Passer au contenu principal
Cet article vous propose un guide complet pour configurer l’authentification unique (SSO) à l’aide d’Azure Active Directory (AD) comme fournisseur d’identité. En intégrant Azure AD à EKB, votre organisation peut améliorer l’authentification des utilisateurs en permettant aux utilisateurs d’accéder à la plateforme à l’aide de leurs identifiants Microsoft existants. Vous trouverez les prérequis, les étapes de configuration détaillées et des conseils de dépannage spécifiquement pour l’authentification SSO d’Azure AD. L’utilisation de l’authentification SSO d’Azure AD offre plusieurs avantages clés :
  • Authentification centralisée - Une seule connexion pour toutes les applications d’entreprise.
  • Sécurité renforcée - Accès contrôlé par l’organisation.
  • Gestion des utilisateurs - Approvisionnement et déprovisionnement centralisés des utilisateurs.
  • Conformité - Répond aux exigences de sécurité d’entreprise.
  • Expérience utilisateur - Expérience d’authentification transparente.

Configuration SSO d’Azure AD

Cette section décrit les étapes requises pour configurer l’authentification SSO d’Azure AD pour votre instance EKB.

Prérequis

Avant de continuer, vous devez disposer de ce qui suit ou contacter l’équipe respective pour obtenir de l’aide :
  • Accès administrateur au portail Azure.
  • Compte Microsoft 365 avec accès administrateur.
  • L’URL de votre instance EKB.

Étape 1 : Configuration de l’application Azure AD

  1. Accédez au portail Azure
    Visitez portal.azure.com et connectez-vous avec votre compte administrateur.
  2. Ouvrir les applications d’entreprise
    Dans le portail Azure, sous Services Azure, cliquez sur Applications d’entreprise.     Portail Azure – Applications d'entreprise
  3. Créer une application d’entreprise
    Cliquez sur Nouvelle application. Sur la page Parcourir la galerie Microsoft Entra, cliquez sur Créer votre propre application. Dans la boîte de dialogue qui s’ouvre, entrez un nom d’application (par exemple, « EKB »), sélectionnez Intégrer toute autre application que vous ne trouvez pas dans la galerie (Non-galerie), et cliquez sur Créer.     Azure – Créer votre propre application Azure – Créer votre propre application (boîte de dialogue)
  4. Configurer l’authentification unique
    Sur la page Démarrage de l’application, cliquez sur Configurer l’authentification unique (ou Démarrer sur cette carte). Sur Sélectionner une méthode d’authentification unique, choisissez SAML.     Azure – Démarrage – Configurer l'authentification unique Azure – Sélectionner une méthode d'authentification unique – SAML
  5. Configurer SAML (Configuration SAML de base)
    Dans Configuration SAML de base, entrez (pour EKB Cloud, utilisez les valeurs ci-dessous) :
    • Identificateur (ID d’entité) : https://api.getodin.ai/user/azure/sso/saml/acs/admin
    • URL de réponse (URL du service d’assertion d’audience) : https://api.getodin.ai/user/azure/sso/saml/acs/admin
    • URL de connexion : Laisser vide.
    • État de relais : default
    • URL de déconnexion : Laisser vide.
  6. Attributs et revendications utilisateur
    Dans Attributs et revendications, assurez-vous des mappages suivants (cliquez sur Modifier pour ajouter ou modifier) :
    • Identificateur utilisateur uniqueuser.userprincipalname
    • emailuser.mail
    • emailaddressuser.mail
    • givennameuser.givenname
    • surnameuser.surname
    • nameuser.userprincipalname
    • DisplayNameuser.displayname
    Azure – Attributs et revendications
  7. Assigner des utilisateurs
    Accédez à Utilisateurs et groupes > Ajouter un utilisateur/groupe, sélectionnez des utilisateurs ou des groupes, et cliquez sur Assigner. Les utilisateurs assignés se connecteront via SSO une fois la configuration terminée.

Étape 2 : Obtenir la configuration Azure

  1. Obtenir l’URL de métadonnées
    Dans votre application, accédez à Authentification unique > SAML. Dans la section Certificats SAML, copiez l’URL de métadonnées de fédération d’applications (utilisez l’icône de copie à côté). Envoyez cette URL au support EKB à l’étape 3.     Azure – Certificats SAML – URL de métadonnées de fédération d'applications

Étape 3 : Soumettre la configuration à EKB

L’équipe d’assistance d’EKB configurera et testera votre configuration SSO. Veuillez fournir les informations suivantes :
  1. Envoyer les détails de la configuration
    Envoyez un email à Support avec les informations suivantes :
    • Fournisseur : Azure AD (ou Azure)
    • ID d’entreprise : Le domaine de votre organisation (par exemple, company.com)
    • URL de métadonnées : L’URL de métadonnées de fédération d’applications de l’étape 2
    • SSO Connexion uniquement (Facultatif) : Spécifiez si vous souhaitez exiger l’authentification SSO pour tous les utilisateurs de ce domaine.
  2. Configuration EKB
    L’équipe d’assistance d’EKB configurera l’authentification SSO sur votre instance et testera la connexion. Vous serez averti une fois la configuration terminée.
  3. Teste
    L’équipe d’EKB testera la connexion SSO, et vous pourrez être invité à vérifier qu’elle fonctionne. Une fois confirmée, l’authentification SSO sera activée pour votre organisation.

Dépannage de l’authentification SSO d’Azure AD

Dans cette section, vous trouverez les problèmes courants et les solutions liées à l’authentification SSO d’Azure AD. Problème : Erreurs d’assertion SAML
Solutions :
  • Vérifiez que l’URL de réponse et l’identificateur (ID d’entité) correspondent à https://api.getodin.ai/user/azure/sso/saml/acs/admin.
  • Assurez-vous que l’état de relais est default ; laissez l’URL de connexion et l’URL de déconnexion vides.
  • Assurez-vous que les attributs utilisateur sont mappés correctement.
  • Vérifiez que le certificat est valide et non expiré.
Problème : Utilisateur introuvable après la connexion SSO
Solutions :
  • Vérifiez que l’utilisateur est assigné à l’application dans Azure AD.
  • Vérifiez le mappage d’attribut email.
  • Assurez-vous que l’utilisateur existe dans EKB.
  • Vérifiez que l’ID d’entreprise correspond au domaine email.

Contact

Pour les questions ou problèmes de configuration SSO, veuillez contacter Support.