Introduction
Le protocole SSO utilisé est OpenID Connect (OIDC). OpenID Connect (OIDC) est un protocole d'authentification d'identité qui est une extension de l'autorisation ouverte (OAuth) 2.0 visant à standardiser le processus d'authentification et d'autorisation des utilisateurs lorsqu'ils se connectent pour accéder à des services numériques.
Documentation: https://learn.microsoft.com/en-us/azure/active-directory-b2c/openid-connect-technical-profile
Créer une nouvelle application
Afin d'authentifier les utilisateurs, un nouvel enregistrement d'application est requis dans l'Azure AD du client.
Lors de la création, acceptez la sélection par défaut de Comptes uniquement dans ce répertoire organisationnel (Répertoire par défaut uniquement - Monolocataire) pour cette application. Pour la connexion, les valeurs de l'ID d'application (client), de l'ID de répertoire (locataire) et de la clé secrÚte client (créée ci-dessous) sont nécessaires.
Documentation, section Register a Microsoft Entra app: https://learn.microsoft.com/en-us/azure/active-directory-b2c/identity-provider-azure-ad-single-tenant?pivots=b2c-custom-policy#register-a-microsoft-entra-app
Give the app an easy identifiable name. Accept the default selection of Accounts in this organizational directory only (Default Directory only - Single tenant). Redirect URI may be left empty and completed later, or add the necessary ones from the Set app registration redirect URI step.
â
Attribuez Ă l'application un nom facilement identifiable. Acceptez la sĂ©lection par dĂ©faut pour Accounts in this organizational directory only (Default Directory only - Single tenant). L'URI de redirection peut ĂȘtre laissĂ©e vide et complĂ©tĂ©e ultĂ©rieurement, ou ajoutez les URI nĂ©cessaires Ă partir de l'Ă©tape DĂ©finir l'URI de redirection ci dessous.
Voici l'Ă©cran avec les informations de l'application qui vient d'ĂȘtre crĂ©Ă©e.
Créer de nouveaux secrets clients
Il est suggéré de créer des secrets client distincts par environnement.
Veuillez sélectionner la période d'expiration la plus longue.
DĂ©finir l'URI de redirection
Ajouter l'URI de redirection web pour l'application dans les paramĂštres d'authentification. Veuillez n'ajouter les URL que pour les environnements nĂ©cessaires (gĂ©nĂ©ralement production. PrĂ©production peut ĂȘtre ajoutĂ© pour les tests).
Production | |
Préproduction |
Autoriser les jetons d'identitification
B2C utilise des jetons d'identification. Veuillez vérifier que la case à cocher "Jetons d'identification (utilisés pour les flux implicites et hybrides)" est bien cochée dans les paramÚtres d'authentification.
Accorder des permissions Ă l'application
L'application requiert les permissions suivantes :
MS Graph openid: permet Ă l'utilisateur de se connecter
MS Graph email: permet de récupérer l'e-mail lors de la connexion
Les permissions nécessitent le consentement de l'administrateur afin d'éviter de demander les permissions aux utilisateurs.
Informations nécessaires pour Cimes
Une fois créé, veuillez partager les informations suivantes à votre responsable de la réussite client ou à votre responsable de compte technique chez Cimes.
Azure AD Application
Application (client) ID
Directory (tenant) ID
Client secrets
Domaines de messagerie pour lesquels le SSO doit ĂȘtre activĂ©
Ex: Tous les utilisateurs de Cimes utilisent une adresse e-mail @groupecimes.com.
S'il y a plusieurs Azure AD utilisés, veuillez nous indiquer quel domaine de courriel est enregistré dans quel Directory (tenant) ID afin de configurer la connexion.