Authentification unique avec Azure AD

Créer une application sur la console Azure AD

Si l'application IDrive360 a déjà été téléchargée dans votre répertoire Azure pour SSO, vous devez supprimer l'application existante et créer une nouvelle application.

Pour utiliser Azure AD comme fournisseur d'identité pour SSO, vous devez créer une application sur la console Azure AD.

Pour créer l'application,

1. Connectez-vous à la console Azure AD en utilisant vos identifiants de compte Azure AD et cliquez sur 'Applications d'entreprise'.
2. Sélectionnez l'onglet 'Vue d'ensemble' dans le menu de gauche et cliquez sur 'Nouvelle application'.
3. Cliquez sur 'Créer votre propre application'.
4. Entrez le nom de l'application sous 'Quel est le nom de votre application ?'.
5. Sélectionnez 'Intégrer toute autre application que vous ne trouvez pas dans la galerie (Non-galerie)' et cliquez sur 'Créer'.
6. Maintenant, votre application IDrive 360 est ajoutée à Microsoft Azure Active Directory.

Configurer SSO

Pour configurer SSO,

1. Retournez à 'Microsoft Entra ID' > 'Application d'entreprise'.
2. Recherchez l'application récemment ajoutée et cliquez dessus.
3. Accédez à 'Gérer' > 'Authentification unique'.
4. Choisissez 'SAML' comme méthode d'authentification unique préférée.
5. Sous l'écran 'Configurer l'authentification unique avec SAML' qui apparaît,
   1. Cliquez sur 'Modifier' correspondant à la 'Configuration SAML de base' et entrez les URL comme indiqué ci-dessous :
      • Identifiant (ID d'entité) : https://webapp.idrive360.com/api/sso/metadata
      • URL de réponse (URL du service consommateur d'assertion) : https://webapp.idrive360.com/api/sso/process
      • URL de déconnexion : https://webapp.idrive360.com/api/v1/logout
   2. Dans la section 'Certificat SAML', cliquez sur 'Télécharger' et enregistrez le certificat x509 (Base64).
   3. Copiez l'URL de connexion et l'URL de l'identifiant Microsoft Entra, et configurez-la avec votre compte de sauvegarde cloud.

Configurer le compte de sauvegarde cloud pour l'authentification unique (SSO)

L'administrateur doit fournir les URL SAML 2.0 reçues et le certificat d'Azure AD dans le formulaire de configuration de l'authentification unique dans la Console de gestion.

Pour configurer SSO,

1. Connectez-vous au compte de sauvegarde cloud et cliquez sur 'Accéder à la Console de gestion'.
2. Accédez à 'Paramètres' > 'Authentification unique (SSO)'.
3. Entrez l'URL de l'émetteur IDP, l'URL de connexion SSO et téléchargez le 'Certificat X.509 (Base64)' reçu de votre application nouvellement créée sur la console Azure AD.
   1. URL de l'émetteur - Identifiant Microsoft Entra
   2. Point de terminaison SSO - URL de connexion
4. Cliquez sur 'Configurer l'authentification unique'.

Configurer les rôles

Les rôles d'application sont définis dans le centre d'administration Microsoft Entra lors du processus d'enregistrement de l'application. Lorsqu'un utilisateur se connecte à l'application, Microsoft Entra ID émet une revendication de rôles pour chaque rôle attribué, permettant une autorisation basée sur les revendications.

Remarque : Les rôles par défaut créés par Azure doivent être supprimés. Pour supprimer les rôles non pris en charge, attribuez d'abord une valeur, désactivez le rôle, puis supprimez-le.

Pour créer un rôle d'application,

1. Accédez à Accueil.
2. Allez dans 'Microsoft Entra ID' > 'Gérer' > 'Inscriptions d'applications'.
3. Recherchez votre application récemment ajoutée dans l'onglet 'Toutes les applications' et cliquez sur 'Rôles d'application'.
4. Cliquez sur 'Créer un rôle d'application' et remplissez les informations suivantes :
   • Nom d'affichage : Propriétaire du compte
   • Types de membres autorisés : Utilisateurs/Groupes
   • Valeur : 1
   • Description : Administrateur MSP
5. Cliquez sur 'Appliquer' pour enregistrer vos modifications.

Répétez les étapes ci-dessus pour créer des rôles pour Administrateur de l'entreprise, Administrateur de sauvegarde, Utilisateur de restauration, Utilisateur de sauvegarde, Utilisateur de sauvegarde et restauration.

Rôles utilisateur	Valeurs
Propriétaire du compte	1
Administrateur de l'entreprise	2
Administrateur de sauvegarde	7
Utilisateur (Ajouter des appareils et gérer)	3
Utilisateur de restauration	4
Utilisateur de sauvegarde	5
Utilisateur de sauvegarde et restauration	6

Remarque : Les valeurs de rôle doivent correspondre exactement aux rôles correspondants définis dans le code de l'application.

Configurer le provisionnement dans Microsoft Azure AD

Pour activer le provisionnement, suivez les étapes ci-dessous,

1. Allez dans 'Provisionnement' depuis le panneau de navigation gauche.
2. Accédez à 'Gérer > Provisionnement'.
3. Sélectionnez le 'Mode de provisionnement' sur Automatique.
4. Fournissez les informations suivantes :
   URL du locataire : https://webapp.idrive360.com/api/scim/v2/?aadOptscim062020
   Jeton secret : Jeton généré dans l'application IDrive360.
5. Cliquez sur 'Tester la connexion' pour assurer la connexion entre Azure AD et l'application IDrive 360.
6. Dans la section 'Paramètres',
7. Dans le champ 'E-mail de notification',
   1. Entrez l'adresse e-mail de la personne qui doit recevoir les notifications d'erreur de provisionnement.
   2. Cochez la case 'Envoyer une notification par e-mail en cas d'échec'.
   3. Entrez la valeur pour 'Seuil de suppression accidentelle' selon la politique de votre entreprise.
   4. Sélectionnez 'Synchroniser uniquement les utilisateurs et groupes assignés' pour le champ 'Portée'.
8. Dans la section 'Mappages',
   1. Sélectionnez 'Provisionner les groupes Azure Active Directory', basculez la case activée sur Non et cliquez sur 'Enregistrer'.
   2. Sélectionnez 'Provisionner les utilisateurs Azure Active Directory'.

      Remarque : IDrive 360 ne prend actuellement pas en charge les groupes.

   3. Laissez les champs inchangés.
   4. Cliquez sur 'Afficher les options avancées'.
   5. Sous 'Attributs pris en charge', sélectionnez 'Modifier la liste des attributs pour customappsso'.
   6. Dans la liste des attributs, ajoutez un attribut nommé 'roles', sélectionnez le type comme chaîne et cochez la case pour requis.
   7. Cliquez sur 'Enregistrer'.
   8. Cliquez sur 'Oui' dans la fenêtre contextuelle de confirmation.
   9. Retournez à la section 'Mappage des attributs'.
   10. Cliquez sur 'Ajouter un nouveau mappage'.
   11. Sélectionnez 'Expression' comme type de mappage.
   12. Spécifiez la valeur de l'expression comme,
       'AppRoleAssignmentsComplex([appRoleAssignments])'.
   13. Sélectionnez 'Roles' comme attribut cible.
   14. Sélectionnez 'Non' pour 'Faire correspondre l'objet en utilisant l'attribut'.
   15. Choisissez quand appliquer ce mappage, puis sélectionnez 'Toujours'.
   16. Cliquez sur 'OK'.
   17. Vous pouvez trouver le mappage d'attribut récemment ajouté sous 'Mappages d'attributs'.

   Après avoir configuré les paramètres de provisionnement, vous pouvez affecter tout utilisateur que vous souhaitez provisionner dans IDrive 360.

   
   

   Affecter des utilisateurs à votre application

   Pour activer SSO pour les comptes utilisateurs, l'administrateur doit affecter des utilisateurs à l'application créée sur la console Azure AD.

   Pour affecter des utilisateurs à l'application Azure AD,

   1. Depuis l'application nouvellement créée dans la console d'administration Azure AD, accédez à 'Utilisateurs et groupes' et cliquez sur 'Ajouter un utilisateur'.
   2. Sélectionnez les utilisateurs que vous souhaitez affecter à l'application.
   3. Choisissez un rôle dans le menu déroulant et cliquez sur 'Sélectionner'.

      Remarque : Les administrateurs peuvent attribuer n'importe quel rôle aux utilisateurs sélectionnés.

   4. Cliquez sur 'Affecter' pour terminer le processus.

      Remarque : Dans Azure, le cycle de provisionnement automatique se produit toutes les 40 minutes.