Microsoft Entra ID est le service cloud de gestion des identités et des accès de Microsoft, anciennement connu sous le nom d’Azure Active Directory. Avec le SSO SAML configuré entre Microsoft Entra et Document360, vos utilisateurs et lecteurs peuvent se connecter à Document360 en utilisant leurs identifiants Microsoft existants, sans avoir besoin d’un mot de passe séparé.
Seuls les utilisateurs ayant les rôles de projet Propriétaire ou Administrateur peuvent configurer SSO dans Document360.
Que pouvez-vous faire avec Microsoft Entra comme IDP
| Capacités | Soutenu |
|---|---|
| Authentification utilisateur (portail) | Oui |
| Authentification par lecteur (site de base de connaissances) | Oui |
| Connexion initiée par l’IdP | Oui |
| Provisionnement utilisateur SCIM | Oui |
| Provisionnement des lecteurs SCIM | Oui |
| Synchronisation du groupe SCIM | Oui |
| Héritage de configuration SSO (projets parent-enfant) | Oui |
Avant que tu commences
- Vous avez un compte Microsoft Azure actif avec accès administrateur. Connectez-vous à entra.microsoft.com.
- Vous avez l’accès Propriétaire ou Administrateur dans votre projet Document360.
- Ouvrez Document360 et Microsoft Entra dans deux onglets navigateurs distincts. Vous devrez passer plusieurs fois de l’un à l’autre pendant la configuration.
Étape 1 : Créer une application SAML dans Microsoft Entra
Connectez-vous à Microsoft Entra
- Connectez-vous à votre compte Microsoft Azure à entra.microsoft.com.
- Vous serez dirigé vers la page du centre d’administration Microsoft Entra .
Créer l’application
- Dans le centre d’administration Microsoft Entra, sélectionnez Entra ID dans la barre de navigation de gauche et cliquez sur applications Enterprise.
- Sur la page des applications Entreprise , cliquez sur Nouvelle application > Créer votre propre application.
- Saisissez un nom pour votre application dans le champ Saisie du nom et cliquez sur Créer.
Lors de la création de l’application, assurez-vous de sélectionner Créer votre propre application et de choisir Intégrer toute autre application que vous ne trouvez pas dans le bouton radio de la galerie . Ne sélectionnez pas une application Galerie ni ne cherchez Document360 dans la Galerie Entra. Les applications de galerie ne prennent pas en charge le provisionnement SCIM personnalisé. Si une application Galerie a déjà été configurée, vous devrez créer une nouvelle application Non-Galerie et reconfigurer votre configuration SSO.
Étape 2 : Configurez le SAML dans Entra en utilisant les paramètres Document360
Obtenez les paramètres du fournisseur de services via Document360
- Ouvrez Document360 dans un onglet séparé.
- Naviguez dans Paramètres > Utilisateurs et permissions > Configuration SSO.
- Cliquez sur Créer SSO.
- Sélectionnez Entra ID comme fournisseur d’identité (IdP) pour naviguer automatiquement vers la page Configurer le fournisseur de services (SP).
- La page Configurer le fournisseur de services (SP) affiche les paramètres nécessaires pour configurer votre intégration SAML dans le fournisseur d’identité.
Configurez SAML dans Entra
- Allez dans Microsoft Entra, et sur la page de l’application créée, ouvrez l’onglet Connexion unique et sélectionnez méthode SAML .
- Cliquez sur Modifier dans la section Configuration SAML de base et entrez les paramètres de Document360 comme indiqué ci-dessous.
| Entrée | Document360 |
|---|---|
| URL de réponse (URL du service consommateur d’assertion) | Chemin de rappel |
| URL de connexion | Chemin de rappel |
| Identifiant (ID d’entité) | ID d’entité fournisseur de services |
- Cliquez sur Enregistrer.
Étape 3 : Terminer la configuration SSO dans Document360
Configurez le fournisseur d’identité dans Document360
- Retournez à Document360 et cliquez sur Suivant pour accéder à la page Configurer le fournisseur d’identité (IdP ).
- Si vous avez déjà une configuration SSO existante, vous pouvez la sélectionner dans la menu déroulante Configurer une connexion existante pour hériter de ses paramètres. Cela élimine la configuration redondante et fait gagner du temps.
Pour plus d’informations sur l’héritage, voir Gestion des utilisateurs et lecteurs avec SCIM dans Entra.
- Remplissez les champs requis en utilisant les paramètres trouvés dans la section SSO de Configurer Document360 SCIM de la page Entra, comme indiqué ci-dessous.
| Entrée | Document360 |
|---|---|
| URL de connexion | URL de connexion |
| Microsoft Entra Identifier | Identifiant d’entité |
| Certificat SAML | Certificat (Base64) |
- Téléchargez le Certificat (Base64) dans la section Certificats SAML et attachez-le au champ du certificat SAML dans Document360.
- Activez ou désactivez l’option Permettre la connexion initiée IdP en fonction des exigences de votre projet. En savoir plus sur la connexion initiée par l’IDP.
- Cliquez sur Suivant pour accéder à la page de provisionnement SCIM .
Étape 4 : Configurer le provisionnement SCIM
Le provisionnement SCIM automatise la gestion du cycle de vie utilisateur et lecteur entre Microsoft Entra et Document360. Une fois activés, les utilisateurs ajoutés, mis à jour ou désactivés dans Entra sont automatiquement synchronisés avec Document360.
Si vous n’avez pas besoin de provisionnement SCIM, cliquez sur Suivant et suivez les étapes de l’étape 5 : Plus de paramètres.
Activez SCIM dans Document360
- Dans la page de provisionnement SCIM dans Document360, activez le bouton Activer le provisionnement SCIM .
- Une boîte de dialogue de confirmation apparaîtra. Lisez les conditions et cliquez sur Accepter. Un ensemble de paramètres sera alors affiché.
Les jetons secrets primaire et secondaire sont générés une seule fois et affichés uniquement au moment de la création. Assurez-vous de les copier et de les stocker dans un lieu sécurisé avant de sauvegarder la configuration. Une fois la configuration SSO sauvegardée, les jetons apparaîtront masqués et ne pourront pas être récupérés. Régénérer un jeton invalide l’existant et nécessite de mettre à jour le nouveau jeton dans votre configuration Entra pour éviter de perturber la synchronisation utilisateur.
Configurez la provisionnement SCIM dans Entra
- Allez dans Entrée, sélectionnez l’onglet Provisionnement dans le menu de gauche, puis sélectionnez Nouvelle configuration dans le menu supérieur.
- La page de configuration du nouveau provisionnement s’affichera. Remplissez les champs de la section Identifiants administrateur en utilisant les paramètres de Document360 comme indiqué ci-dessous.
| Entrée | Document360 |
|---|---|
| URL du locataire | SCIM Base URL |
| Jeton secret | Jeton secret principal |
Ne cliquez pas sur Tester la connexion ni sur Créer à ce stade. La configuration SSO dans Document360 doit d’abord être complétée avant que la connexion de provisionnement SCIM puisse être établie avec succès.
Définir les rôles et groupes par défaut dans Document360
- Retournez dans Document360 et activez l’option Activer la synchronisation de groupe . Une fois activé, les utilisateurs et les groupes de lecteurs sont automatiquement attribués selon les correspondances de groupes IdP.
- Dans le champ de rôle par défaut , le rôle est défini par défaut sur Contributeur . Vous pouvez changer cela depuis le menu déroulant si besoin.
Le rôle par défaut s’applique uniquement aux utilisateurs . Cela n’affecte pas les utilisateurs provisionnés en tant que lecteurs via la correspondance d’attributs isTeamAccount = False . Pour des informations sur la cartographie des attributs, voir Gestion des utilisateurs et des lecteurs avec SCIM dans Entra.
- Dans les champs Groupes d’utilisateurs et Groupes de lecteurs , sélectionnez les groupes que vous souhaitez ajouter. Plusieurs groupes peuvent être ajoutés, et ils hériteront du rôle par défaut que vous avez sélectionné plus tôt.
- Cliquez sur Suivant pour accéder à la page Paramètres supplémentaires .
Pour tous les détails sur la gestion des utilisateurs, lecteurs et groupes via SCIM, y compris la cartographie des attributs, les flux de travail de provisionnement et le déprovisionement, voir Gérer les utilisateurs et lecteurs avec SCIM dans Entra.
Étape 5 : Plus de réglages
Configurez le nom SSO et les options de connexion
- Dans le champ nom SSO , saisissez un nom pour la configuration SSO.
- Dans le bouton Personnaliser la connexion, saisissez le texte du bouton de connexion affiché aux utilisateurs.
- Assignation automatique du groupe de lecteurs - cette option n’est disponible que pour les configurations SSO existantes. Pour les nouvelles configurations SSO, ce basculement ne sera pas affiché car SCIM fournit automatiquement les utilisateurs et les groupes. En savoir plus sur le groupe de lecteurs Auto Assign.
- Activez la déconnexion de l’utilisateur inactif SSO si nécessaire, et définissez la durée d’inactivité.
- Choisissez d’inviter les comptes utilisateurs et lecteurs existants à SSO.
- Cliquez sur Créer pour compléter la configuration SSO.
La configuration SSO dans Document360 est créée avec succès.
Étape 6 : Effectuer le provisionnement SCIM dans Entra
Tester et sauvegarder la connexion SCIM
- Retournez à Entra, où la page de configuration du nouveau provisionnement s’affiche.
- Une fois tous les champs requis remplis, cliquez sur Tester la connexion pour vérifier la configuration.
- Un message de confirmation apparaîtra une fois que la connexion de provisionnement SCIM entre Entra et Document360 sera réussie.
- Cliquez sur Créer pour finaliser la configuration.
Le provisionnement SCIM entre Entra et Document360 a été créé avec succès.
Pour plus de détails sur la gestion des utilisateurs, lecteurs et groupes dans Entra, voir Gérer les utilisateurs et lecteurs avec SCIM dans Entra.
Meilleures pratiques
- Créez une application hors galerie. Utilisez toujours l’option Intégrer toute autre application que vous ne trouvez pas dans la galerie lors de la création de votre application Entra. Les applications de galerie ne prennent pas en charge le provisionnement SCIM personnalisé.
- Stockez les deux jetons secrets en toute sécurité. Traitez les jetons SCIM principaux et secondaires comme des mots de passe. Stockez-les dans un gestionnaire de secrets ou un coffre-fort de mots de passe, pas dans des fichiers texte bruts ou des dépôts de code.
- Ne testez pas la connexion SCIM avant d’enregistrer la configuration Document360. Le test échouera à ce stade. Complétez toujours et enregistrez d’abord la configuration SSO de Document360, puis retournez à Entra pour tester.
- Définissez la correspondance des attributs au niveau utilisateur, pas au niveau du groupe. Lors de la configuration de l’attribut
isTeamAccount, définissez-le toujours au niveau utilisateur afin d’éviter les conflits de provisionnement pour les utilisateurs appartenant à plusieurs groupes. - Alignez le délai d’arrêt d’inactivité avec votre politique de sécurité. Activez la déconnexion de l’utilisateur SSO inactif et réglez la durée pour qu’elle corresponde aux besoins de gestion de session de votre organisation.
FAQ
Pourquoi dois-je utiliser une application non-galerie au lieu de chercher Document360 dans la galerie Entra ?
Les applications de galerie dans Entra ne prennent pas en charge le provisionnement SCIM personnalisé. Pour permettre le SCIM entre Entra et Document360, vous devez créer une application non-galerie en sélectionnant Créer votre propre application et en choisissant Intégrer toute autre application que vous ne trouvez pas dans la galerie. Si une application Galerie a déjà été configurée, vous devrez créer une nouvelle application Non-Galerie et reconfigurer votre configuration SSO.
Que se passe-t-il pour les utilisateurs existants de Document360 lorsque je configure SSO ?
Les utilisateurs existants ne sont pas automatiquement convertis. Pendant l’étape More settings, vous pouvez choisir d’inviter les comptes utilisateurs et lecteurs existants à SSO. Les utilisateurs convertis conservent tous leurs rôles et permissions existants.