Index des Docs

Microsoft Azure AD

Dernière mise à jour le - Available in English

Ce document décrit les étapes nécessaires pour activer le SSO sur votre compte Screen en utilisant le protocole SAML avec Microsoft Azure AD. Pour l'instant, le protocole OAuth2 n'est pas pris en charge.

Le SSO peut également être combiné au provisionnement des utilisateurs par le biais du protocole SCIM.

Conditions préalables à l'activation du SSO pour votre compte Screen :

  1. Vous devez avoir un Entreprise ou Plus compte.
  2. Vous devez disposer des droits d'administrateur pour votre compte Screen.
  3. Vous devez identifier la personne de votre côté qui sera en mesure de mettre en œuvre les changements de configuration requis sur votre compte Microsoft Azure AD, c'est-à-dire votre administrateur système.

Considérations importantes :

  • Un échec de connexion à l'échelle du compte peut se produire pour vos utilisateurs pendant le processus de configuration. L'annulation de l'activation du SSO sur le compte peut être effectuée à tout moment si la configuration échoue.
  • À tout moment, même lorsque la configuration SSO est active, il est possible pour un administrateur de se connecter au compte à l'aide de l'adresse électronique et du mot de passe en utilisant l'une des URL suivantes :
  • Il se peut que vous souhaitiez d'abord tester l'intégration sur un compte Screen de test. Dans ce cas, contactez votre gestionnaire de compte Screen pour configurer ce compte de test.

La configuration du SSO est généralement divisée en plusieurs étapes :

  1. Activer la configuration du SSO
  2. Ajouter le provisionnement des utilisateurs

Activer la configuration du SSO

1. Ouvrez un ticket avec l'équipe d'assistance de CoderPad en demandant l'activation du SSO et, éventuellement, le provisionnement des utilisateurs.

2. L'équipe d'assistance vous renverra trois paramètres URL liés au SSO :

  • ID de l'entité SP
  • URL du consommateur de SP Assertion
  • URL des métadonnées SP

  Et deux paramètres liés au provisionnement des utilisateurs si demandé :

  • URL de base SCIM
  • Token secret SCIM

4. Configurez une application d'entreprise dans Azure AD correspondant à Screen :

  • Option : "Créez votre propre application"
Centre d'administration MS Azure AD avec une flèche pointant vers "applications d'entreprise".
Page des demandes avec le bouton "nouvelle demande" en haut au centre de la page mis en évidence.
Page de la galerie Azure AD avec le bouton "créer votre propre application" en surbrillance.
  • Option : "Intégrer toute autre application"
La fenêtre Créer votre propre application est ouverte, l'option "intégrer toute autre application que vous ne trouvez pas dans la galerie (non-galerie)" est mise en évidence.

5. Activez le SSO avec SAML pour cette application. Modifiez la Configuration SAML de base comme suit :

  • Identifiant (Entity ID) = SP Entity ID (de l'équipe de support CoderPad)
  • URL de réponse (ACS URL) = SP Assertion Consumer URL (de l'équipe de support CoderPad)
  • Laissez les autres champs vides

6. Modifiez l'Attribut et réclamations et ajoutez une nouvelle réclamation :

  • Nom de la demande = User.Email
  • Valeur = user.userprincipalname

7. À des fins de test :

  • Ajoutez un utilisateur à l'application dans Azure AD. Comme alternative, vous pouvez ajouter un groupe contenant votre utilisateur de test.
  • Invitez le même utilisateur à votre compte Screen

8. Renvoyez le fichier XML des métadonnées de la fédération à l'équipe d'assistance de CoderPad. Vous pouvez accéder à ce fichier dans la troisième section de la page de configuration SSO.

La troisième section du SSO est affichée, sous le titre SAML certificates, puis Token signing certificate. Une flèche pointe vers le lien federation metadata xml.

9. Contactez le support CoderPad pour organiser une réunion entre un de nos ingénieurs et vos administrateurs système. Au cours de cette réunion, CoderPad activera le SSO sur votre compte et vous pourrez vérifier que l'utilisateur test peut se connecter via le SSO. Tout ajustement final peut être fait en temps réel pendant cet appel.

10. À partir de maintenant, tout utilisateur ajouté à la fois à l'application Azure AD et au compte Screen sera authentifié par Azure AD.

✅Comme l'ajout d'utilisateurs des deux côtés peut être fastidieux et contre-productif, vous pouvez activer le provisionnement des utilisateurs également sur votre instance Azure AD.

Ajout du provisionnement des utilisateurs

Une fois le SSO activé, le provisionnement des utilisateurs peut être activé à l'aide du protocole SCIM :

1. À partir de l'application Azure AD, sélectionnez Provisionnement, puis Démarrer :

La page de provisionnement de CodinGame est représentée avec une flèche pointant vers l'option de provisionnement dans la nef de gauche. Le bouton "get started" au centre de la page est mis en évidence.

2. Sélectionnez le mode de provisionnement Automatique.

Le menu déroulant du mode de provisionnement est affiché avec une flèche pointant vers l'option "automatique".

3. Ajoutez les paramètres suivants :

  • URL du locataire = URL de la base SCIM (par l'équipe de support de CoderPad)
  • Token secret = Token secret SCIM (de l'équipe de support CoderPad)
Page d'identification de l'administrateur avec l'url du locataire et les champs de saisie du jeton secret affichés.

4. L'action Tester la connexion devrait fonctionner correctement à ce stade.

5. Modifiez les mappages de provisionnement :

  • Pour Provisionner les groupes Azure Active Directoryconservez les valeurs par défaut :
    • Activé: Oui
    • Actions de l'objet cible: Créer, Mettre à jour, Supprimer
    • Mappages d'attributs: affichage
    • Nom, membres
  • Pour Provisionner les utilisateurs Azure Active Directorymettre à jour les mappages d'attributs :
    • Activé: Oui
    • Actions de l'objet cible: Créer, Mettre à jour, Supprimer
    • Mappages d'attributs :
      • nom d'utilisateurPrincipalName = nom d'utilisateur (c'est-à-dire l'adresse électronique de connexion)
      • Interrupteur([IsSoftDeleted]...) = actif
      • nom de famille = nom.prénom
      • nom de famille = nom.nom de famille

❗Veillez à effacer le mapping de l'attribut utilisateur avant de le mettre à jour. Tout mapping avec [type eq...] - c'est-à-dire addresses[type eq "work"].country - fera planter le SSO. La bibliothèque que nous utilisons ne prend pas en charge les charges utiles qui incluent des filtres de sélection de valeurs (comme [type eq....]), vous devrez donc vous assurer qu'ils sont supprimés.

6. Ajoutez des utilisateurs et des groupes à l'application :

La page "utilisateurs et groupes" est affichée avec une flèche pointant vers le lien "utilisateurs et groupes" dans le menu de gauche. En haut au centre de l'écran, le bouton "Ajouter un utilisateur/groupe" est mis en évidence.
  • Les utilisateurs ajoutés directement seront créés sans aucune autorisation sur votre compte écran.
  • Les groupes permettent de définir un ensemble commun de permissions automatiquement attribuées aux utilisateurs de ce groupe.

7. Dans le menu de provisionnement :

  • Démarrer le provisionnement
  • Rafraîchir et attendre le "Statut du cycle actuel : Cycle initial terminé"
Tableau de bord Azure avec "Aperçu" en surbrillance dans le menu de navigation de gauche et une flèche pointant vers le bouton "Démarrer le provisionnement" au centre de l'écran.

8. Envoyez une demande finale à l'équipe de support CoderPad en précisant les autorisations d'écran dont vous avez besoin pour chaque groupe attaché à l'application Azure AD. Vous pouvez également le faire pendant la réunion pour accélérer le processus.

9. Désormais, les utilisateurs ajoutés à vos groupes seront automatiquement créés dans Screen avec les autorisations appropriées.