Microsoft Azure AD
Dernière mise à jour le - Available in English
Ce document décrit les étapes nécessaires pour activer le SSO sur votre compte Screen en utilisant le protocole SAML avec Microsoft Azure AD. Pour l'instant, le protocole OAuth2 n'est pas pris en charge.
Le SSO peut également être combiné au provisionnement des utilisateurs par le biais du protocole SCIM.
Conditions préalables à l'activation du SSO pour votre compte Screen :
- Vous devez avoir un Entreprise ou Plus compte.
- Vous devez disposer des droits d'administrateur pour votre compte Screen.
- Vous devez identifier la personne de votre côté qui sera en mesure de mettre en œuvre les changements de configuration requis sur votre compte Microsoft Azure AD, c'est-à-dire votre administrateur système.
Considérations importantes :
- Un échec de connexion à l'échelle du compte peut se produire pour vos utilisateurs pendant le processus de configuration. L'annulation de l'activation du SSO sur le compte peut être effectuée à tout moment si la configuration échoue.
- À tout moment, même lorsque la configuration SSO est active, il est possible pour un administrateur de se connecter au compte à l'aide de l'adresse électronique et du mot de passe en utilisant l'une des URL suivantes :
- https://www.codingame.com/work/login?forcePassword (site américain)
- https://www.codingame.eu/work/login?forcePassword (site de l'UE)
- Il se peut que vous souhaitiez d'abord tester l'intégration sur un compte Screen de test. Dans ce cas, contactez votre gestionnaire de compte Screen pour configurer ce compte de test.
La configuration du SSO est généralement divisée en plusieurs étapes :
Activer la configuration du SSO
1. Ouvrez un ticket avec l'équipe d'assistance de CoderPad en demandant l'activation du SSO et, éventuellement, le provisionnement des utilisateurs.
2. L'équipe d'assistance vous renverra trois paramètres URL liés au SSO :
- ID de l'entité SP
- URL du consommateur de SP Assertion
- URL des métadonnées SP
Et deux paramètres liés au provisionnement des utilisateurs si demandé :
- URL de base SCIM
- Token secret SCIM
4. Configurez une application d'entreprise dans Azure AD correspondant à Screen :
- Option : "Créez votre propre application"
- Option : "Intégrer toute autre application"
5. Activez le SSO avec SAML pour cette application. Modifiez la Configuration SAML de base comme suit :
- Identifiant (Entity ID) = SP Entity ID (de l'équipe de support CoderPad)
- URL de réponse (ACS URL) = SP Assertion Consumer URL (de l'équipe de support CoderPad)
- Laissez les autres champs vides
6. Modifiez l'Attribut et réclamations et ajoutez une nouvelle réclamation :
- Nom de la demande = User.Email
- Valeur = user.userprincipalname
7. À des fins de test :
- Ajoutez un utilisateur à l'application dans Azure AD. Comme alternative, vous pouvez ajouter un groupe contenant votre utilisateur de test.
- Invitez le même utilisateur à votre compte Screen
8. Renvoyez le fichier XML des métadonnées de la fédération à l'équipe d'assistance de CoderPad. Vous pouvez accéder à ce fichier dans la troisième section de la page de configuration SSO.
9. Contactez le support CoderPad pour organiser une réunion entre un de nos ingénieurs et vos administrateurs système. Au cours de cette réunion, CoderPad activera le SSO sur votre compte et vous pourrez vérifier que l'utilisateur test peut se connecter via le SSO. Tout ajustement final peut être fait en temps réel pendant cet appel.
10. À partir de maintenant, tout utilisateur ajouté à la fois à l'application Azure AD et au compte Screen sera authentifié par Azure AD.
✅Comme l'ajout d'utilisateurs des deux côtés peut être fastidieux et contre-productif, vous pouvez activer le provisionnement des utilisateurs également sur votre instance Azure AD.
Ajout du provisionnement des utilisateurs
Une fois le SSO activé, le provisionnement des utilisateurs peut être activé à l'aide du protocole SCIM :
1. À partir de l'application Azure AD, sélectionnez Provisionnement, puis Démarrer :
2. Sélectionnez le mode de provisionnement Automatique.
3. Ajoutez les paramètres suivants :
- URL du locataire = URL de la base SCIM (par l'équipe de support de CoderPad)
- Token secret = Token secret SCIM (de l'équipe de support CoderPad)
4. L'action Tester la connexion devrait fonctionner correctement à ce stade.
5. Modifiez les mappages de provisionnement :
- Pour Provisionner les groupes Azure Active Directoryconservez les valeurs par défaut :
- Activé: Oui
- Actions de l'objet cible: Créer, Mettre à jour, Supprimer
- Mappages d'attributs: affichage
- Nom, membres
- Pour Provisionner les utilisateurs Azure Active Directorymettre à jour les mappages d'attributs :
- Activé: Oui
- Actions de l'objet cible: Créer, Mettre à jour, Supprimer
- Mappages d'attributs :
- nom d'utilisateurPrincipalName = nom d'utilisateur (c'est-à-dire l'adresse électronique de connexion)
- Interrupteur([IsSoftDeleted]...) = actif
- nom de famille = nom.prénom
- nom de famille = nom.nom de famille
❗Veillez à effacer le mapping de l'attribut utilisateur avant de le mettre à jour. Tout mapping avec [type eq...] - c'est-à-dire
addresses[type eq "work"].country
- fera planter le SSO. La bibliothèque que nous utilisons ne prend pas en charge les charges utiles qui incluent des filtres de sélection de valeurs (comme [type eq....]), vous devrez donc vous assurer qu'ils sont supprimés.
6. Ajoutez des utilisateurs et des groupes à l'application :
- Les utilisateurs ajoutés directement seront créés sans aucune autorisation sur votre compte écran.
- Les groupes permettent de définir un ensemble commun de permissions automatiquement attribuées aux utilisateurs de ce groupe.
7. Dans le menu de provisionnement :
- Démarrer le provisionnement
- Rafraîchir et attendre le "Statut du cycle actuel : Cycle initial terminé"
8. Envoyez une demande finale à l'équipe de support CoderPad en précisant les autorisations d'écran dont vous avez besoin pour chaque groupe attaché à l'application Azure AD. Vous pouvez également le faire pendant la réunion pour accélérer le processus.
9. Désormais, les utilisateurs ajoutés à vos groupes seront automatiquement créés dans Screen avec les autorisations appropriées.