Fédération Azure AD
Introduction
Cette section décrit tous les composants et toutes les actions à mettre en oeuvre pour disposer d’une fédération d’identité entre les applications du SSO Moovapps et un ou plusieurs Azure AD.
Qu’est ce que la fédération d’identité ?
Il s’agit du moyen de relier l’identité électronique et les attributs d’une personne, stockés dans plusieurs systèmes de gestion d’identité distincts.
Les acteurs principaux de la fédération sont :
- Les fournisseurs d’identité (IDP) : l’entité qui fait l’authentification
- Les fournisseurs de services (Service provider) : l’application qui propose le service
La fédération implique un dispositif permettant la synchronisation des annuaires des différents systèmes fédérés
Principes de la fédération Moovapps/Azure AD
Synchronisation des annuaires
Depuis la version 10.1.0 de Moovapps Workplace, un attribut étendu « ADDomain » associé à l’utilisateur peut être utilisé pour indiquer à Moovapps Identity un ADDomain autre que la valeur par défaut « Workplace ». Il suffit de renseigner la valeur de cet attribut au niveau de la fiche de l’utilisateur pour que la valeur de l’ADDomain soit modifiée dans Moovapps Identity.
Composants
La mise en oeuvre de la fédération de Moovapps avec Azure AD implique de disposer des composants suivants :
- Une instance de Moovapps Workplace
- En version 10.1+
- Avec Moovapps ETL en version 4.2.0+
- Un tenant Moovapps Identity
- Un tenant Azure AD B2B
- Avec un compte disposant de suffisamment de droits d’administration pour être en mesure de déclarer une application d’entreprise
Procédure
Etapes clefs
| Quoi ? | Description | Qui ? | Quand ? |
|---|---|---|---|
| Installer les composants | Disposer des composants dans la bonne version (Process 17.1, ETL 4.2.0) | Consultant Visiativ | En amont du projet |
| Configurer Azure AD client | Déclarer les applications Moovapps dans l’Azure AD client (2 applications Azure à créer) | Client | Quelques jours avant la mise en place de la fédération |
| Connexion OpenID dans Process | Ajouter une connexion aux données externes de type OpenID pour la synchro ETL | Consultant Visiativ | Avant les tests |
| Configurer Moovapps ETL | Configurer Moovapps ETL (fichier XML de configuration avec le driver Azure AD) | Consultant Visiativ | Avant les tests |
| Configurer Moovapps SSO | Mise en place de la délégation Azure AD dans Visiativ Team ou Visiativ Process | Consultant Visiativ | Dès que l’Azure AD client est configuré |
| Tester | Tester que les utilisateurs sont bien synchronisés dans Process et que la délégation fonctionne | Consultant Visiativ et Client | Quand tout est configuré |