Avant de commencer
Les protocoles OAuth 2.0 et SAML 2.0 sont disponibles pour s'interfacer avec Azure AD.
Le document suivant fournit les informations nécessaires pour la mise en place d'une authentification unique entre Azure AD et les solutions LUCCA via le protocole OAuth 2.0.
Pour le protocole SAML 2.0, vous pouvez suivre la fiche d'aide suivante (disponible uniquement pour les abonnements PREMIUM Azure AD) : SSO protocole SAML 2.0
Étape 1 : Création de la configuration dans Lucca
Cette manipulation devra être effectuée par un administrateur ou un utilisateur ayant accès au module "Paramètres d'authentification et SSO".
1. Activez la méthode d'authentification qui correspond suivant le protocole (OAuth 2.0, SAML 2.0, ...) et votre IDP.
2. Récupérez différentes informations dans le détail de la section “Informations du fournisseur de service Lucca”, dans cet exemple c'est un protocole SAML 2.0, mais cela reste applicable pour les autres protocoles :
- Votre URL de connexion ;
- Votre URL de réponse ;
- Votre URL des métadonnées (uniquement SAML2.0) ;
- Votre identificateur Lucca (uniquement SAML2.0).
Étape 2 : Création d'une application OAuth 2.0
1. Depuis l'interface de gestion Azure Active Directory, onglet App registrations, cliquer sur Nouvelle inscription.
2. Renseignez les informations suivantes : Nom de l'application (cette valeur est personnalisable), le type de comptes pris en charge et l'URL de réponse. Puis cliquer sur S'inscrire.
3. Depuis la vue d'ensemble, mettez de côté l'ID d'application ainsi que l'ID de l'annuaire.
4. Depuis l'onglet Personnalisation, renseigner l'URL de connexion récupérer à l'étape 1.
5. Depuis l'onglet Certificats & secrets, cliquer sur Nouveau secret client, puis saisir une description et une date d'expiration (ici n'expire jamais). Enfin cliquer sur Ajouter.
Puis, sauvegarder la clé générée.
Depuis l'onglet Applications d'entreprise, vous retrouverez l'application OAuth 2.0 créée pour LUCCA. Il conviendra d'attribuer les droits nécessaires aux futurs utilisateurs des solutions LUCCA.
Étape 3 : Paramétrage LUCCA
Cette manipulation devra être effectuée par un administrateur.
Une fois la configuration effectuée dans votre interface de gestion Azure Active Directory, il vous faudra retourner dans les paramètres d’authentification de Lucca pour y renseigner les éléments suivants :
- l'ID de l'annuaire (Tenant ID)
- l'ID d'application (Application ID)
- la Clé sauvegardée (Secret Key) : y copier la donnée Value (et non Secret ID), qui est une chaîne de caractères avec lettre, chiffre et symbole.
L’attribut de connexion vous permettra de définir quel est l’attribut (login ou adresse de mail professionnelle) envoyé par votre fournisseur d’identité pour effectuer la connexion.
Pour votre information, le service d'authentification LUCCA fera une correspondance entre l'adresse email utilisateur (identifiant unique) fournie par Azure AD et le champ adresse email professionnelle des fiches utilisateurs LUCCA.
De ce fait, les adresses email professionnelles Azure AD devront être intégrées dans les solutions LUCCA.
Une fois ces informations renseignées et enregistrées, vous pourrez activer la connexion via SSO dès que vous le souhaiterez :
Une fois la connexion via SSO activée, vous pourrez désactiver la possibilité pour vos collaborateurs d’arriver sur la page de connexion Lucca qui leur permet de se connecter avec leur login Lucca et un mot de passe personnalisé en désactivant la “Connexion login/mot de passe Lucca”.