1. Centre d'aide
  2. Intégration
  3. Approvisionnement des utilisateur*rice*s et SSO

Comment configurer l'intégration avec Azure Active Directory ?

Voici le guide pour configurer le provisionnement des utilisateurs et l'authentification unique avec Azure AD.

La disponibilité de cette fonctionnalité dépend de votre plan d'abonnement et de votre rôle.

Définition : L'authentification unique (SSO) est une méthode d'authentification qui permet aux utilisateurs de s'authentifier en toute sécurité auprès de plusieurs applications et sites Web en utilisant un seul ensemble d'informations d'identification.

Définition : Le provisionnement des utilisateurs fait référence à la création automatique d'identités et de rôles d'utilisateurs pour les applications. Le provisionnement des applications Azure AD consiste à créer automatiquement des identités et des rôles d'utilisateur dans les applications auxquelles les utilisateurs doivent accéder.

Cet article présente la manière de mettre en place l'intégration de Microsoft Azure dans Izix et ses différentes possibilités. 

Comment configurer l'intégration avec Azure Directory

1. Ajoutez notre application azure non-gallery (obligatoire)

1.1 Intégrer Izix App dans Azure

  1. Connectez-vous sur azure https://portal.azure.com/ en tant que membre administrateur de votre organisation. 
  2. Allez dans "Azure Active Directory" en cliquant sur l'icône suivante dans la barre d'action en haut de l'écran

Capture d’écran 2024-03-22 à 09.20.03

 3.   Dans le menu de gauche, dans la section "Gérer", allez à "Enregistrements d'applications"

Capture d’écran 2024-03-22 à 09.24.00


4.   Cliquez sur "Nouvel enregistrement" dans la barre d'action de la page.

Capture d’écran 2024-03-22 à 09.25.00

 

5.   Pour enregistrer une nouvelle demande, saisissez le nom et les informations demandées dans le formulaire :

 

Item

Action 

Note

Name

Type: “Izix”

 

Supported account types

Select the preferred option

We advise you to use the first option “single tenant” in case you do not know the preferences of your organization.

Use the “Help me choose…” button if needed

Redirect URL

Leave empty

 

Confirm

Click: register

 

 

 

1-May-03-2022-01-50-56-87-PM

 

6.   Dans votre liste d'applications, cliquez sur l'application nouvellement enregistrée

2-May-03-2022-01-55-41-02-PM

7.   Dans le menu "Gestion" du volet gauche, allez à la section "Branding" (premier sous-menu).

7.1. Vous pouvez télécharger une image à utiliser comme icône de l'application Izix sur Azure (facultatif). Téléchargez notre icône Izix en accédant au lien suivant :  https://izix.eu/img/logo_bepark/bepark-business-app-icon.png 

7.2. Définissez l'URL de la page d'accueil sur https://izix.eu (obligatoire)

7.3. Enregistrez vos modifications en cliquant sur "Enregistrer" dans la barre d'action de la page.

 

3-May-03-2022-01-57-21-43-PM

1.2  Configuration dans Izix


1.  Allez dans le panneau de l'intégration Azure dans Izix. Sélectionnez "Azure AD" https://izix.eu/ > Paramètres > Intégrations > SSO > Azure AD

1-Apr-27-2022-09-56-55-58-AM

2.  Sur l'aperçu de l'application nouvellement créée dans Azure, vous avez "l'Application (client) ID". Copiez-collez-le dans le champ "CLIENT ID" dans la configuration Izix Azure.

Capture d’écran 2024-03-22 à 10.10.36

Capture d’écran 2024-03-22 à 10.13.57

3.  Dans le menu "Gérer" du volet gauche d'Azure, allez à la section "Certificate & Secret" (3ème sous-menu).

Capture d’écran 2024-03-22 à 10.15.09

4.  Cliquez sur "Nouveau secret client", entrez une description et sélectionnez la période à laquelle vous souhaitez rafraîchir le token. (Gardez à l'esprit que vous devrez le mettre à jour dans Izix lorsqu'il expirera).

Capture d’écran 2024-03-22 à 10.16.36

5.  Retournez dans Izix, copiez la clé affichée dans la liste "Secret du client" dans la colonne Valeur et collez-la dans le champ "SECRET DU CLIENT" dans Izix.

Capture d’écran 2024-03-22 à 10.17.13

 

2. Ajouter un groupe Azure et le synchroniser 

Cette section concerne la mise en place du provisionnement des utilisateurs. Cette section peut être ignorée si l'intégration ne vise qu'à mettre en place le SSO.

2.1 Configurez votre groupe Azure dans Izix

 

1.  Allez dans le panneau de l'intégration Azure dans Izix. Sélectionnez "Azure AD" et ensuite Editer en haut à gauche.

Capture d’écran 2024-03-22 à 10.19.15

2.  Pour chaque nouveau groupe que vous souhaitez ajouter, cliquez sur le bouton "+" dans la section inférieure. Vous pouvez y sélectionner les rôles que vous souhaitez attribuer aux utilisateurs de ce groupe et leurs langues.

Capture d’écran 2024-03-22 à 10.20.35

 

3.  Retournez dans Azure > Azure Active Directory > App Registrations, sélectionnez l'application enregistrée et allez dans "API permissions" dans le menu du volet gauche.

Capture d’écran 2024-03-22 à 10.22.31

4.  Les permissions requises pour l'application sont User.Read, User.ReadBasic.All et Directory.Read.All si vous voulez être en mesure de synchroniser votre utilisateur dans notre système.

 

Pour ajouter des autorisations : 

a. Cliquez sur "Ajouter une autorisation"
b. Sélectionnez "Microsoft Graph" dans le premier bloc d'options.
c. Sélectionnez "Autorisation déléguée".
d. Dans le champ de recherche, recherchez les permissions manquantes.
e. Sélectionnez les permissions à ajouter en cliquant dans la case à cocher.
f. Cliquez sur "Ajouter des autorisations" en bas de la page.
g. De retour dans l'aperçu des autorisations, cliquez sur "Accorder le consentement à l'admin pour (...)" et répondez "Oui" (voir la première image de cette section du document).

Capture d’écran 2024-03-22 à 10.23.44

Capture d’écran 2024-03-22 à 10.24.04

Capture d’écran 2024-03-22 à 10.24.16

Capture d’écran 2024-03-22 à 10.24.28

5.  Allez à "Manifest" dans le menu du volet gauche (dernier menu de la section "Manage").

6.  Trouvez la clé "appRoles"

Capture d’écran 2024-03-22 à 10.25.57

 

7.   Remplacez-le par le code suivant : 

    "appRoles": [

        {

            "allowedMemberTypes": [

                "User"

            ],

            "description": "Manage stuff with this role",  // Description of the role

            "displayName": "Manager Role",        // Name of the role

            "id": "148a37e2-77ed-4485-8e73-ab02dfc2d151", // Your UUID Generated, the ID of the role (https://docs.microsoft.com/en-us/azure/active-directory/develop/howto-add-app-roles-in-azure-ad-apps)

            "isEnabled": true,

            "lang": null,

            "origin": "Application",

            "value": "manager"

        }

    ],

Capture d’écran 2024-03-22 à 10.33.43

8.   Enregistrez vos modifications en cliquant sur "Enregistrer"

2.2  Synchronisez votre utilisateur dans Izix

Pour chaque groupe que vous voulez synchroniser avec Izix : 

    1. Entrez un tag à attribuer à tous les utilisateurs de ce groupe dans le 1
    2. Copiez/collez "l'Object ID" du groupe à partir de la page d'information du groupe sur Azure (recherchez "Groupes" dans la barre de recherche, cliquez sur le nom du groupe pour voir les détails du groupe) dans le champ 2
    3. Sélectionnez les rôles à attribuer aux profils du groupe en 3 (laissez toujours les rôles "Non enregistré" et "Utilisateur simple" sélectionnés)
    4. Sélectionnez la langue de l'application Izix pour les profils du groupe dans les 4

Capture d’écran 2024-03-22 à 10.35.15

3.  Autoriser l'utilisateur à se connecter à Izix en utilisant Azure

3.1  Paramètres communs

1.   Allez dans Izix > Paramètres > Intégration > SSO > Azure et copiez les deux URL de rappel dans "l'URL à mettre sur liste blanche dans votre application Azure (URL de redirection ou de réponse)"

2.   Retournez dans Azure > Azure Active Directory > App Registrations, et accédez à la vue d'ensemble de l'application enregistrée en cliquant sur le nom de l'application.

3.   Cliquez sur le lien à côté de "Redirection URL's" - Selon le parcours utilisateur que vous avez suivi sur Azure, il se peut que vous ne puissiez pas enregistrer immédiatement les deux URL de rappel d'Izix. Pour ce faire, vous devez ajouter une plateforme en suivant les étapes suivantes :

a. Cliquez sur "+ Ajouter une plate-forme".
b. Sélectionnez "Web" sous Applications Web
c. Copiez la première des deux URL de rappel.
d. Laissez l'URL de déconnexion vide
c. Cliquez sur "Configurer" et passez l'étape b ci-dessous, car vous avez déjà ajouté la première des deux URL de rappel à cette étape.

4.   Entrez la première des deux Url de rappel

Capture d’écran 2024-03-22 à 10.37.49

 

5.   Obtenez la deuxième URL de l'étape précédente dans le champ sous "Redirection URL's".
    1. Cliquez sur "Ajouter URL"
    2. Entrez la deuxième URL de rappel copiée à l'étape précédente dans le nouveau champ
    3. Entrez https://business.bepark.eu/logout dans le champ sous "URL de déconnexion"
    4. Enregistrez vos modifications en cliquant sur "Enregistrer" dans la barre d'action de la page.

Capture d’écran 2024-03-22 à 10.38.35

 

 

3.2  Utilisateurs précédemment importés

1.   Revenez à Azure > Azure Active Directory > Enterprise applications dans le menu du volet de gauche

2.  Cliquez sur l'application Izix que vous venez d'enregistrer

3.   Allez dans "Propriétés" dans le menu du volet gauche et mettez à jour les informations avec les paramètres suivants :

 

  1. Permettre aux utilisateurs de se connecter ? Oui
  2. L'affectation d'un utilisateur est nécessaire ?
    1. Sélectionnez Oui si vous souhaitez autoriser uniquement certains utilisateurs sélectionnés à utiliser l'intégration.
    2. Sélectionnez Non si vous voulez laisser n'importe lequel de vos utilisateurs utiliser l'intégration.
  3. Enregistrez vos modifications en cliquant sur "Enregistrer"

4-May-03-2022-02-12-22-67-PM



4.   Allez sur Izix > Paramètres > SSO Azure
    1. Cliquez sur "Synchroniser" dans la barre d'action de l'écran
    2. Connectez-vous à Azure avec vos propres informations d'identification

 

Félicitations, votre annuaire Azure a maintenant été téléchargé dans Izix. Pour vous en assurer, allez dans Izix > Organisation > Profils et vérifiez que les utilisateurs et les informations que vous avez configurés dans Azure ont bien été importés.

 

3.3  Utilisateurs créés en externe à partir d'une importation Azure

3.3.1 Autoriser la connexion d'un utilisateur créé en externe à partir de l'importation d'azur

 

3.3.2 Ajouter des domaines autorisés

Ajoutez la liste des domaines qui seront autorisés à se connecter via votre intégration Azure. Cela signifie que si un utilisateur dont l'email provient de ce domaine tente de se connecter à notre système avec Azure, nous vérifierons si cet utilisateur est présent dans votre organisation. Si oui, il sera connecté à votre organisation.

Ceci est obligatoire pour pouvoir utiliser cette option. 

 

(Exemple : Le domaine est ce qui se trouve après le @ comme "izix.eu" - avec l'email comme john.doe@izix.eu )