Fédération d'identité - Microsoft Entra ID

AFFICHER TOUT LE CONTENU

Table des matières

Introduction

Octopus peut se connecter à Microsoft Entra ID (anciennement Azure AD) pour faciliter l'accès à l'application.

L'utilisation d'un fédérateur d'identité permet d'offrir une expérience intégrée de connexion à votre environnement Octopus. Vos utilisateurs et techniciens n'auront pas besoin de se créer un nouveau mot de passe pour utiliser les applications Octopus.

ATTENTION : Mode disponible pour les clients hébergés seulement.

 

Octopus peut se connecter à un fédérateur d’authentification pour faciliter l'accès à l'application en mode hébergé.

L'authentification unique peut être utilisée de manière indépendante pour les composantes suivantes, selon ce qui est supporté avec votre fédérateur : 

  • Le portail Web destiné aux utilisateurs finaux;
  • Les applications destinées aux intervenants (le client Windows WinUI, WebTech et Octopus 5).

 

Prérequis

  • Un domaine Active Directory (sur site, donc installé sur un serveur Windows dans votre infrastructure)

  • Un abonnement Microsoft Azure
  • Un domaine cloud hybride (mis à jour via AD Connect)
  • Une synchronisation active de vos utilisateurs entre votre domaine et Octopus
    • Via ADSIReader de votre domaine Active Directory vers Octopus
  • Une bonne connaissance des Applications d'entreprise de Microsoft Entra ID
AVERTISSEMENT :

L'implantation de ce mode d'authentification requiert d'avoir des ressources disponibles dans votre environnement pour configurer et supporter les composantes devant être déployées dans votre Microsoft Entra ID.

Le personnel d'Octopus, n'ayant pas accès à votre Microsoft Entra ID, ne peut pas vous aider à configurer cette partie.

Fonctionnement

Portail Web

Lorsque vos utilisateurs finaux vont arriver sur votre portail Web pour la première fois, ils seront automatiquement redirigés vers votre page d'authentification Microsoft Entra ID telle que vous l'aurez configurée. Ils seront invités à s'authentifier dans votre domaine. L'expérience sera très similaire à celle vécue lorsque les utilisateurs tentent d'accéder à des ressources Microsoft de votre environnement (telles Outlook ou Sharepoint).

Une fois le processus d'authentification complété, ils seront automatiquement redirigés vers le portail Web d'Octopus et seront automatiquement authentifiés.

Applications Windows

Client Windows pour les Techniciens (WinUI)

Au moment de lancer l'application Windows, une fenêtre de connexion Microsoft Entra ID apparaîtra. L'utilisateur sera invité à s'authentifier avec l'utilisateur qu'il désire utiliser pour se connecter dans Octopus. Une fois l'authentification terminée, l'application Windows sera lancée et authentifiée avec l'utilisateur qui aura été sélectionné.

Applications Batchs (MailIntegration, DataImporter, ADSIReader, etc...)

Il est important de comprendre que l'authentification unique d'une application batch, lancée par une tâche Windows, se fait dans le contexte de l'utilisateur Windows qui aura été configuré dans la tâche Windows.

Il existe deux façons de configurer l'authentification pour ces applications :

  1. Via les paramètres d'authentification usuels (/login - /password)
    • Vous devrez fournir le nom d'utilisateur / mot de passe du compte Microsoft Entra ID de l'utilisateur
    • Les informations d'authentification seront alors en clair dans votre configuration (batch file ou ligne de commande)
      • Il est possible d'encrypter le mot de passe (voir Outils | Générer le mot de passe chiffré pour Azure Active Directory)
  2. Via le seul paramètre du nom d'utilisateur (/login)
    • S'authentifier une première fois dans la session Windows et lancer l'application batch
    • Vous pourrez alors authentifier l'utilisateur correctement dans Microsoft Entra ID et les authentifications subséquentes se feront automatiquement
    • Vous n'aurez qu'à spécifier le nom d'utilisateur en paramètre afin de vous assurer que l'application s'authentifie correctement
IMPORTANT :

Afin que les deux systèmes (Octopus & Microsoft Entra ID) puissent identifier, de façon unique, un utilisateur, il doit exister une clé unique connue entre ces deux systèmes. Octopus utilise le UPN (User Principal Name) de l'utilisateur pour identifier les utilisateurs qui vont se connecter. Le UPN d'un utilisateur prend la forme d'une adresse courriel : nomutilisateur@domaine.com. Dans la majorité des cas, le UPN correspond à l'adresse courriel de l'utilisateur.

Il est également important de ne pas activer l'authentification multifactoriel (MFA) sur les comptes qui seront utilisés par les applications batch.

 

Synchronisation de l'UPN des utilisateurs

Octopus permet de synchroniser automatiquement le UPN des utilisateurs afin de faciliter la gestion de ces identifiants. Cette synchronisation peut se faire automatiquement via l'application ADSIReader. 

Lorsque la synchronisation de l'UPN sera fonctionnelle, vous trouverez, dans chaque fiche utilisateur, un nouveau nom d'utilisateur Windows qui correspondra au UPN de chaque utilisateur. Notez qu'un utilisateur Octopus peut avoir de multiples noms d'utilisateur Windows. Le point-virgule (;) est le caractère qui délimite chaque nom d'utilisateur.

Configuration de ADSIReader

  • Identifier l'endroit où est exécuté ADSIReader
  • Ouvrir le dossier où l'exécutable se retrouve
  • Faire une copie du fichier ADSIReaderLDAPMappings.xml et mettre cette copie dans un autre dossier que celui d'Octopus
  • Modifier ce fichier pour ajouter l'élément XML suivant :
    • <attribute LDAPAttribute="userPrincipalName" OctopusAttribute="UPN"/>
    • Ce nouvel élément doit être sous l'élément <mapping Name="User">, au même niveau que les attributs objectGUID, sAMAccountName, etc...
    • Sauvegarder le fichier
    • Prendre en note le chemin de ce fichier modifié
  • Modifier la ligne de commande existante d'ADSIReader pour y ajouter le paramètre suivant :
    • /ConfigFilePath:"[Chemin du fichier modifié ADSIReaderLDAPMappings.xml]"
  • Pour plus d'informations : ADSIReader - Importation à partir d'Active Directory

Alternative

Si l'utilisation d'ADSIReader n'est pas possible, il existe une alternative qui utilise DataImporter. L'idée en général ici consiste à exporter l'ensemble de vos utilisateurs présents dans Microsoft Entra ID et de préparer un fichier Excel.

Une fois le fichier Excel prêt, vous pouvez utiliser DataImporter pour remonter cette information dans Octopus.

Exportation des utilisateurs de Microsoft Entra ID

Vous devrez mettre en place un script (probablement Powershell) qui va obtenir la liste de vos utilisateurs et préparer un fichier Excel avec minimalement les colonnes suivantes : 

  • Prénom
  • Nom
  • Courriel
  • UPN

Importation des utilisateurs dans Octopus

Une fois le fichier Excel obtenu à l'étape précédente, vous devrez importer ces informations en utilisant DataImporter.

Pour plus d'informations : DataImporter - Importation des utilisateurs

 

Test de l'authentification via UPN 

Une fois que vous aurez synchronisé les UPNs de vos utilisateurs, testez que vous êtes en mesure de vous authentifier dans Octopus en utilisant votre UPN.

  • Lancer Octopus
  • Saisir un UPN comme nom d'utilisateur
    • Cela devrait ressembler à une adresse courriel : nomutilisateur@domaine.com
  • Mettre le mot de passe actuel d'Octopus

 

Authentification alternative de secours

Octopus permet aux utilisateurs ayant les permissions Administrer Octopus et Modifier les données communes à toutes les équipes de s'authentifier directement dans Octopus en contournant l'authentification intégrée. Cela permet à un administrateur d'avoir accès à Octopus advenant un problème avec la configuration du fédérateur d'identité.

IMPORTANT :

Lorsque cette méthode alternative d'authentification est utilisée, le mot de passe sauvegardé dans Octopus doit être utilisé. Ce mot de passe est celui que vous utilisez actuellement afin de vous authentifier.

Veuillez vous référer à l'étape précédente (Test de l'authentification via UPN) pour connaître vos identifiants de secours

Étapes pour utiliser l'authentification alternative de secours

  1. Enfoncer la touche MAJUSCULE (SHIFT) de votre clavier
  2. Pendant que la touche MAJUSCULE (SHIFT) est enfoncée, lancer le client Windows (WinUI)
  3. Maintenir la touche MAJUSCULE (SHIFT) enfoncée jusqu'à ce que la fenêtre d'authentification d'Octopus apparaisse
  4. Relâcher la touche MAJUSCULE (SHIFT)
  5. Saisissez votre nom d'utilisateur (probablement votre UPN si la synchronisation a correctement été mise en place) ainsi que le mot de passe Octopus que vous utilisiez avant. Ce mot de passe n'est pas le même que celui de votre domaine.

 

Configuration de Microsoft Entra ID

Afin de connecter Octopus et Microsoft Entra ID, il faut utiliser une Applications d'entreprise proprement configurée pour l'authentification intégrée.

Création d'une application d'entreprise

Voir en image

 

Configuration de l'authentification unique 

L'authentification unique pour le portail Web utilise la méthode SAML.

À partir de la page principale de l'application d'entreprise créée à l'étape précédente :

  • Cliquer sur le bouton 2. Configurer l'authentification unique
  • Cliquer sur le bouton SAML
  • Dans la section Configuration SAML de base, renseigner les champs suivants :
    1. Identification (ID d'entité) :
      • https://[nomdevotreenvironnement].octopus-itsm.com
    2. URL de réponse (URL Assertion Consumer Service) :

      • https://[nomdevotreenvironnement].octopus-itsm.com

    3. URL de connexion :

      • https://[nomdevotreenvironnement].octopus-itsm.com/web/login.aspx
  • Dans la section Attributs et revendications
    • Les revendications suivantes sont requises :
      • givenName
      • surname
      • emailaddress
      • name
    • Les valeurs proposées par défaut, telles qu'illustrées ici, sont les bonnes
  • Dans la section Certificats SAML
    • Prenez note de l'URL des métadonnées de fédération d'application.
    • Celle-ci a le format https://login.microsoftonline.com/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/federationmetadata/2007-06/federationmetadata.xml?appid=yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyyyyyyy
Voir en image

 

Configuration de l'application d'entreprise

Ces configurations sont nécessaires afin de faire fonctionner les applications Octopus correctement.

Ajout de la plateforme Applications de bureau et mobiles

  • Accéder à l'inscription de l'application (Voir la procédure en Annexe)
  • Cliquer sur l'item Authentification dans la section Gérer
  • Cliquer sur + Ajouter une plateforme
  • Cliquer sur Applications de bureau et mobiles
  • Cocher https://login.microsoftonline.com/common/oauth2/nativeclient
  • Cliquer sur Configurer pour sauvegarder les changements
  • Défiler la page jusqu'à la section Paramètres avancés
  • Mettre l'option Activer les flux mobiles et de bureau suivants à Oui
  • Cliquer sur le bouton Enregistrer, au bas de la page
Voir en image

Configuration des autorisations

  • Accéder à l'inscription de l'application (Voir la procédure en Annexe)
    1. Cliquer sur l'item API Autorisées dans la section Gérer
    2. Cliquer sur API Microsoft Graph
    3. Cliquer sur Microsoft Graph
  • Cliquer sur Autorisations déléguées
  • Dans la section "Autorisations OpenId",
    • Cocher openid Connecter les utilisateurs
  • Cliquer sur Ajouter des autorisations
Voir en image

Consentement administrateur

  • Accéder à la configuration de l'application d'entreprise (Voir la procédure en Annexe)
  • Cliquer sur l'item Autorisations dans la section Sécurité
  • Cliquer sur Accorder un constement d'administrateur pour [Votre nom de locataire Azure]
  • Confirmer le consentement
Voir en image

Autorisation des utilisateurs

Il faut ajouter chaque utilisateur de votre Microsoft Entra ID à utiliser l'application d'entreprise qui vient d'être créée. Deux choix sont possibles :

  1. Autorisation de tous les utilisateurs de votre entreprise
  2. Sélection manuelle des utilisateurs

Autorisation de tous les utilisateurs de votre entreprise

Pour rendre cette application disponible à tous vos utilisateurs, vous pouvez désactiver l'affectation requise d'utilisateurs pour cette application

  • Accéder à la configuration de l'application d'entreprise (Voir la procédure en Annexe)
  • Cliquer sur l'item Propriétés de la section Gérer
  • Changer la valeur de la propriété Affectation requise ? pour Non

​Quelques minutes sont parfois nécessaires avant que la configuration soit prise en compte par le système d'authentification.

Voir en image

Sélection manuelle des utilisateurs

  • Accéder à la configuration de l'application d'entreprise (Voir la procédure en Annexe)
  • Cliquer sur l'item Utilisateurs et groupes de la section Gérer
  • Ajouter les utilisateurs / groupes désirés en fonction de vos besoins

Quelques minutes sont parfois nécessaires avant que la configuration soit prise en compte par le système d'authentification.

Voir en image

Configuration de l'application Octopus 5

Cette configuration n'est requise que si vous utilisez l'application Octopus 5.

 Mise en garde 

Microsoft a récemment apporté des modifications au comportement des applications d'entreprise. Cette modification fait en sorte qu'il n'est plus possible de configurer simlutanément le portail Web et l'application Octopus 5 (et les API) pour l'authentification intégrée Microsoft Entra ID. Notre équipe de développement est au courant de la situation et des travaux sont actuellement planifiés pour corriger ce problème.

Sachant que le portail Web utilise le protocole SAML et Octopus 5 utilise un jeton JWT, vous pouvez consulter le site de Microsoft pour plus de détails : https://learn.microsoft.com/fr-ca/entra/fundamentals/whats-new#general-availability---new-saml-applications-cant-receive-tokens-through-oauth2oidc-protocols

Ajouter un URI de redirection

  • Accéder à l'inscription de l'application (Voir la procédure en Annexe)
  • Cliquer sur l'item Authentification dans la section Gérer
  • Cliquer sur Ajouter un URI dans la section Web
    • https://[nomdevotreenvironnement].octopus-itsm.com/octopus/
      IMPORTANT :

      Assurez-vous de suffixer le URI de redirection avec / à la fin.
Voir en image

Ajouter un secret client

  • Accéder à l'inscription de l'application (Voir la procédure en Annexe)
  • Cliquer sur l'item Certificats & secrets dans la section Gérer
    1. Cliquer sur + Nouveau secret client
    2. Description :
      • Octopus5
    3. Date d'expiration :

      • Sélectionner la période désirée selon votre politique de renouvellement des certificats et secrets

        IMPORTANT :

        Un secret client expiré empêchera l'authentification de tous les utilisateurs à l'application Octopus 5.
        Assurez-vous de nous communiquer le nouveau secret client avant l'expiration de l'ancien.
  • Cliquer sur Ajouter
  • Conserver la valeur du secret client dans un lieu sécurisé. Cette valeur devra être transmise au Centre de services Octopus afin de compléter la configuration
  • Contacter le Centre de services Octopus pour finaliser la configuration :
    • Portail Web :
    • Nouvelle requête :
      • Centre de services > J'ai besoin de... > Changement de configuration / données
    • Information additionnelle :
      • Préciser que vous êtes à l'étape de configurer le secret client (Nom de l'option: AzureADSecret) pour finaliser la configuration pour le support de la fédération d'identifié avec Microsoft Entra ID pour l'application Octopus 5.
Voir en image

Configuration Octopus

Prérequis

Une fois votre fédération d’identité en place, il faut suivre cette procédure afin de finaliser la mise en place avec Octopus.

L’activation de l’authentification intégrée n’est disponible que si vous avez configuré votre serveur de fédération de service et testé celui-ci.

Seul un administrateur Octopus ayant les accès suivants pourra compléter la configuration Octopus:

  • Général - Administrer Octopus.
  • Général - Modifier les données communes à toutes les équipes.
  • Applications - Accéder à Octopus.
  • Applications - Accéder à WebTech.
  • Applications - Accéder au portail Web.

Configuration de fédération d'identité

Validation

Pour lancer la configuration, utilisez le menu Outils > Configuration de fédération d’identité

  1. Cocher "Azure AD" comme type de fédérateur
  2. Coller l'URL des métadonnées de fédération d'application (obtenue à une des premières étapes de ce wiki)
    • Celle-ci a le format https://login.microsoftonline.com/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/federationmetadata/2007-06/federationmetadata.xml?appid=yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyyyyyyy

  3. Cliquer sur Vérifier la compatibilité

Il se peut que la fenêtre d'authentification Microsoft Entra ID de votre entreprise apparaisse. Si cela est le cas, sélectionner votre compte (ce dernier doit avoir accès à Octopus)

Voir en image

Portée de l'authentification 

Choisir la portée désirée de l'authentification fédéré :

  • Mode d'authentification Portail Web
    • Pour que vos utilisateurs finaux s'authentifient automatiquement, sélectionner "Identité fédérée"
    • Vous pourrez revenir au mode d'authentification précédent à tout moment en sélectionnant "Revenir au mode 2 : Nom d'utilisateur; Mot de passe"
  • Mode d'authentification intervenants
    • Pour que vos techniciens (utilisant l'application Windows) et les outils Batchs (MailIntegration, ADSIReader, DataImporter, etc...) s'authentifient automatiquement, sélectionner  "Identité fédérée"
    • Vous pourrez revenir au mode d'authentification précédent à tout moment en sélectionnant "Revenir au mode 0 : Nom d'utilisateur; Mot de passe"
Voir en image

Annexe

Comment trouver l'application d'entreprise

  1. Ouvrir la console d'administration principale de Microsoft Entra ID
  2. Cliquer l'item Applications d'entreprise dans la section Gérer
  3. Dans la zone de recherche, saisir le nom utilisé pour créer l'application d'entreprise
  4. Sélectionner l'application d'entreprise créée
Voir en image

Comment trouver l'inscription de l'application

  1. Ouvrir la console d'adminsitration principale de Microsoft Entra ID
  2. Cliquer l'item Inscriptions d'applications dans la section Gérer
  3. Cliquer sur Toutes les applications
  4. Dans la zone de recherche, saisir le nom utilisé pour créer l'application d'entreprise
  5. Sélectionner l'application d'entreprise créée
Voir en image

 

 

 

X
Aidez-nous à améliorer l’article








Aidez-nous à améliorer l’article