Configuration Azure
  • 07 Jan 2024
  • 6 Minutes à lire
  • Contributeurs
  • Sombre
    Clair
  • PDF

Configuration Azure

  • Sombre
    Clair
  • PDF

Résumé de l’article

Login et synchronisation des utilisateurs - Intégration avec Azure AD / Entra ID

L'environnement Azure évolue rapidement et les instructions qui suivent sont mises à jour périodiquement pour s'y adapter. N'hésitez pas à aviser l'équipe Constellio si vous remarquez une information inexacte.

1. Pré-requis

Avant de commencer, il est nécessaire d'avoir synchronisé votre Active Directory dans le service Azure AD / Entra ID. Pour plus de détails sur les approches de synchronisation, consulter ce site.

Pour une vidéo des étapes à suivre, suivre le lien suivant https://constellio.talentlms.com/shared/start/key:LBLIDNHR

1.1. Notes importantes

Azure Active Directory (Azure AD) / Entra ID offre deux méthodes d'accès aux données : Azure AD Graph et Graph API. Cependant, l'API Azure AD Graph de Microsoft sera bientôt obsolète et ne sera plus utilisable. Pour continuer à accéder aux ressources LDAP Azure AD / Entra ID, il est nécessaire de migrer de l'API "Azure AD Graph" à l'API "Graph API".
Veuillez vous référer à la documentation de Microsoft pour obtenir plus d'informations sur la manière de migrer de l'API Azure AD Graph à l'API Graph API.

Actuellement, Constellio prend en charge à la fois Azure AD Graph et Graph API. Pour distinguer entre les deux méthodes d'accès, nous utilisons les dénominations suivantes :

  • Azure AD Graph (qui sera bientôt obsolète) est appelé "Azure AD (Déprécié)" dans Constellio.
  • Graph API est appelé "Azure AD (Graph API)" dans Constellio.

2. Enregistrement de Constellio dans Azure AD / Entra ID

Constellio. comme toute application nécessitant l'utilisation des services et ressources d'Azure AD / Entra ID, doit d'abord être enregistrée dans le tenant à utiliser. Un seul enregistrement est nécessaire pour fournir les deux fonctions suivantes : 

  1. Enregistrement pour autoriser la lecture des données des utilisateurs et de groupes
  2. Enregistrement pour autoriser l'authentification.

2.1 Enregistrement pour autoriser la lecture des données des utilisateurs et de groupes

  1. Se connecter au portail Azure https://portal.azure.com

2.1.1 Inscription d'applications

  1. Ouvrir le service Azure Active Directory / Entra ID.
  2. Cliquer sur l'option «Inscription des applications / App registrations».
  3. Cliquer sur l'option «Nouvelle inscription / New registration».
  4. Entrer un «Nom / Name» (ex. Constellio), avec les options par défaut et entrer l'URL de votre environnement Constellio (ex. https://votre-organisation.cloud.constellio.com/constellio) et cliquer sur «S'inscrire / Register».
  5. Après l'enregistrement, on présente les données de l'application enregistrée.
    À prendre en note
    Il est important de noter le Directory (client) ID qui sera utilisé pour remplir la valeur tenant ID dans Constellio pour les onglets.
    Il faut aussi noter l'Application (client) ID qui sera utilisé pour remplir la valeur Identifiant du client dans Constellio pour les onglets Authentification et Synchronisation dans Constellio.

2.1.2 API autorisées

  1. Dans la section API autorisées / API permissions, vous pouvez ajouter les autorisations nécessaires en fonction de l'API d'accès que vous choisissez (Azure AD Graph ou Graph API). Veuillez noter que vous pouvez utiliser les deux APIs simultanément.
  2.  Cliquer sur Ajouter une autorisation
  3. Lorsque vous utilisez l'API Graph API de Microsoft pour accéder aux données dans Azure AD / Entra ID
     
  4. Cliquer sur «Application permissions».
  5. Ensuite, cochez «Group.Read.All» et «User.Read.All»
  6. Cliquer sur «Autorisations déléguées » et cochez la permission «User.Read»
  7. Les permissions minimales devraient apparaître comme suit :  

2.1.3 Lors de l'utilisation de l'API Azure AD Graph

Lorsque vous utilisez l'API Azure AD Graph de Microsoft pour accéder aux données dans Azure AD / Entra ID

  1. Cliquer sur «Permission déléguées/Application permissions», ensuite cocher «Directory.Read.All» et cliquer «Ajouter permissions/Add permissions».
  2. Cliquer sur le bouton «Accorder un consentement d'administrateur pour Constellio/Grant admin consent forConstellio» et ensuite «Oui».

2.1.4 Manifeste

  1. Ensuite dans «Manifeste», modifier la valeur de «allowPublicClient» à «true» et sauvegarder.

2.1.5 Certificats et secrets

  1.  Ensuite aller dans «Certificats & secrets/Certificates & secrets».
  2. Et créer un nouveau « Nouveau secret client / New client secret». Si vous indiquez une expiration autre que «Jamais/Never», vous devrez vous assurer de mettre à jour la clé avant l'expiration.
  3. Copier ensuite la valeur de la clé générée. La clé va dans «Clé de l'application» dans l'onglet «Synchronisation» de Constellio.

2.2 Configuration de Constellio

  1. Avec le menu en haut à gauche et en tant qu'utilisateur administrateur, aller dans « Pilotage ». Dans la section «Pilotage du système», sélectionner «Annuaire LDAP»;
  2. L'écran «Configuration LDAP» est affiché. Cocher l'option «Activer LDAP».
  3. Dans la liste déroulante "Service de répertoire", sélectionnez l'une des deux options suivantes : 
    1. Sélectionnez "Azure AD (Déprécié)" si vous souhaitez accéder à LDAP en utilisant l'API Azure AD Graph (Notez que cette API sera bientôt obsolète chez Microsoft).
    2. Sélectionnez "Azure AD (Graph API)" si vous souhaitez accéder aux données LDAP en utilisant l'API Graph de Microsoft.
  4. Dans l'onglet «Authentification»;
    • Mettre l'identifiant copié comme valeur du champ Identifiant du client.
    • Mettre l'identifiant ou le nom du tenant Azure AD comme valeur du champ tenant ID.
    • Mettre un nom d'utilisateur de test valide qui servira pour vérifier la fonctionnalité d'authentification auprès Azure AD. Il est possible que le courriel de l'utilisateur. 
    • Mettre le mot de passe correspondant au nom d'utilisateur de test.
  5. Dans l'onglet «Synchronisation»;
    • Mettre l'identifiant copié comme valeur du champ Identifiant du client.
    • Mettre l'identifiant copié dans valeur du champ Clé de l'application.
    • Indiquer un horaire de synchronisation (normalement une heure fixe en soirée).
  6. Cliquer sur «Tester la configuration» pour valider votre configuration;
    Parfois, Constellio peut afficher un message d'erreur "privilèges insuffisants" lors du test de la configuration. Cela indique que les autorisations ne sont pas définies correctement. Dans ce cas, vous devriez :
    1. Consulter les permissions de votre tenant Azure et vérifier que vous avez correctement ajouté les permissions, comme indiqué à l'étape g de la section précédente.
    2. Si la configuration des permissions est correcte, veuillez patienter quelques minutes pour que les modifications des permissions soient effectives dans Azure AD / Entra ID, car cela ne se fait pas instantanément.
    3. Si le message d'erreur persiste, essayez d'ajouter et de supprimer des permissions supplémentaires (plusieurs essais peuvent être nécessaires) dans Azure AD / Entra ID, car cela semble débloquer les privilèges. Assurez vous que vous n'avez que les privilèges requis à la fin,
  7. Enfin cliquer «Activer LDAP» (en haut à droite), ensuite sur «Enregistrer». «Redémarrer Constellio» dans Pilotage -> Centre de mise à jour.

3. Single-Sign On (SSO) avec possibilité de multi-facteurs - Activation du SSO avec Azure AD / Entra ID

3.1 Pré-requis

Avant de commencer, il est nécessaire qu'Azure AD / Entra ID soit déjà intégré avec Constellio afin que la synchronisation des utilisateurs entre Azure AD et Constellio s'effectue correctement. Si ce n'est pas le cas, les utilisateurs Azure AD / Entra ID doivent être créés manuellement dans Constellio. Pour intégrer Azure AD / Entra ID avec Constellio, référez-vous au guide Documentation technique - Intégration d'Azure AD / Entra ID dans Constellio

Installation de Office 365 et le module SSO d'Azure
Si vous devez installer le module Espace 365 ainsi que le SSO Azure AD / Entra ID, vous devez inscrire toutes les configurations demandées pour chaque module dans une seule application Azure AD / Entra ID (Url de redirection, API autorisées, etc.)
Ceci n'est pas nécessaire si votre module SSO n'est pas avec Azure AD / Entra ID, mais qu'il est avec Kerberos ou autre technologies.

Consulter la configuration du module Espace 365

3.2 Inscription de l'application SSO dans Azure AD / Entra ID

  1. Se connecter au portail Azure https://portal.azure.com
  2. Cliquer sur l'icône «Azure Active Directory / Entra ID» dans le menu de gauche;
  3. Cliquer sur l'option «Inscription des applications»;  
  4. Cliquer sur l'option «Nouvelle inscription d'application»;
  5. Entrer un Nom (Ex. Constellio-SSO), choisissez l'option «Application/API web» et entrer l'URL de votre environnement Constellio suivi de /secure/aad (ex : https://client.cloud.constellio.com/constellio/secure/aad).
  6. Après l'enregistrement, on présente les données de l'application enregistrée. Notez l'ID d'application qui sera utilisé pour remplir la valeur identifiant du client dans Constellio pour le SSO.
  7. Ensuite, sélectionner l'application nouvellement enregistrée, et cliquer Paramètres dans le menu en haut;
  8. Dans la section Clés, créer une clé en choisissant une durée d'expiration.
  9. Notez la valeur affichée après enregistrement.
  10. Notez la valeur qui sera utilisée pour remplir la valeur Secret du client dans Constellio pour le SSO.
  11. Dans la section Autorisations requises, cliquer sur Ajouter et ajouter ensuite une autorisation déléguée Sign in and read user profile. Cliquer ensuite sur le bouton Terminé pour confirmer le tout;


3.3 Configuration de Constellio

  1. Avec le menu en haut à gauche et en tant qu'utilisateur administrateur, aller dans Pilotage. Dans la section Pilotage du système, sélectionner Configuration;
  2. L'écran Gestion de la configuration est affiché. Sélectionner l'onglet Authentification unique;
  3. Dans l'onglet Authentification unique
    • Mettre l'identifiant du client comme valeur du champ ID du client Azure AD
    • Mettre le secret du client comme valeur du champ Secret du client Azure AD
    • Mettre l'identifiant ou le nom du locataire/tenant Azure AD comme valeur du champ Locataire Azure AD.
    • Cocher les cases Activé et Activé pour l'agent.
    • S'assurer que les champs reliés aux autres SSO (CAS, KDC) sont vides.

   4. Cliquer sur Enregistrer pour confirmer vos changements et aller à la section Pilotage -> Centre de mise à jour pour redémarrer Constellio.






Cet article vous a-t-il été utile ?

Changing your password will log you out immediately. Use the new password to log back in.
First name must have atleast 2 characters. Numbers and special characters are not allowed.
Last name must have atleast 1 characters. Numbers and special characters are not allowed.
Enter a valid email
Enter a valid password
Your profile has been successfully updated.