Menu
Azure Active Directory (Azure AD) est un service de gestion des identités et des accès basé sur le cloud, proposé par Microsoft dans le cadre de sa suite de services cloud Azure. En tant que solution d’entreprise robuste, Azure AD fournit une plateforme sécurisée pour la gestion centralisée des identités d’utilisateurs et des accès aux applications et services.
L’un des aspects clés d’Azure AD est sa prise en charge de l’authentification OAuth, un standard ouvert largement adopté pour l’authentification et l’autorisation. L’authentification OAuth dans Azure AD permet aux applications, telles que la plateforme THEIA, de déléguer la vérification des identifiants d’utilisateur à Azure AD.
Sur THEIA, les espaces de configuration sur un annuaire Azure permettent de prendre en charge, outre la partie authentification, la création et la mise à jour automatique des comptes utilisateurs, l’ajout d’attributs supplémentaires, la synchronisation et le mapping des groupes issus de l’annuaire, la prise en charge d’un attribut dédié au « matricule » étudiant.
1. Prérequis et informations diverses
Prérequis :
Azure AD
Tenant ID
Autorisation d’application THEIA : ajouter l’application THEIA dans Azure AD (New Application)
Attribut de mapping (non vide) : username
Compte actif sur la plateforme THEIA et disposant d’un droit de configuration du SSO
Variable permettant le mapping : username
Synchronisation et mise à jour des informations : automatique à la connexion côté utilisateur, automatique une fois par jour (ou manuelle) pour les groupes.
2. Couverture fonctionnelle
3. Configuration dans THEIA
En dehors du paramétrage de l’ADFS, annuaire ou portail faisant office de fournisseur d’identité numérique, vous devez intervenir sur la configuration de votre plateforme THEIA afin d’ouvrir les accès SSO sur le protocole SAML et d’en délimiter les options de mapping.
Une interface de configuration dédiée est accessible sur votre plateforme, dans la rubrique « Paramètres » – « Configuration SSO » – « Azure AD » ou via l’url https://elffe.theia.fr/sso/config/azure-ad
Pour accéder à cette interface, vous devez disposer d’un compte actif THEIA disposant du droit « Administrer les paramètres SSO«
4. Configuration générale
Grâce au paramètre Tenant ID, la plateforme sera en mesure d’identifier l’annuaire Azure AD dans lequel sont renseignées les données des utilisateurs.
Les cases suivantes autorisent les utilisateurs à accéder à la plateforme grâce à l’annuaire Azure et à créer automatiquement leurs comptes s’ils n’existent pas déjà. En effet, si le compte est déjà présent sur la plateforme, ses informations seront mises à jour, lors de chaque connexion, grâce aux données issues de l’annuaire Azure.
5. Association des utilisateurs
Lorsque l’annuaire Azure dispose d’utilisateurs présents sur différentes plateformes, il convient de renseigner le nom ainsi que la valeur attendue de l’attribut.
Par exemple, si mon annuaire contient un attribut plateforme_theia pour chacun de mes utilisateurs avec deux valeurs possibles : GRENOBLE ou PARIS, alors, il est important de l’indiquer dans cet espace afin que la plateforme THEIA puisse correctement être identifiée à chaque connexion.
Aussi, le champ matricule peut être automatiquement complété lors de la connexion de l’utilisateur. La plateforme récupère la valeur de l’attribut associé à l’élément configuré (ex : numero_etudiant).
Les attributs supplémentaires sont ajoutés, sur demande, par THEIA afin d’enrichir les comptes utilisateurs avec des informations complémentaires.
Ces éléments peuvent également être pris en compte lors du paramétrage en remplissant dans un premier temps, le champ « Champ du profil utilisateur Azure », puis en indiquant la correspondance au niveau de la plateforme (« Colonne ELFFE additionnelle »).
6. Gestion des groupes
Les groupes issus de l’annuaire Azure peuvent enfin automatiquement être créés sur la plateforme grâce à une tache de synchronisation réalisée quotidiennement.
Avec le premier champ, il est possible de filtrer la requête afin de récupérer seulement un sous-ensemble de la collection liée au groupe. Si nécessaire, les chaines de caractères non souhaitées peuvent être écartées, via la seconde zone de saisie, afin que le nom du groupe Azure corresponde à celui de la plateforme. Les filtres sont configurés tel que décrit par Microsoft dans sa documentation : documentation Microsoft
La case à cocher suivante autorise, lors de la synchronisation quotidienne, la modification du nom du groupe sur la plateforme par la valeur issue de l’annuaire Azure. En effet le mapping entre les groupes Azure et THEIA s’effectue sur leur IDs et non leur noms
A sa création, le groupe sera associé à la catégorie configurée.
7. Aide au diagnostic, détection des anomalies
Parmi les erreurs récurrentes :
Tenant ID invalide ou absent : si le Tenant ID d’Azure AD n’est pas correctement configuré ou est absent, la connexion entre Azure AD et THEIA ne pourra pas être établie. Vérifiez que le Tenant ID d’Azure AD est correctement renseigné dans la configuration SSO de THEIA. Assurez-vous également que ce Tenant ID correspond bien à votre annuaire Azure AD.
Attributs d’utilisateur non conformes : lorsque les attributs d’utilisateur d’Azure AD ne correspondent pas aux champs attendus par THEIA, cela peut entraîner des erreurs de mappage et d’authentification. Assurez-vous que les attributs d’utilisateur dans Azure AD, tels que le nom d’utilisateur, l’adresse e-mail, etc., sont correctement mappés aux champs correspondants dans la configuration SSO de THEIA.
Échec de synchronisation des groupes: si les groupes d’Azure AD ne sont pas correctement synchronisés avec THEIA, cela peut entraîner des erreurs d’assignation de groupe ou des groupes manquants. Revérifiez les paramètres de synchronisation des groupes dans la configuration SSO de THEIA. Assurez-vous que les filtres et les noms des groupes sont correctement configurés pour correspondre à ceux d’Azure AD.
Problème de correspondance d’attribut de matricule : si l’attribut de matricule spécifié dans Azure AD n’est pas correctement mappé dans THEIA, cela peut entraîner des erreurs lors de la création ou de la mise à jour des comptes utilisateurs. Vérifiez que l’attribut de matricule est correctement configuré dans Azure AD et correctement mappé dans la configuration SSO de THEIA.
Échec de connexion SSO due à une configuration incorrecte: des configurations incorrectes côté annuaire, telles que des URL de redirection mal configurées, peuvent entraîner un échec de la connexion SSO. Vérifiez toutes les configurations liées à l’authentification SSO dans THEIA, y compris les URL de redirection, les clés secrètes, et les certificats pour s’assurer qu’ils sont corrects et à jour.
Absence de création automatique des comptes utilisateurs : si l’option de création automatique des comptes utilisateurs n’est pas activée, les utilisateurs d’Azure AD ne pourront pas accéder à THEIA si leur compte n’existe pas déjà sur la plateforme. Activez l’option de création automatique des comptes utilisateurs dans la configuration SSO de THEIA pour permettre la création de comptes lors de la première connexion des utilisateurs d’Azure AD.