✏️Note : Dans ce document, nous utilisons Azure Active Directory (AAD) pour illustrer le processus, cependant, Aidi est aussi compatible avec le protocole OpenID Connect (OIDC).
Integration de Azure AD avec Aidi
Processus d'enregistrement de l'authentification Azure AD
Ajout de revendications facultatives pour les integrations SSO Aidi
Intégration de Azure AD avec Aidi
À quoi sert Azure AD?
Aidi utilise Microsoft Azure Active Directory (AAD) pour la gestion des identités et des accès afin de vous permettre de vous identifier dans l’application de façon sécurisée. De cette façon, un utilisateur de votre organisation sera en mesure de se connecter en utilisant les mêmes identifiants que son courriel ou que son poste de travail, par exemple, via le processus d’authentification unique, communément appelé Single Sign-On (SSO).
✏️Note : Il est possible de synchroniser votre annuaire Active Directory avec Azure Active Directory via l’outil Azure AD Connect de Microsoft. Pour plus d’information, voir Synchronisation d’Azure AD Connect : Comprendre et personnaliser la synchronisation | Microsoft Docs
Processus d’identification
Du point de vue de l’utilisateur, l’authentification est très simple. Sur la page d’accueil de Aidi, l’utilisateur n’a qu’à choisir l’option Se connecter avec votre compte d’entreprise.
Par la suite, une fenêtre de connexion Microsoft sera affichée.
Si l’authentification est réussie, l’utilisateur aura accès aux ressources assignées, autrement, un message d’erreur s’affichera. Si l'administrateur d'Aidi n'attribue pas de profil d'accès au nouvel utilisateur, celui-ci pourra s'authentifier dans Aidi, mais n'aura accès à aucune page.
Configuration de Azure Active Directory
Pour débuter l’intégration, l’application Aidi doit être inscrite dans votre compte Microsoft afin d’établir une relation de confiance avec votre plateforme d’identités. Un des rôles administrateurs suivants est requis :
● Administrateur d’application
● Développeur d’application
● Administrateur d’application cloud
Une fois l’application créée, un URL de réponse (Reply URL) doit être ajouté. Cet URL est l’emplacement où la plateforme d’identités Microsoft redirige le client d’un utilisateur et envoie des jetons de sécurité après authentification. Pour terminer la configuration, des accès doivent être accordés à l’API de Aidi. Ces accès spécifient ce que l’application aura comme information au sujet des utilisateurs de votre organisation. De plus, nous recommandons fortement d’accorder le consentement administrateur à Aidi.io afin d’éviter que les utilisateurs aient à approuver manuellement la lecture de leur adresse courriel et détail du profil.
Processus d’enregistrement de l’authentification Azure AD
- Accédez à portal.azure.com et recherchez le service Azure Active Directory.
- Sur la page du service Azure Active Directory de votre organisation, accédez à App registrations.
- Sélectionnez New registration.
- Saisissez le nom du nouvel enregistrement. Nous recommandons d’inscrire Aidi.
- Sélectionnez ensuite la première option parmi les types de comptes pris en charge (Supported account types). Cela créera une application à locataire unique, ce qui signifie que l’application ne sera visible que pour votre organisation.
- Laissez le champ Redirect URI vide.
- Cliquez sur Register.
Vous serez redirigé vers l’écran de l’application.
- Prenez note du Application (client) ID et du Directory (tenant) ID et transmettez-les au responsable de l’implantation avec qui vous travaillez chez Aidi.
- Une fois que vous avez noté les ID, cliquez sur Add a Redirect URI.
- Cliquez sur Add a platform.
- Une barre d’état s’ouvre à droite de l’écran, sélectionnez Single-page Application.
- Saisissez l’un des URI qui vous ont été fournis par votre responsable de l’implantation sous Redirect URIs.
- Laissez le champ Front-channel logout URL vide.
- Cochez les deux cases sous Implicit grant and hybrid flows.
- Cliquez sur le bouton Configure en bas de la page.
Vous devrez répéter ce processus pour chaque URI qui vous a été attribué par l’équipe Aidi. Les URI sont généralement au format https : //<organisation>.aidi.io/user/login.
- Vous devriez maintenant avoir la liste des URIs disponibles en haut de la page.
- Assurez-vous que les deux cases à cocher dans la section Implicit grant and hybrid flows sont cochées.
- Sélectionnez Single tenant dans la section Supported account types.
- Sélectionnez Yes dans la section Allow public client flows.
- Cliquez sur Save en haut de la page.
La dernière étape consiste à ajouter les autorisations manquantes.
- Naviguez vers API Permissions sur le côté gauche de l’écran.
- Une fois sur la page, sélectionnez Add a permission. Une barre d’état s’ouvrira.
- Dans la barre d’état, sélectionnez Delegated permissions.
- Sous Select permissions, cochez la case devant l’autorisation de courrier électronique.
- Cliquez sur le bouton Add permissions au bas de la page.
Vous pouvez ensuite choisir d’autoriser l’application en tant qu’administrateur. Cela évitera à chaque utilisateur de votre organisation d’avoir à donner son consentement. Cette dernière étape est facultative.
- Si vous souhaitez le faire, il vous suffit de cliquer sur Grant admin consent for aidi.io.
Ceci complète la configuration à effectuer du côté client. Avec l'ID de l'application (client) et l'ID du répertoire (tenant) fournis, Aidi terminera l'implémentation de cette intégration. Votre responsable de l'implémentation vous informera de la date à laquelle l'intégration sera activée. Une fois l'intégration activée, vous pouvez demander à quelques utilisateurs ayant accès à Aidi de confirmer que l'intégration est opérationnelle.
Ajout de revendications facultatives pour les intégrations SSO Aidi (facultatif)
✏️Note : Vous pouvez également configurer les revendications facultatives si le family_name et le given_name sont renseignés de votre côté. Cela permet de saisir clairement le nom et le prénom dans Aidi lors de la création de l’utilisateur.
L’ajout des revendications («Claim » dans le protocole OpenID Connect) de family_name et given_name dans le jeton permettra à Aidi d’extraire le prénom et le nom de famille définis dans le profil de l’utilisateur en décodant le jeton. Pour ajouter ces revendications, suivez les étapes suivantes dans Azure :
- Sélectionnez le service Inscriptions d’applications.
- Sélectionnez l’application créée dans la section précédente de ce document.
- Sous la section Gérer, sélectionnez Configuration du jeton.
- Sous la section Revendications facultatives, cliquez sur Ajouter une revendication facultative pour ajouter les réclamations given_name et family_name.
- Sélectionnez le ID pour le type de jeton.
Commentaires
0 commentaire
Vous devez vous connecter pour laisser un commentaire.