TABLE DES MATIÈRES
Contourner l'authentification du fournisseur d'identité SAML
Résumé
Cette base de connaissances décrit les étapes pour ajouter un fournisseur d'identité SAML (Security Assertion Markup Language), comme Microsoft Entra ID (anciennement connu sous le nom d'Azure AD), pour tirer parti de l'authentification unique (SSO).
Description
L’authentification unique est une méthode d’authentification qui permet aux utilisateurs de se connecter avec un ensemble d’informations d’identification à plusieurs systèmes logiciels indépendants. L’authentification unique évite aux utilisateurs de se connecter à chaque application dont ils se servent. Avec l’authentification unique, les utilisateurs peuvent accéder à toutes les applications dont ils ont besoin sans avoir à s’authentifier avec d’autres informations d’identification.
Pour plus d'informations sur l'authentification unique avec Microsoft Entra ID, voici la documentation officielle de Microsoft: https://docs.microsoft.com/fr-ca/azure/active-directory/manage-apps/what-is-single-sign-on
Pour utiliser un fournisseur d'identité SAML autre que Microsoft Entra ID, veuillez consulter les conditions préalables ci-dessous.
Conditions préalables
Conditions préalables générales :
Vérifiez que vous avez accès à un fournisseur d'identité compatible SAML 2.0 (tel qu’Azure AD).
Obtenez un fichier XML avec les métadonnées suivantes auprès de votre fournisseur d'identité SAML :
l'emplacement du service d'authentification unique;
l’emplacement du service de déconnexion unique;
l'emplacement du certificat X.509 du service.
Pour plus d'informations sur la configuration et l'acquisition de métadonnées auprès d'un fournisseur SAML, consultez la documentation de votre fournisseur SAML et la documentation VMware au besoin : https://docs.vmware.com/en/VMware-Cloud-Director/10.4/VMware-Cloud-Director-Service-Provider-Admin-Portal-Guide/GUID-89329614-343E-44AC-9AD3-90A3119D970B.html
Conditions préalables de Microsoft Entra ID
Remarque importante : Microsoft Entra ID (anciennement connu sous le nom d'Azure AD) peut être utilisé comme fournisseur d'identité SAML pour se connecter au portail de Performance Cloud VMware sans Azure AD Connect et en utilisant la licence Microsoft Entra ID. Cependant, certaines limitations s'appliqueront (détails ci-dessous). Les deux scénarios sont présentés dans la section Procédures.
Voici les conditions requises pour configurer les différentes affectations à l'aide des groupes de sécurité :
Un domaine Active Directory utilisant Azure AD Connect Sync 1.2.70.0 ou supérieur. Voici la documentation Microsoft pour mettre à jour Azure AD Connect : https://docs.microsoft.com/fr-ca/azure/active-directory/hybrid/how-to-upgrade-previous-version
Microsoft Entra ID Premium est requis pour attribuer des groupes de sécurité sur l'application d'entreprise et créer des stratégies d'accès conditionnel.
Certains services Microsoft 365 incluent Microsoft Entra ID Premium. Pour valider votre licence Microsoft Entra ID actuelle, connectez-vous au portail Azure et accédez à Microsoft Entra ID. Si vous voyez la licence gratuite Microsoft Entra ID, veuillez contacter votre gestionnaire de compte pour obtenir la licence appropriée pour profiter de tous les avantages qu’offre la licence.
Procédures
Exemples ci-dessous utilisant Azure Active pour accéder au portail de Performance Cloud VMware.
Pour plus d'informations ou autres configurations, veuillez consulter la documentation officielle de Microsoft :
https://docs.microsoft.com/fr-ca/azure/active-directory/manage-apps/add-application-portal
https://docs.microsoft.com/fr-ca/azure/active-directory/manage-apps/add-application-portal-setup-sso
Scénario 1 - Microsoft Entra ID (avec Azure AD Connect et assignation par groupes de sécurité)
Création d'un groupe de sécurité dans Active Directory
1. Connectez-vous à votre contrôleur de domaine (DC) (ou à tout autre ordinateur/serveur doté des outils d'administration et des informations d'identification appropriés) et ouvrez la console Utilisateurs et ordinateurs Active Directory.
2. Créer un nouveau groupe de sécurité dans votre domaine Active Directory (dans une unité organisationnelle (OU) incluse dans la synchronisation Azure AD Connect).
3. Ajoutez les membres requis dans le groupe (ceux qui devront accéder au portail Performance Cloud VMware).
4. Attendez la fin de la synchronisation de Azure AD Connect ou forcez la synchronisation.
Comment forcer Azure AD Connect à se synchroniser (site anglais) : https://techcommunity.microsoft.com/t5/itops-talk-blog/powershell-basics-how-to-force-azuread-connect-to-sync/ba-p/887043
Configuration de Performance Cloud VMware
1. Connectez-vous au portail de Performance Cloud VMware à l'aide de vos identifiants.
2. Cliquez sur Administration.
3. Dans le panneau de gauche, sous Fournisseurs d'identité, cliquez sur SAML, puis sur CONFIGURER.
4. Cliquer ensuite sur Récupérer les métadonnées.
Garder la page du portail de Performance Cloud VMware ouverte pour une étape ultérieure.
Configuration de Microsoft Entra ID
1. Connectez-vous au portail Azure (SVP vous assurez d’avoir un des rôles suivants : Administrateur général, Administrateur d’application cloud, Administrateur d’application ou propriétaire du principal de service.)
2. Naviguez à la section Microsoft Entra ID, puis à la section Applications d'entreprise.
3. Cliquez sur Nouvelle application.
4. Cliquez sur Créer votre propre application, nommez l’application et choisir l’option Non-gallery, puis cliquez sur Créer.
5. Dans la nouvelle application, attribuez le nouveau groupe afin que les membres du groupe puissent accéder à l'application.
6. Revenez à votre application, accédez à la section Authentification unique et sélectionnez SAML pour ouvrir la page de configuration SSO.
7. Cliquez sur Charger le fichier de métadonnées.
8. Ensuite parcourir vers le fichier de métadonnées téléchargé depuis le portail de Performance Cloud VMware et cliquez sur Ajouter.
Sur le prochain écran, copier le lien du champ Identificateur (ID d'entité) et sauver l’information pour une prochaine étape. Cliquez sur Enregistrer.
9. Modifiez les attributs pour qu'ils correspondent à ceux-ci.
a) Supprimer la ligne mentionnant « surname ».
b) Modifier la ligne mentionnant « email address » pour changer la valeur « user.mail » à « user.userprincipalname ».
c) Modifier la ligne mentionnant « name » pour changer « name » à « UserName ».
d) Ensuite, cliquez sur Ajouter une revendication de groupe et remplir les champs tel que ci-bas, puis cliquez sur Enregistrer.
10. Retourner aux paramètres SAML de l’application d’entreprise et télécharger le fichier XML de métadonnées de fédération (section Certificat de signature SAML).
11. OPTIONNEL - Définir un accès conditionnel pour améliorer la sécurité (vous pouvez personnaliser selon vos besoins).
Naviguez vers la section Sécurité dans Azure Active Directory, puis Accès conditionnel.
Cliquez sur Nouvelle stratégie et Créer une nouvelle stratégie.
Nommez la nouvelle politique (exemple : vCloud-TokenLifeTime), définissez un contrôle de session avec 2h pour la fréquence de connexion, sélectionnez l'application Performance Cloud VMware, activez la politique et cliquez sur Créer.
Configuration de Performance Cloud VMware – Suite
12. Retourner au portail Performance Cloud VMware.
13. Entrer le lien sauvegardé à l’étape 8 dans le champ ID d'entité.
14. Aller à l’onglet Fournisseur d’identité et activer l’option Utiliser le fournisseur d'identité SAML.
Ensuite, cliquez ensuite sur SÉLECTIONNER UN FICHIER XML DE MÉTADONNÉES.
Parcourir et sélectionnez le fichier XML téléchargé du portail Azure.
15. Cliquez ensuite sur ENREGISTRER.
16. Dans le panneau de gauche, sous Contrôle d'accès, allez dans Groupes et cliquez sur IMPORTER DES GROUPES.
17. Entrez le nom du groupe tel que précédemment créé dans le portail Azure, attribuez le rôle « Organization Administrator » pour donner les permissions « Contrôle Total » et cliquez sur ENREGISTRER.
18. OPTIONNEL - Des quotas peuvent également être mis en place. Sélectionnez le groupe et cliquez sur DÉFINIR UN QUOTA.
Cliquez sur AJOUTER et définissez les quotas désirés. Ensuite, cliquez sur ENREGISTRER.
À ce stade, à la prochaine connexion sur le portail de Performance Cloud VMware, vous devriez obtenir la boîte de connexion Microsoft au lieu de la précédente boîte de connexion « VMware Cloud Director ». Vous devriez également pouvoir vous connecter avec un utilisateur membre du groupe autorisé.
- Sans la fonction de fournisseur d'identité SAML activé :
- Avec la fonction de fournisseur d'identité SAML activé :
Scénario 2 - Microsoft Entra ID « Free » (sans Azure AD Connect et sans assignation par groupes de sécurité)
Configuration de Performance Cloud VMware
1. Connectez-vous au portail Performance Cloud VMware à l'aide de vos identifiants.
2. Cliquez sur Administration.
3. Dans le panneau de gauche, sous Fournisseurs d'identité, cliquez sur SAML, puis sur CONFIGURER.
4. Cliquer ensuite sur Récupérer les métadonnées.
Garder la page du portail Performance Cloud VMware ouverte pour une étape ultérieure.
Configuration de Microsoft Entra ID
1. Connectez-vous au portail Azure (SVP vous assurez d’avoir un des rôles suivants : Administrateur général, Administrateur d’application cloud, Administrateur d’application ou propriétaire du principal de service).
2. Naviguez à la section Microsoft Entra ID, puis à la section Applications d'entreprise.
3. Cliquez sur Nouvelle application.
4. Cliquez sur Créer votre propre application, nommez l’application et choisir l’option « Non-gallery » puis cliquez sur Créer.
5. Dans la nouvelle application, attribuer les utilisateurs qui se connecteront au portail Performance Cloud VMware.
6. Revenez à votre application, accédez à la section Authentification unique et sélectionnez SAML pour ouvrir la page de configuration SSO.
7. Cliquez sur Charger le fichier de métadonnées.
8. Ensuite parcourir vers le fichier de métadonnées téléchargé depuis le portail Performance Cloud VMware et cliquez sur Ajouter.
Sur le prochain écran, copier le lien du champ Identificateur (ID d'entité) et sauver l’information pour une étape ultérieure. Cliquez sur Enregistrer.
9. Modifiez les attributs pour qu'ils correspondent comme ci-dessous.
a) Retirer la ligne mentionnant « surname ».
b) Modifier la ligne mentionnant « email address » pour changer la valeur « user.mail » à « user.userprincipalname ».
c) Modifier la ligne mentionnant « name » pour changer « name » à « UserName ».
10. Retourner aux paramètres SAML de l’application d’entreprise et télécharger le fichier XML de métadonnées de fédération (section Certificat de signature SAML).
Configuration de Performance Cloud VMware – Suite
11. Retourner au portail de Performance Cloud VMware.
12. Entrer le lien sauvegardé à l’étape 8 dans le champ ID d'entité.
13. Aller à l’onglet Fournisseur d’identité et activer l’option Utiliser le fournisseur d'identité SAML.
Ensuite, cliquez ensuite sur SÉLECTIONNER UN FICHIER XML DE MÉTADONNÉES.
Parcourir et sélectionnez le fichier XML téléchargé du portail Azure.
14. Cliquez ensuite sur ENREGISTRER.
15. Dans le panneau de gauche, sous Contrôle d'accès, allez dans Utilisateurs et cliquez sur IMPORTER DES UTILISATEURS.
16. Saisir les noms des utilisateurs (format courriel) pour les utilisateurs qui vont se connecter au portail de Performance Cloud VMware. Attribuez le rôle « Organization Administrator » pour donner les permissions « Contrôle Total » et cliquez sur ENREGISTRER.
17. OPTIONNEL - Des quotas peuvent également être mis en place pour les utilisateurs.
Sélectionnez l’utilisateur et cliquez sur DÉFINIR UN QUOTA.
Cliquez sur AJOUTER et définissez les quotas désirés. Ensuite, cliquez sur ENREGISTRER.
À ce stade, à la prochaine connexion sur le portail de Performance Cloud VMware, vous devriez obtenir la boîte de connexion Microsoft au lieu de la précédente boîte de connexion « VMware Cloud Director ». Vous devriez également pouvoir vous connecter avec un utilisateur autorisé.
- Sans la fonction de fournisseur d'identité SAML activé :
- Avec la fonction de fournisseur d'identité SAML activé :
Contourner l'authentification du fournisseur d'identité SAML
Il est possible de s'authentifier sur le portail à l'aide d'utilisateurs locaux une fois la configuration SAML en place. Pour procéder, cliquez sur « SE CONNECTER AVEC UN COMPTE LOCAL ».
L'écran de connexion proposera désormais de s'authentifier à l'aide d'utilisateurs locaux même si un fournisseur d'identité SAML est en place pour l'authentification.
Utilisateurs externes
Veuillez noter que les scénarios ci-dessus fonctionnent également avec les utilisateurs externes invités à votre locataire Microsoft Entra ID.
Cela permet à toute entreprise tierce (comme des consultants, des fournisseurs ou des clients) de se connecter au portail Performance Cloud VMware en utilisant votre configuration SAML et leurs propres identifiants.
Remarque : Cependant, cela pourrait ne pas fonctionner avec des adresses courriels avec un domaine public (comme hotmail.com ou gmail.com).
Une fois les utilisateurs externes invités dans votre locataire Microsoft Entra ID, ajoutez-les à l'application d'entreprise requise et importez-les dans la section SAML du portail Performance Cloud VMware. Consultez les procédures ci-dessus pour plus de détails.
Voici quelques paramètres recommandés constituant un minimum au niveau sécurité avant d'inviter des utilisateurs invités :
+
Optionnel - Locataire dédié pour l'authentification SAML
Gérer de nombreux utilisateurs externes au sein de votre locataire Microsoft Entra ID principal peut s'avérer complexe, notamment avec tous ces utilisateurs externes qui bousille la vue dans votre locataire Microsoft.
Une solution consiste à configurer un locataire dédié à l'authentification SAML.
Ainsi, aucun utilisateur externe ne sera visible dans votre locataire Microsoft Entra ID principal.
Références
https://learn.microsoft.com/fr-ca/entra/external-id/what-is-b2b
https://learn.microsoft.com/fr-ca/entra/external-id/b2b-quickstart-add-guest-users-portal