Voici le guide pour configurer le provisionnement des utilisateurs et l'authentification unique avec Azure AD.
La disponibilité de cette fonctionnalité dépend de votre plan d'abonnement et de votre rôle.
Définition : L'authentification unique (SSO) est une méthode d'authentification qui permet aux utilisateurs de s'authentifier en toute sécurité auprès de plusieurs applications et sites Web en utilisant un seul ensemble d'informations d'identification.
Définition : Le provisionnement des utilisateurs fait référence à la création automatique d'identités et de rôles d'utilisateurs pour les applications. Le provisionnement des applications Azure AD consiste à créer automatiquement des identités et des rôles d'utilisateur dans les applications auxquelles les utilisateurs doivent accéder.
Cet article présente la manière de mettre en place l'intégration de Microsoft Azure dans Izix et ses différentes possibilités.
Comment configurer l'intégration avec Azure Directory
1. Ajoutez notre application azure non-gallery (obligatoire)
1.1 Intégrer Izix App dans Azure
- Connectez-vous sur azure https://portal.azure.com/ en tant que membre administrateur de votre organisation.
- Allez dans "Azure Active Directory" en cliquant sur l'icône suivante dans la barre d'action en haut de l'écran
4. Cliquez sur "Nouvel enregistrement" dans la barre d'action de la page.
5. Pour enregistrer une nouvelle demande, saisissez le nom et les informations demandées dans le formulaire :
Item |
Action |
Note |
Name |
Type: “Izix” |
|
Supported account types |
Select the preferred option |
We advise you to use the first option “single tenant” in case you do not know the preferences of your organization. Use the “Help me choose…” button if needed |
Redirect URL |
Leave empty |
|
Confirm |
Click: register |
6. Dans votre liste d'applications, cliquez sur l'application nouvellement enregistrée
7. Dans le menu "Gestion" du volet gauche, allez à la section "Branding" (premier sous-menu).
7.1. Vous pouvez télécharger une image à utiliser comme icône de l'application Izix sur Azure (facultatif). Téléchargez notre icône Izix en accédant au lien suivant : https://izix.eu/img/logo_bepark/bepark-business-app-icon.png
7.2. Définissez l'URL de la page d'accueil sur https://izix.eu (obligatoire)
7.3. Enregistrez vos modifications en cliquant sur "Enregistrer" dans la barre d'action de la page.
1.2 Configuration dans Izix
1. Allez dans le panneau de l'intégration Azure dans Izix. Sélectionnez "Azure AD" https://izix.eu/ > Paramètres > Intégrations > SSO > Azure AD
2. Sur l'aperçu de l'application nouvellement créée dans Azure, vous avez "l'Application (client) ID". Copiez-collez-le dans le champ "CLIENT ID" dans la configuration Izix Azure.
3. Dans le menu "Gérer" du volet gauche d'Azure, allez à la section "Certificate & Secret" (3ème sous-menu).
4. Cliquez sur "Nouveau secret client", entrez une description et sélectionnez la période à laquelle vous souhaitez rafraîchir le token. (Gardez à l'esprit que vous devrez le mettre à jour dans Izix lorsqu'il expirera).
5. Retournez dans Izix, copiez la clé affichée dans la liste "Secret du client" dans la colonne Valeur et collez-la dans le champ "SECRET DU CLIENT" dans Izix.
2. Ajouter un groupe Azure et le synchroniser
Cette section concerne la mise en place du provisionnement des utilisateurs. Cette section peut être ignorée si l'intégration ne vise qu'à mettre en place le SSO.
2.1 Configurez votre groupe Azure dans Izix
1. Allez dans le panneau de l'intégration Azure dans Izix. Sélectionnez "Azure AD" et ensuite Editer en haut à gauche.
2. Pour chaque nouveau groupe que vous souhaitez ajouter, cliquez sur le bouton "+" dans la section inférieure. Vous pouvez y sélectionner les rôles que vous souhaitez attribuer aux utilisateurs de ce groupe et leurs langues.
3. Retournez dans Azure > Azure Active Directory > App Registrations, sélectionnez l'application enregistrée et allez dans "API permissions" dans le menu du volet gauche.
4. Les permissions requises pour l'application sont User.Read, User.ReadBasic.All et Directory.Read.All si vous voulez être en mesure de synchroniser votre utilisateur dans notre système.
Pour ajouter des autorisations :
a. Cliquez sur "Ajouter une autorisation"b. Sélectionnez "Microsoft Graph" dans le premier bloc d'options.
c. Sélectionnez "Autorisation déléguée".
d. Dans le champ de recherche, recherchez les permissions manquantes.
e. Sélectionnez les permissions à ajouter en cliquant dans la case à cocher.
f. Cliquez sur "Ajouter des autorisations" en bas de la page.
g. De retour dans l'aperçu des autorisations, cliquez sur "Accorder le consentement à l'admin pour (...)" et répondez "Oui" (voir la première image de cette section du document).
5. Allez à "Manifest" dans le menu du volet gauche (dernier menu de la section "Manage").
6. Trouvez la clé "appRoles"
7. Remplacez-le par le code suivant :
"appRoles": [ { "allowedMemberTypes": [ "User" ], "description": "Manage stuff with this role", // Description of the role "displayName": "Manager Role", // Name of the role "id": "148a37e2-77ed-4485-8e73-ab02dfc2d151", // Your UUID Generated, the ID of the role (https://docs.microsoft.com/en-us/azure/active-directory/develop/howto-add-app-roles-in-azure-ad-apps) "isEnabled": true, "lang": null, "origin": "Application", "value": "manager" } ], |
2.2 Synchronisez votre utilisateur dans Izix
Pour chaque groupe que vous voulez synchroniser avec Izix :
- Entrez un tag à attribuer à tous les utilisateurs de ce groupe dans le 1
- Copiez/collez "l'Object ID" du groupe à partir de la page d'information du groupe sur Azure (recherchez "Groupes" dans la barre de recherche, cliquez sur le nom du groupe pour voir les détails du groupe) dans le champ 2
- Sélectionnez les rôles à attribuer aux profils du groupe en 3 (laissez toujours les rôles "Non enregistré" et "Utilisateur simple" sélectionnés)
- Sélectionnez la langue de l'application Izix pour les profils du groupe dans les 4
3. Autoriser l'utilisateur à se connecter à Izix en utilisant Azure
3.1 Paramètres communs
1. Allez dans Izix > Paramètres > Intégration > SSO > Azure et copiez les deux URL de rappel dans "l'URL à mettre sur liste blanche dans votre application Azure (URL de redirection ou de réponse)"
2. Retournez dans Azure > Azure Active Directory > App Registrations, et accédez à la vue d'ensemble de l'application enregistrée en cliquant sur le nom de l'application.
3. Cliquez sur le lien à côté de "Redirection URL's" - Selon le parcours utilisateur que vous avez suivi sur Azure, il se peut que vous ne puissiez pas enregistrer immédiatement les deux URL de rappel d'Izix. Pour ce faire, vous devez ajouter une plateforme en suivant les étapes suivantes :
a. Cliquez sur "+ Ajouter une plate-forme".
b. Sélectionnez "Web" sous Applications Web
c. Copiez la première des deux URL de rappel.
d. Laissez l'URL de déconnexion vide
c. Cliquez sur "Configurer" et passez l'étape b ci-dessous, car vous avez déjà ajouté la première des deux URL de rappel à cette étape.
5. Obtenez la deuxième URL de l'étape précédente dans le champ sous "Redirection URL's".
-
- Cliquez sur "Ajouter URL"
- Entrez la deuxième URL de rappel copiée à l'étape précédente dans le nouveau champ
- Entrez https://business.bepark.eu/logout dans le champ sous "URL de déconnexion"
- Enregistrez vos modifications en cliquant sur "Enregistrer" dans la barre d'action de la page.
3.2 Utilisateurs précédemment importés
1. Revenez à Azure > Azure Active Directory > Enterprise applications dans le menu du volet de gauche
2. Cliquez sur l'application Izix que vous venez d'enregistrer
3. Allez dans "Propriétés" dans le menu du volet gauche et mettez à jour les informations avec les paramètres suivants :
- Permettre aux utilisateurs de se connecter ? Oui
- L'affectation d'un utilisateur est nécessaire ?
- Sélectionnez Oui si vous souhaitez autoriser uniquement certains utilisateurs sélectionnés à utiliser l'intégration.
- Sélectionnez Non si vous voulez laisser n'importe lequel de vos utilisateurs utiliser l'intégration.
- Enregistrez vos modifications en cliquant sur "Enregistrer"
- Cliquez sur "Synchroniser" dans la barre d'action de l'écran
- Connectez-vous à Azure avec vos propres informations d'identification
Félicitations, votre annuaire Azure a maintenant été téléchargé dans Izix. Pour vous en assurer, allez dans Izix > Organisation > Profils et vérifiez que les utilisateurs et les informations que vous avez configurés dans Azure ont bien été importés.
3.3 Utilisateurs créés en externe à partir d'une importation Azure
3.3.1 Autoriser la connexion d'un utilisateur créé en externe à partir de l'importation d'azur
3.3.2 Ajouter des domaines autorisés
Ajoutez la liste des domaines qui seront autorisés à se connecter via votre intégration Azure. Cela signifie que si un utilisateur dont l'email provient de ce domaine tente de se connecter à notre système avec Azure, nous vérifierons si cet utilisateur est présent dans votre organisation. Si oui, il sera connecté à votre organisation.
Ceci est obligatoire pour pouvoir utiliser cette option.
(Exemple : Le domaine est ce qui se trouve après le @ comme "izix.eu" - avec l'email comme john.doe@izix.eu )