Dans cet article, vous trouverez un guide étape par étape sur la façon de configurer Microsoft Entra IDSingle Sign-On(SSO) vers Admincontrol pour votre locataire/entreprise.
Microsoft Entra ID, anciennement connu sous le nom de Azure Active Directory (Azure AD), est un service de gestion des identités et des accès basé sur le cloud qui permet une intégration transparente des applications grâce au SSO, améliorant ainsi la sécurité et l'expérience de l'utilisateur.
La configuration s'effectue sur le portail Entra ID, ainsi que sur la page de configuration de l'intégration AD d'Admincontrol.
Uneapplication d'entreprise estcréée et lespropriétés sont collectées/créées iciet également dans l'application d'enregistrement des applications d'appartenance.
Ici, vous allezinsérer lesinformations d'identification, obtenir l'URI de redirection et, à la fin,activer le SSO.
Veuillez suivre ce guide étape par étape pour activer le SSO d'Entra ID :
Connectez-vous à votre compte administrateur Entra ID, en tant que "Cloud Application Administrator" ou plus haut.
Recherchez les applications d'entreprise dans la barre supérieure et sélectionnez-les sous les services.
Sur la page des applications d'entreprise, cliquez sur "Nouvelle application"
Sur la page suivante, cliquez sur "Créer votre propre application".
Entrez dans Admincontrol, sélectionnez la dernière option "Intégrer toute autre application que vous ne trouvez pas dans la galerie (Non-gallery)" et cliquez sur "Créer".
Allez à "App Registrations" en le recherchant dans la barre supérieure comme indiqué dans la capture d'écran ci-dessous.
C'est le premier des 3 onglets de la page "Enregistrements d'applications".
Localisez l'enregistrement d'application nommé "Admincontrol" et cliquez dessus.
Copiez la valeur dans un document temporaire, en la référençant comme "OIDC client ID".
Sur la même page, cliquez sur le lien ci-dessous
Localisez le bouton et cliquez dessus
Inscrivez "Admincontrol" dans la description et sélectionnez 730 jours comme durée d'expiration.
IMPORTANT : Veuillez définir une alerte en temps utile pour garantir le renouvellement et la mise à jour de ce secret, étant donné qu'il expirera dans deux ans. Vous pouvez configurer l'alerte à l'aide d'une méthode adaptée à vos besoins. Actuellement, Microsoft ne supporte pas de méthode d'alerte intégrée dans le portail Entra ID. Les instructions pour la mise à jour du secret sont fournies dans une section séparée de cette page.
Copier en cliquant sur le bouton "copier" après "Value" et coller dans un document temporaire, en le référençant comme "OIDC Client Secret".
NOTE : Une fois que vous aurez quitté cette page, le secret ne sera plus jamais visible. Si vous en avez besoin ultérieurement pour quelque chose d'autre, veuillez le conserver dans un outil/endroit sûr. Vous pouvez également créer et utiliser un nouveau secret.
Localisez la "Vue d'ensemble" comme indiqué ci-dessous et cliquez dessus.
Dans votre document temporaire, vous allez maintenant stocker une troisième valeur, référencée comme OIDC Issuer Url.
Copiez la valeur de "Directory (tenant) ID" danshttps://login.microsoftonline.com/[tenant-id]/v2.0 etcomposez une url.
Le résultat sera le suivant.
https://login.microsoftonline.com/00000000-0000-0000-0000-000000000000/v2.0
Stockez-le dans votre document temporaire, en le référençant comme "OIDC Issuer Url".
Au milieu de la page, cliquez sur le bouton "Add a permission".
Dans la fenêtre modale suivante, cliquez sur la suggestion d'API supérieure, "Microsoft Graph".
Dans la vue suivante, cliquez sur "Delegated permissions" (autorisations déléguées)
Une nouvelle section de la vue apparaît, ici vous devez descendre à la section "OpenId permissions" et cocher "openid" et "profile".
Sous les cases cochées, vous trouverez le bouton "Ajouter des autorisations", cliquez dessus.
Au milieu de la page, localisez ce bouton et cliquez dessus.
Recherchez "Enterprise applications" dans la barre de recherche supérieure du portail Entra ID, et sélectionnez-le.
Recherchez "Admincontrol" et cliquez sur l'application trouvée.
Développez la zone "Gérer" et cliquez sur "Utilisateurs et groupes".
Ici, vous devez ajouter tous les utilisateurs/groupes qui doivent avoir accès à la connexion Admincontrol.
Pour minimiser la maintenance, il est recommandé d'ajouter des groupes, et non des utilisateurs individuels, mais vous êtes libre de faire ce qui vous semble logique pour l'utilisation de votre entreprise.
IMPORTANT : Tout utilisateur de votre locataire qui a besoin d'accéder à Admincontrol doit figurer ici. Si un utilisateur n'est pas inclus par utilisateur ou par groupe, la connexion à Admincontrol sera refusée. (Ceci ne s'applique qu'au(x) domaine(s) enregistré(s), les autres utilisateurs qui pourraient se trouver sur le portail avec un nom d'utilisateur différent se connecteront comme avant sans l'ID Entra).
L'ajout d'utilisateurs est un domaine plus vaste et si vous avez besoin d'instructions, veuillez consulter la documentation de Microsoft :https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/assign-user-or-group-access-portal?pivots=portal
Créez une politique d'accès conditionnel et activez l'authentification multifactorielle Microsoft Entra pour tous les utilisateurs de l'application Admincontrol Enterprise. C'est uneexigence pourutiliser Entra ID SSO avec Admincontrol.
Veuillez suivre la documentation de Microsoft :https://learn.microsoft.com/en-us/entra/identity/authentication/howto-mfa-getstarted#plan-conditional-access-policies
Contactez votre contact Admincontrol pour activer l'intégration AD pour votre (vos) domaine(s).
Naviguer vershttps://login.admincontrol.net/settings/adintegration
Vous vous connecterez avec le nom d'utilisateur fourni par Admincontrol au moment de l'acquisition de l'intégration AD. Après la connexion, vous verrez cette page :
NOTE : Veuillez noter que cette page a une courte durée de session. Vous serez automatiquement déconnecté après 15 minutes d'inactivité.
L'identifiant du client de l'OIDC se trouve dans votre document temporaire, collecté à l'étape 11, référencé comme "OIDC Client ID". Collez-le dans le premier champ de saisie de texte, avec le nom correspondant.
Le secret du client de l'OIDC se trouve dans votre document temporaire, collecté à l'étape 16, référencé sous le nom de "OIDC Client Secret". Collez-le dans le deuxième champ de saisie de texte, avec le nom correspondant.
L'Url de l'émetteur de l'OIDC se trouve dans votre document temporaire, collecté à l'étape 18, référencé comme "Url de l'émetteur de l'OIDC". Collez-la dans le troisième et dernier champ de saisie de texte, avec le nom correspondant.
Les valeurs seront sauvegardées, mais le SSO n'est toujours pas activé.
Cliquez sur le bouton copier que vous voyez ci-dessous et collez-le dans votre document temporaire. Mentionnez-le comme "Redirect URI".
Allez à "App Registrations" en le recherchant dans la barre supérieure comme indiqué dans la capture d'écran ci-dessous.
C'est le premier des 3 onglets de la page "App registrations".
Localisez l'enregistrement d'application nommé "Admincontrol" et cliquez dessus.
Dans le menu de gauche de l'enregistrement de l'application Admincontrol, développez "Gérer" et cliquez sur Authentification.
Cliquez sur le bouton comme indiqué dans la capture d'écran ci-dessous
Dans la fenêtre modale, sélectionnez "Web" comme indiqué ci-dessous.
L'URI de redirection se trouve dans votre document temporaire, collecté à l'étape 38, référencé comme "Redirect URI". Collez-le dans le champ de saisie de l'URI de redirection.
Naviguez jusqu'àhttps://login.admincontrol.net/settings/adintegration
Vous vous connecterez avec le nom d'utilisateur fourni par Admincontrol au moment de l'acquisition de l'intégration AD. Après la connexion, vous verrez cette page :
Activez l'option Enable SSO en appuyant sur le bouton comme indiqué ci-dessous. Voici à quoi cela ressemble après avoir appuyé sur le bouton.
Vous avez terminé, toutes les connexions Admincontrol sur nos domaines sont maintenant faites avec votre locataire Entra ID.
Une fois l'installation terminée, vos utilisateurs finaux seront redirigés vers votre locataire pour se connecter, ceci est basé sur le domaine du nom d'utilisateur.
Après avoir réussi à se connecter à Entra ID, l'utilisateur sera connecté à son utilisateur Admincontrol correspondant.
Ceci doit être fait avant que le secret client OIDC actuel n'expire. Une fois que vous avez créé un nouveau secret dans le portail Entra ID, vous pouvez le configurer pour qu'il soit utilisé. Plusieurs secrets peuvent coexister, il n'est donc pas nécessaire d'attendre la date d'expiration exacte. Veuillez suivre les étapes pour compléter le changement vers le nouveau secret client de l'OIDC.
Allez à "App Registrations" en le recherchant dans la barre supérieure comme indiqué dans la capture d'écran ci-dessous.
C'est le premier des 3 onglets de la page d'enregistrement des applications.
Localisez l'enregistrement d'application nommé "Admincontrol" et cliquez dessus.
Cliquez sur "Certificats et secrets" dans le menu de gauche, sous la section "Gérer".
Dans l'onglet "Secrets clients", cliquez sur "Nouveau secret client".
Inscrivez "Admincontrol" dans la description et sélectionnez 730 jours comme durée d'expiration.
IMPORTANT : Veuillez définir une alerte en temps utile pour garantir le renouvellement et la mise à jour de ce secret, car il expirera dans deux ans. Vous pouvez configurer l'alerte à l'aide d'une méthode adaptée à vos besoins. Actuellement, Microsoft ne supporte pas de méthode d'alerte intégrée dans le portail Entra ID. Les instructions pour la mise à jour du secret sont fournies dans une section séparée de cette page.
Copiez-le en cliquant sur le bouton "copier" après "Valeur" et collez-le dans un document temporaire, en le référençant comme "OIDC Client Secret".
REMARQUE : une fois que vous aurez quitté cette page, le secret ne sera plus jamais visible. Si vous en avez besoin ultérieurement pour quelque chose d'autre, veuillez le conserver dans un outil/endroit sûr. Vous pouvez également créer et utiliser un nouveau secret.
Naviguez jusqu'àhttps://login.admincontrol.net/settings/adintegration
Vous vous connecterez avec le nom d'utilisateur fourni par Admincontrol au moment de l'acquisition de l'intégration AD. Après la connexion, vous verrez cette page :
Localisez le bouton "Set new OIDC Secret" et cliquez dessus.
Le secret client de l'OIDC se trouve dans votre document temporaire, collecté à l'étape 9, référencé comme "Secret client de l'OIDC". Collez-le dans le champ de saisie de texte comme indiqué ci-dessous.
La confirmation suivante s'affiche.
Nous utilisons maintenant le nouveau secret.
L'approvisionnement des utilisateurs n'est actuellement pas supporté, ce qui signifie qu'Admincontrol ne sera pas au courant du statut de l'utilisateur dans Entra ID, sauf pendant le processus de connexion lui-même. Par conséquent, les utilisateurs peuvent apparaître actifs dans la solution même si leur compte AD est désactivé ou supprimé.
L'offboarding est toujours supporté pour l'authentification, puisque les nouvelles connexions seront bloquées par AD. Cependant, si l'utilisateur doit être affiché comme inactif pour les administrateurs dans le portail Admincontrol, l'administrateur doit également désactiver l'utilisateur dans ce portail.
Les utilisateurs finaux ne pourront pas se connecter à l'ID électronique si leur compte appartient à un domaine nécessitant une connexion à l'ID Entra. Ceci est dû au fait qu'Admincontrol ne peut pas déterminer le statut actuel de l'utilisateur AD, et nous devons empêcher tout accès potentiel à une porte dérobée pour les utilisateurs AD non embarqués.
L'onboarding avec un utilisateur Entra ID est supporté, mais une invitation est requise, et le formulaire d'inscription doit être soumis avant que l'utilisateur ne commence à se connecter avec Entra ID.