RAC/M Identity

Français

English

Français

English

Thème

Référence SSO Entra ID (SAML)

À qui s'adresse ce guide ?

Ce guide fournit les informations essentielles pour configurer l'intégration SSO avec Entra ID.

Important

Les instructions suivantes supposent que vous disposez des droits nécessaires pour agir dans la console Azure.

Sommaire

SAML (Security Assertion Markup Language) est un protocole d'authentification unique (SSO) qui permet aux utilisateurs de se connecter une fois et d'accéder ensuite à plusieurs applications sans avoir besoin de s'authentifier à nouveau. Le processus d'authentification SAML implique deux entités principales :

  1. Le fournisseur de services (Service Provider) : L'application à laquelle l'utilisateur cherche à se connecter, dans notre cas, il s'agit de RAC/M Identity.
  2. Le fournisseur d'identité (Identity Provider) : Responsable de l'authentification de l'utilisateur et de la transmission de son identité au fournisseur de services. Ici, nous utilisons Microsoft Entra ID comme fournisseur d'identité.

Flux SAML

Flux SAML

  1. L'utilisateur non authentifié tente d'accéder à une application (le fournisseur de services).
  2. Le fournisseur de services redirige l'utilisateur vers le fournisseur d'identité (IdP) en lui envoyant une requête SAML.
  3. Le fournisseur d'identité est découvert par le fournisseur de services, et l'utilisateur est redirigé vers la page de connexion du fournisseur d'identité.
  4. L'utilisateur saisit ses informations d'identification sur le portail d'authentification du fournisseur d'identité.
  5. Le fournisseur d'identité vérifie les informations d'identification de l'utilisateur et génère une réponse SAML contenant une assertion d'authentification.
  6. Cette réponse SAML est renvoyée au fournisseur de services, qui la valide pour autoriser l'utilisateur.
  7. L'utilisateur est désormais authentifié et peut accéder à l'application.

Mise-en-place dans le portail Azure

  1. Accéder au portail Azure à l'adresse (https://portal.azure.com/).
  2. Dans la barre de recherche de services, taper entreprise et sélectioner Applications d'entreprise. sso-azure-2
  3. Cliquer sur Nouvelle application. sso-azure-3
  4. Sélectionner Créer votre propre application, puis saisir un nom pour l'application. Cliquer sur Créer pour valider. sso-azure-4
  5. Dans la barre de recherche de services, taper Inscription et sélectionner Inscriptions d'applications. sso-azure-5
  6. Sélectionner l'application nouvellement créée dans la liste. sso-azure-6
  7. Cliquer sur Authentification, puis sur Ajouter une plateforme et finalement sélectionner Web. sso-azure-7
  8. Dans URI de redirection, entrer le nom de domaine de RAC/M Identity suivi de /gui/loginSamlCallback.action (ex. : https://racm.monorganisation.com/gui/loginSamlCallback.action). Noter cette valeur pour une utilisation ultérieure. sso-azure-8
    • Cliquer ensuite sur Configurer.
  9. Cliquer sur l'onglet Exposer une API, puis cliquer sur Ajouter. sso-azure-9
  10. Saisisser un ID pour l'application et noter cette valeur dans un endroit sûr. Cliquer ensuite sur Enregistrer. sso-azure-10
  11. Aller dans l'onglet Vue d'ensemble, puis cliquer sur Application managée da... pour accéder aux paramètres de l'application. sso-azure-11
  12. Cliquer sur Authentification unique, puis sélectionner SAML comme méthode d'authentification. sso-azure-12
  13. Dans la section Authentification basée sur SAML, cliquer sur Modifier pour modifier les paramètres. sso-azure-13
  14. Dans le champ Identificateur (ID d'entité), entrer la valeur de l'ID de l'application que vous avez définie précédemment. Cocher l'option Par défaul. Dans le champ URL de réponse, saisir la valeur du URI de redirection. Cocher également Par défaul et cliquez sur Enregistrer. sso-azure-14
  15. Confirmer que la sauvegarde a été effectuée dans la page de détails. sso-azure-15
  16. Copier et conserver la valeur de URL de métadonnées de fédération d'application située dans la section Certificats SAML pour une utilisation future. sso-azure-16
  17. Accéder à l'onglet Utilisateurs et groupes, puis cliquet sur Ajouter un utilisateur/groupe. C'est ici que vous pouvez spécifier les utilisateurs et/ou les groupes autorisés à s'authentifier via SAML. sso-azure-17

Mise-en-place dans RAC/M Identity

  1. Ouvrir le fichier [Server]/conf/config.properties
  2. Modifier les propriétés SAML suivantes:
    1. auth.saml.enabled=true
2. auth.saml.relyingPartyIdentifier=${App ID}
3. auth.saml.metadataUrl=${App Federation Metadata Url}
4. auth.saml.replyURL=${ReplyURL}
5. auth.saml.app.id=${ID de l'actif RAC/M Identity contenant les comptes Entra ID}
6. auth.saml.username.racm.column.name=${Le nom de la colonne dans la table APPLICATION_ACCOUNT où le nom de compte Entra ID se trouve. ex: ACCOUNT_NAME}
  3. Voici un exemple avec des valeurs fictives
    1. auth.saml.enabled=true
2. auth.saml.relyingPartyIdentifier=https://mon-organisation-host
3. auth.saml.metadataUrl=https://login.microsoftonline.com/8568938f-a8b6-9981-f67e-84848f092389/federationmetadata/2007-06/federationmetadata.xml?appid=5643aae85-111a-4ee5-3321-5abedef445d0a
4. auth.saml.replyURL=https://racm.monorganisation.com/gui/loginSamlCallback.action
5. auth.saml.app.id=9
6. auth.saml.username.racm.column.name=ACCOUNT_NAME

Copyright ©2011-2024 Okiok Data Ltd, All rights reserved.