Skip to main content
Sauter la table des matières

Single Sign On via SAML dans Microsoft Azure

Veuillez noter que : Limited 3

L'option d'utiliser SAML dans votre compte edoobox est disponible à partir de l'abonnement Limited 3 . Le support gratuit pour ce thème est limité. Si vous souhaitez une assistance plus étendue, nous vous proposons volontiers des services payants.

L'implémentation d'une solution d'authentification unique (SSO) basée sur SAML dans edoobox permet aux utilisateurs (Super Admins, Admins et Responsables*) de naviguer de manière transparente et sécurisée entre leur fournisseur d'identité (Microsoft Azure) et edoobox, sans avoir à se reconnecter à edoobox ou à utiliser un nouveau mot de passe à chaque fois. Cette intégration contribue à gagner du temps et à améliorer la sécurité des comptes utilisateurs.

Qu'est-ce que SAML ?

Avec SAML (Security Assertion Markup Language), le fournisseur d'identité (IdP) est un service de sécurité qui permet aux utilisateurs de se connecter à plusieurs applications avec un seul nom d'utilisateur et un seul mot de passe. L'IdP génère des informations d'identification sécurisées (SAML-Assertions) et les envoie aux fournisseurs de services (SP) qui fournissent les applications auxquelles l'utilisateur souhaite être connecté. L'IdP se charge d'authentifier l'utilisateur et de vérifier les autorisations, tandis que les SP traitent les informations d'identification de l'utilisateur et contrôlent l'accès aux applications.

1. créer une application d'entreprise dans Azure AD

Créez une nouvelle application d'entreprise dans Azure AD. Pour ce faire, allez sur le portail Azure et sélectionnez "Applications d'entreprise". Cliquez sur "Créer votre propre application" et donnez un nom à l'application (par ex. edoobox SSO).

Créer sa propre application : Configurer une application d'entreprise dans Azure AD

2. configurer l'application

  1. Configurez les paramètres dans le menu "Connexion unique". Sélectionnez la méthode SAML et saisissez les valeurs suivantes :

    1. URL de réponse : Saisissez la valeur "https://app2.edoobox.com/v2/auth/saml/reply".

    2. Identifiant (Entity ID) : Est défini à l'étape 5

      Création de l'ID d'entité à utiliser comme URL XML distante

  2. Optimisez les paramètres de l'application selon vos besoins. Ici, vous pouvez notamment configurer les directives de connexion ou définir des attributs personnalisés.

  3. Facultatif : ajouter des attributs supplémentaires :

    1. Si une adresse e-mail existe déjà, vous avez l'option de fusionner le nouvel utilisateur avec l'utilisateur existant ou de créer un nouvel utilisateur avec une autre adresse e-mail.
      "allow_migration_user" : true

    2. Vous prévoyez de transmettre la LCA(recommandé) ? Dans ce cas, veuillez suivre les étapes facultatives 3 et 4 de ce guide et définir la valeur ici sur "true".
      "allow_permission_acl" : true
      Si vous ne souhaitez pas intégrer ACL, passez directement à l'étape 5 (activer/débloquer le SSO par edoobox) après c.

    3. S'il existe une connexion SAML active, le login classique d'edoobox peut être désactivé.
      "allow_edoobox_login_when_connected" : true

Info : Qu'est-ce que edoobox ACL ?

edoobox ACL (Access Control List) peut être utilisé pour la gestion des autorisations des utilisateurs et chaque groupe d'utilisateurs peut se voir attribuer une valeur d'un droit edoobox. Si vous n'utilisez pas edoobox ACL, l'admin doit être saisi manuellement dans edoobox avec la même adresse e-mail et le droit avant que l'utilisateur puisse se connecter via SSO.

3. Définir des groupes de droits d'utilisateur edoobox ACL (optionnel)

Nous recommandons en principe d'utiliser l'edoobox ACL pour contrôler les autorisations d'accès. Pour que nous recevions les autorisations de votre Azure AD, saisissez sous "Attributs" un nouveau "droit" avec le nom : "edoobox.acl" et l'attribut source "user.assignedroles".

Gérer la revendication : Saisir les groupes de droits d'utilisateur en tant qu'attribut

Pour les rôles d'app (edoobox.acl) dans Azure, suivez les étapes suivantes :

  1. Dans le menu de gauche, sélectionnez "Rôles d'application". Si ce point de menu n'est pas visible, sélectionnez "Utilisateurs et groupes" dans le menu et cliquez sur le lien "Enregistrement d'application" qui vous amène à la page où vous pouvez définir les rôles d'application.

  2. Créez un nouveau rôle en cliquant sur le bouton "Créer un nouveau rôle".

  3. Saisissez un nom d'affichage et une valeur pour le rôle et enregistrez les 5 rôles.
    Valeur : Nom d'affichage
    edoobox.acl.0 : Aucun droit
    edoobox.acl.1 : Utilisateur* (aucun droit)
    edoobox.acl.2 : Responsable
    edoobox.acl.3 : Administrateur
    edoobox.acl.4 : Super-Admin

    Créer un rôle d'application : saisir les rôles edoobox dans Azure

4. attribuer des droits ACL aux groupes et aux utilisateurs edoobox (facultatif)

  1. Naviguez ensuite à nouveau vers le portail Azure et sélectionnez "Applications d'entreprise" créées et choisissez "Utilisateurs et groupes" dans le menu de gauche.

  2. Cliquez sur le bouton "Ajouter un utilisateur/groupe".

  3. Saisissez les informations nécessaires pour l'objet utilisateur ou groupe, comme le nom, l'adresse e-mail ou le nom du groupe.

  4. Ajoutez des utilisateurs ou des groupes à votre application Enterprise en attribuant les utilisateurs ou les groupes.

  5. Sélectionnez le rôle que vous souhaitez attribuer à l'utilisateur ou au groupe et cliquez sur "Attribuer".

Sélectionner le rôle : Attribuer des groupes aux droits créés

5. activer le SSO dans edoobox

La documentation suivante explique exactement comment procéder à l'activation : Activer l'authentification unique via SAML dans edoobox

6. activation du SSO

Vérifiez si le login fonctionne en vous connectant aux URL suivantes :

URL de connexion edoobox V1 : https://app2.edoobox.com/login/sso/IHR-EDOOBOX-KÜRZEL/
URL de connexion edoobox V2 : https://app2.edoobox.com/ed-admin/pages/sso/IHR-EDOOBOX-KÜRZEL/

Remarque : redirection vers SSO

Si un admin est connecté avec SSO et se déconnecte ou est automatiquement déconnecté par edoobox, l'admin déconnecté est automatiquement dirigé vers la page de connexion SSO et non vers la page de connexion normale. Pour que cela fonctionne, l'admin doit s'être connecté au préalable.

Tutoriels associés

Mots-clés pour ce guide

SSO ¦ SAML ¦ Application d'entreprise ¦ Azure AD

Erreurs JavaScript détectées

Veuillez noter que ces erreurs peuvent dépendre de la configuration de votre navigateur.

Si ce problème persiste, veuillez contacter notre service d'assistance.

Contact Support Close