SSO Microsoft Entra ID (ex. Azure AD) - SAML 2.0

Avant de commencer

Les protocoles OAuth 2.0 et SAML 2.0 sont disponibles pour s'interfacer avec Azure AD.

Le document suivant fournit les informations nécessaires pour la mise en place d'une authentification unique entre Azure AD et les solutions LUCCA via le protocole SAML 2.0 (disponible uniquement pour les abonnements Premium Azure AD).

Pour le protocole OAuth 2.0, vous pouvez suivre la fiche d'aide suivante : SSO Azure AD avec le protocole OAuth 2.0

Étape 1 : Création de la configuration dans Lucca

Cette manipulation devra être effectuée par un administrateur ou un utilisateur ayant accès au module "Paramètres d'authentification et SSO".

MerciApp_e54zozhQB9.png

1. Activez la méthode d'authentification qui correspond suivant le protocole (OAuth 2.0, SAML 2.0, ...) et votre IDP.

MerciApp_flRw7FWTAp.png

2. Récupérez différentes informations dans le détail de la section “Informations du fournisseur de service Lucca”, dans cet exemple c'est un protocole SAML 2.0, mais cela reste applicable pour les autres protocoles :

  • Votre URL de connexion ;
  • Votre URL de réponse ;
  • Votre URL des métadonnées (uniquement SAML2.0) ;
  • Votre identificateur Lucca (uniquement SAML2.0).

MerciApp_G4KJ8ZYlTG.png

MerciApp_rNAYIXR9U6.png

Étape 2 : Création d'une application SAML 2.0

1. Depuis l'interface de gestion Azure Active Directory, cliquez sur le menu Applications d'entreprise.

2. Cliquez sur Nouvelle application

3. Sélectionnez Application ne figurant pas dans la galerie et renseignez une description de l'application (ex: Lucca), puis cliquez sur Ajouter.

4. Choisissez le protocole SAML.

5. Chargez le fichier XML métadata (à partir de l'URL métadata fournie par Lucca), puis sauvegardez la configuration générée par défaut. 

6. Editez Attributs et revendications de l'utilisateur afin d'envoyer un seul attribut dans le jeton SAML : il s'agit d'un identifiant unique (adresse email ou login) permettant à LUCCA de faire une correspondance avec le champ adresses email professionnel ou le champ login des fiches utilisateurs.

Unique User Identifier => user.userprincipalname

Enfin, sauvegardez l'URL Federation Metadata.

7. (en option) Vous pouvez changer la politique de signature des jetons SAML : signer SAML Assertion et/ou SAML Response (uniquement le nœud SAML Assertion par défaut).

Depuis l'onglet Applications d'entreprise, vous retrouverez l'application OAuth 2.0 créée pour LUCCA. Il conviendra d'attribuer les droits nécessaires aux futurs utilisateurs des solutions LUCCA.

Étape 3 : Paramétrage LUCCA

Cette manipulation devra être effectuée par un administrateur.

Une fois la configuration effectuée dans votre interface de gestion Azure Active Directory, il vous faudra retourner dans les paramètres d’authentification de Lucca pour y renseigner les éléments suivants :

  • le champ LUCCA auquel correspond l'attribut Azure AD envoyé dans le jeton (étape 1) : adresse email ou login (point 1) ;
  • URL Federation Metadata (point 2) ;
  • Politique de signature SAML choisie (point 3).

mceclip1.png

mceclip2.png

Une fois ces informations renseignées et enregistrées, vous pourrez activer la connexion via SSO dès que vous le souhaiterez :

mceclip0.png

Une fois la connexion via SSO activée, vous pourrez désactiver la possibilité pour vos collaborateurs d’arriver sur la page de connexion Lucca qui leur permet de se connecter avec leur login Lucca et un mot de passe personnalisé en désactivant la “Connexion login/mot de passe Lucca”.

 

Renouvellement de certificat

Si vous avez mis en place une URL publique d'accès aux metadata, notre service d'authentification restera à jour même en cas de renouvellement.

Contenu de la page

Cet article vous a-t-il été utile ?
Utilisateurs qui ont trouvé cela utile : 0 sur 0