft :https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/assign-user-or-group-access-portal?pivots=portal

30 Activer l'authentification multifactorielle Microsoft Entra

Créez une politique d'accès conditionnel et activez l'authentification multifactorielle Microsoft Entra pour tous les utilisateurs de l'application Admincontrol Enterprise. C'est uneexigence pourutiliser Entra ID SSO avec Admincontrol.

Veuillez suivre la documentation de Microsoft :https://learn.microsoft.com/en-us/entra/identity/authentication/howto-mfa-getstarted#plan-conditional-access-policies

31 Contacter Admincontrol, acquérir l'intégration AD

Contactez votre contact Admincontrol pour activer l'intégration AD pour votre (vos) domaine(s).

32 Aller sur la page de configuration de l'intégration AD d'Admincontrol

Naviguer vershttps://login.admincontrol.net/settings/adintegration

33 Se connecter à la page de configuration de l'intégration AD d'Admincontrol

Vous vous connecterez avec le nom d'utilisateur fourni par Admincontrol au moment de l'acquisition de l'intégration AD. Après la connexion, vous verrez cette page :

NOTE : Veuillez noter que cette page a une courte durée de session. Vous serez automatiquement déconnecté après 15 minutes d'inactivité.

34 Collez votre ID de client OIDC

L'identifiant du client de l'OIDC se trouve dans votre document temporaire, collecté à l'étape 11, référencé comme "OIDC Client ID". Collez-le dans le premier champ de saisie de texte, avec le nom correspondant.

35 Collez votre secret client de l'OIDC

Le secret du client de l'OIDC se trouve dans votre document temporaire, collecté à l'étape 16, référencé sous le nom de "OIDC Client Secret". Collez-le dans le deuxième champ de saisie de texte, avec le nom correspondant.

36 Collez l'Url de l'émetteur de l'OIDC

L'Url de l'émetteur de l'OIDC se trouve dans votre document temporaire, collecté à l'étape 18, référencé comme "Url de l'émetteur de l'OIDC". Collez-la dans le troisième et dernier champ de saisie de texte, avec le nom correspondant.

37 Cliquez sur "Save"

Les valeurs seront sauvegardées, mais le SSO n'est toujours pas activé.

38 Collecter l'"URI de redirection"

Cliquez sur le bouton copier que vous voyez ci-dessous et collez-le dans votre document temporaire. Mentionnez-le comme "Redirect URI".

39 Allez sur le portail Entra ID

40 Allez à "App Registrations" (Enregistrements d'applications)

Allez à "App Registrations" en le recherchant dans la barre supérieure comme indiqué dans la capture d'écran ci-dessous.

41 Cliquez sur "All applications"

C'est le premier des 3 onglets de la page "App registrations".

42 Cliquez sur "Admincontrol"

Localisez l'enregistrement d'application nommé "Admincontrol" et cliquez dessus.

43 Cliquez sur "Authentification" dans la section "Gérer".

Dans le menu de gauche de l'enregistrement de l'application Admincontrol, développez "Gérer" et cliquez sur Authentification.

44 Cliquez sur "Ajouter une plate-forme"

Cliquez sur le bouton comme indiqué dans la capture d'écran ci-dessous

45 Sélectionnez "Web"

Dans la fenêtre modale, sélectionnez "Web" comme indiqué ci-dessous.

46 Collez votre URI de redirection et cliquez sur Configurer.

L'URI de redirection se trouve dans votre document temporaire, collecté à l'étape 38, référencé comme "Redirect URI". Collez-le dans le champ de saisie de l'URI de redirection.

47 Aller à la page de configuration de l'intégration AD d'Admincontrol

Naviguez jusqu'àhttps://login.admincontrol.net/settings/adintegration

48 Se connecter à la page de configuration de l'intégration AD d'Admincontrol

Vous vous connecterez avec le nom d'utilisateur fourni par Admincontrol au moment de l'acquisition de l'intégration AD. Après la connexion, vous verrez cette page :

49 Enable SSO

Activez l'option Enable SSO en appuyant sur le bouton comme indiqué ci-dessous. Voici à quoi cela ressemble après avoir appuyé sur le bouton.

Vous avez terminé, toutes les connexions Admincontrol sur nos domaines sont maintenant faites avec votre locataire Entra ID.

Login - modifications affectées après l'installation complète

Une fois l'installation terminée, vos utilisateurs finaux seront redirigés vers votre locataire pour se connecter, ceci est basé sur le domaine du nom d'utilisateur.

Après avoir réussi à se connecter à Entra ID, l'utilisateur sera connecté à son utilisateur Admincontrol correspondant.

Comment mettre à jour l'enregistrement d'une application expirée oidc client secret

Ceci doit être fait avant que le secret client OIDC actuel n'expire. Une fois que vous avez créé un nouveau secret dans le portail Entra ID, vous pouvez le configurer pour qu'il soit utilisé. Plusieurs secrets peuvent coexister, il n'est donc pas nécessaire d'attendre la date d'expiration exacte. Veuillez suivre les étapes pour compléter le changement vers le nouveau secret client de l'OIDC.

1 Aller sur le portail Entra ID

2 Allez à "App Registrations" (Enregistrements d'applications)

Allez à "App Registrations" en le recherchant dans la barre supérieure comme indiqué dans la capture d'écran ci-dessous.

3 Cliquez sur "Toutes les applications"

C'est le premier des 3 onglets de la page d'enregistrement des applications.

4 Cliquez sur "Admincontrol"

Localisez l'enregistrement d'application nommé "Admincontrol" et cliquez dessus.

5 Développez "Gérer" et cliquez sur "Certificats et secrets".

Cliquez sur "Certificats et secrets" dans le menu de gauche, sous la section "Gérer".

6 Cliquez sur "Nouveau secret client"

Dans l'onglet "Secrets clients", cliquez sur "Nouveau secret client".

7 Saisissez la description et la durée d'expiration

Inscrivez "Admincontrol" dans la description et sélectionnez 730 jours comme durée d'expiration.

IMPORTANT : Veuillez définir une alerte en temps utile pour garantir le renouvellement et la mise à jour de ce secret, car il expirera dans deux ans. Vous pouvez configurer l'alerte à l'aide d'une méthode adaptée à vos besoins. Actuellement, Microsoft ne supporte pas de méthode d'alerte intégrée dans le portail Entra ID. Les instructions pour la mise à jour du secret sont fournies dans une section séparée de cette page.

8 Cliquez sur "Ajouter"

9 Collecter le secret

Copiez-le en cliquant sur le bouton "copier" après "Valeur" et collez-le dans un document temporaire, en le référençant comme "OIDC Client Secret".

REMARQUE : une fois que vous aurez quitté cette page, le secret ne sera plus jamais visible. Si vous en avez besoin ultérieurement pour quelque chose d'autre, veuillez le conserver dans un outil/endroit sûr. Vous pouvez également créer et utiliser un nouveau secret.

10 Aller à la page de configuration de l'intégration AD d'Admincontrol

Naviguez jusqu'àhttps://login.admincontrol.net/settings/adintegration

11 Se connecter à la page d'installation de l'intégration AD d'Admincontrol

Vous vous connecterez avec le nom d'utilisateur fourni par Admincontrol au moment de l'acquisition de l'intégration AD. Après la connexion, vous verrez cette page :

12 Cliquez sur "Set new OIDC Secret".

Localisez le bouton "Set new OIDC Secret" et cliquez dessus.

13 Collez votre nouveau "Secret client de l'OIDC".

Le secret client de l'OIDC se trouve dans votre document temporaire, collecté à l'étape 9, référencé comme "Secret client de l'OIDC". Collez-le dans le champ de saisie de texte comme indiqué ci-dessous.

14 Appuyez sur Enregistrer

La confirmation suivante s'affiche.

Nous utilisons maintenant le nouveau secret.

Bon à savoir

L'approvisionnement des utilisateurs n'est actuellement pas supporté, ce qui signifie qu'Admincontrol ne sera pas au courant du statut de l'utilisateur dans Entra ID, sauf pendant le processus de connexion lui-même. Par conséquent, les utilisateurs peuvent apparaître actifs dans la solution même si leur compte AD est désactivé ou supprimé.

L'offboarding est toujours supporté pour l'authentification, puisque les nouvelles connexions seront bloquées par AD. Cependant, si l'utilisateur doit être affiché comme inactif pour les administrateurs dans le portail Admincontrol, l'administrateur doit également désactiver l'utilisateur dans ce portail.

Les utilisateurs finaux ne pourront pas se connecter à l'ID électronique si leur compte appartient à un domaine nécessitant une connexion à l'ID Entra. Ceci est dû au fait qu'Admincontrol ne peut pas déterminer le statut actuel de l'utilisateur AD, et nous devons empêcher tout accès potentiel à une porte dérobée pour les utilisateurs AD non embarqués.

L'onboarding avec un utilisateur Entra ID est supporté, mais une invitation est requise, et le formulaire d'inscription doit être soumis avant que l'utilisateur ne commence à se connecter avec Entra ID.

Situations d'erreur

• L'utilisateur est informé que la connexion avec l'identifiant électronique n'est pas autorisée - C'est correct, la connexion doit être faite avec l'identifiant Entra.

• Erreurs de ce type lors de la connexion avec l'ID d'Entra : "Le compte utilisateur n'existe pas dans le locataire Admincontrol et n'a pas accès à l'application xxx dans ce locataire. Le compte doit d'abord être ajouté en tant qu'utilisateur externe dans le locataire. Veuillez utiliser un autre compte." Normalement, ce problème est résolu par l'une des deux solutions suivantes :
  • Si l'utilisateur doit avoir accès à un portail Admincontrol avec cet utilisateur, l'utilisateur doit exister à la fois dans le locataire et dans la liste d'utilisateurs de l'application Admincontrol Enterprise.
  • Il se peut que cet utilisateur soit enregistré avec un nom d'utilisateur différent dans Admincontrol, et si c'est le cas, l'utilisateur doit se connecter avec ce nom d'utilisateur à la place.

• Aucun utilisateur Admincontrol n'est trouvé. Deux solutions possibles :
  • Obtenir une invitation à un portail pour cet utilisateur
  • Se connecter avec un autre utilisateur
• Le login Entra ID ne fonctionne pas pour une raison quelconque, et les utilisateurs sont bloqués pour se connecter - Désactiver le SSO dans les paramètres de la page de configuration d'Admincontrol, ou contacter le support pour le désactiver.