Microsoft Entra ID avec SAML

Les instructions ci-dessous permettent de configurer l'authentification unique (SSO) pour Claris Studio avec Microsoft Entra ID à l'aide du langage SAML (Security Assertion Markup Language). Étapes clés à l'établissement de la confiance entre Entra ID et une équipe Claris Studio :

  • Créer une application d'entreprise.

  • Ajouter le langage SAML à l'application.

  • Assigner des utilisateurs.

  • Entrer l'URL des métadonnées dans Claris Studio.

Ouvrir la page de configuration de Claris Studio

  1. Connectez-vous à votre équipe Claris Studio.

  2. Cliquez sur l'onglet Utilisateurs à gauche, puis sur Configurer l'IdP externe.

    Paramètres IdP externes Claris Studio

  3. Dans la boîte de dialogue Configurer le fournisseur d'identité externe, pour Protocole, choisissez SAML. Laissez cette page ouverte afin de pouvoir y revenir plus tard.

Créer une application d'entreprise

  1. Connectez-vous au portail Azure. Sous Azure services (Services Azure), cliquez sur Enterprise Applications (Applications d'entreprise). Sur la page suivante, cliquez sur + New Application (+ Nouvelle application) près de l'angle supérieur gauche.

    Microsoft Azure, services Azure, applications d'entreprise

    Microsoft Azure, applications d'entreprise, nouvelle application

  2. Afin de créer une application personnalisée pour Claris Studio, cliquez sur + Create your own application (+ Créez votre propre application). Saisissez un nom pour votre application, puis sélectionnez l'option Integrate any other application you don't find in the gallery (Intégrer toute autre application qui ne se trouve pas dans la galerie).

    Microsoft Azure, applications d'entreprise, créez votre propre application

    Microsoft Azure, nom de l'application

  3. Dans votre nouvelle application, vous verrez les rubriques Name (Nom), Application ID (Identifiant d'application) et Object ID (Identifiant d'objet). Vous pouvez les ignorer et passer à l'étape suivante.

    Microsoft Azure, identifiant d'application

Configurer le langage SAML dans la nouvelle application

  1. Dans la barre latérale gauche sous Manage (Gérer), cliquez sur Single Sign-On (Authentification unique).

    Cliquez ensuite sur l'option SAML.

    Microsoft Azure, authentification unique, SAML

  2. Lors de l'étape 1, Basic SAML Configuration (Configuration SAML de base), cliquez sur Edit (Modifier). Suivez les instructions ci-dessous pour renseigner les rubriques de la nouvelle barre latérale de configuration, à droite de la page.

    • Identifier (Entity ID) (Identifiant (ID d'entité)) : dans Claris Studio, copiez la valeur ID de l'entité (consultez la section « Ouvrir la page de configuration de Claris Studio » plus haut) et collez-la ici.

    • Reply URL (Assertion Consumer Service URL) (URL de réponse (URL du service ACS)) : dans Claris Studio, copiez la valeur URL du service consommateur d'assertion (consultez la section « Ouvrir la page de configuration de Claris Studio » plus haut). Cliquez sur Add reply URL (Ajouter une URL de réponse) et collez-la ici.

    • Sign on URL (URL de connexion) : dans Claris Studio, copiez la valeur URL du service consommateur d'assertion (consultez la section « Ouvrir la page de configuration de Claris Studio » plus haut) et collez-la ici. Remplacez authorize à la fin de l'URL par login.

    • Relay State (État du relais) : ignorez cette rubrique.

    • Logout URL (URL de déconnexion) : dans Claris Studio, copiez la valeur URL du service consommateur d'assertion (consultez la section « Ouvrir la page de configuration de Claris Studio » plus haut) et collez-la ici. Remplacez authorize à la fin de l'URL par logout.

    Microsoft Azure, configuration SAML de base

    Microsoft Azure, configuration SAML de base, détails

  3. Lorsque vous avez terminé, cliquez sur Save (Enregistrer) en haut à gauche de la fenêtre. Fermez ensuite la barre latérale droite.

  4. Lors de l'étape 2, Attributs & Claims (Attributs et revendications), cliquez sur Edit (Modifier). Sous Additional Claims (Revendications supplémentaires), vous devriez déjà voir quatre revendications répertoriées.

    Microsoft Azure, attributs et revendications, gérer les revendications

    Pour chacune des lignes avec une étiquette dans la colonne Value (Valeur), vous devez attribuer une nouvelle étiquette pour la rubrique Name (Nom).

    Pour chacune des lignes énumérées ci-dessous :

    1. Cliquez sur la ligne.

    2. Saisissez le nouveau nom dans la rubrique Name (Nom). Assurez-vous que la première lettre est en majuscule et que le reste est en minuscule.

    3. Laissez la rubrique Namespace (Espace de nom) vide.

    4. Cliquez sur Save (Enregistrer) en haut à gauche.

      Pour la ligne inchangée avec la valeur user.userprincipalname, cliquez sur Ellipsis menu, puis sur Delete (Supprimer). Cliquez sur OK pour confirmer.

      Vos paramètres pour cette étape devraient correspondre à ceux indiqués ici.

      • Valeur user.givenname → nouveau nom Prénom

      • Valeur user.surname → nouveau nom Nom de famille

      • Valeur user.mail → nouveau nom E-mail

      Microsoft Azure, noms et valeurs requis pour les revendications et revendications supplémentaires

  5. Revenez à la page de configuration SAML à l'étape 3, SAML Certificates (Certificats SAML), et copiez la valeur App Federation Metadata URL (URL des métadonnées de fédération) en cliquant sur son icône de presse-papiers. Enregistrez cette valeur dans un endroit sûr. Vous en aurez besoin ultérieurement.

    Microsoft Azure, certificats SAML, URL des métadonnées de fédération

Attribution des utilisateurs

  1. Cette nouvelle intégration SSO implique que vous attribuiez des utilisateurs. Dans la barre latérale gauche sous Manage (Gérer), cliquez sur Users & Groups (Utilisateurs et groupes).

  2. Cliquez sur + Add user/group (+ Ajouter un utilisateur/groupe) en haut et ajoutez tous les utilisateurs et groupes qui doivent avoir accès à Claris Studio.

  3. Cliquez sur Assign (Assigner) en bas de la page.

    Microsoft Azure, utilisateurs et groupes

Entrer des valeurs dans Claris Studio

  1. Revenez à la page Claris Studio que vous avez ouverte précédemment (consultez la section « Ouvrir la page de configuration de Claris Studio »).

  2. Dans la boîte de dialogue Configurer le fournisseur d'identité externe, pour Protocole, choisissez SAML. Ensuite, dans Métadonnée, collez la valeur App Federation Metadata URL (URL des métadonnées de fédération) que vous avez enregistrée lors de l'étape « Configurer le langage SAML dans la nouvelle application ».

  3. Sélectionnez un ou plusieurs Groupes par défaut que vous souhaitez connecter à l'aide de cet IdP externe, puis cliquez sur Appliquer.

    Si vous n'avez aucun groupe, vous pouvez en créer un ici et y ajouter des utilisateurs plus tard. Consultez la section Utiliser des groupes pour obtenir des informations supplémentaires.

    Claris Studio, configuration IdP externe SAML Microsoft Entra ID

  4. Sur la page Utilisateurs, copiez le lien intitulé URL de connexion à l'application et fournissez-le aux utilisateurs. L'utilisation de cette URL leur permet de se connecter à Claris Studio avec leurs identifiants SSO.