Utiliser un fournisseur d'identité SAML pour le portail Performance Cloud VMware




Sommaire

Cette base de connaissances décrit les étapes pour ajouter un fournisseur d'identité SAML (Security Assertion Markup Language), comme Azure Active Directory, pour tirer parti de l'authentification unique (SSO).

Description

L’authentification unique est une méthode d’authentification qui permet aux utilisateurs de se connecter avec un ensemble d’informations d’identification à plusieurs systèmes logiciels indépendants. Avec l’authentification unique, un utilisateur n’a pas besoin de se connecter à chaque application dont il se sert. Avec l’authentification unique, les utilisateurs peuvent accéder à toutes les applications dont ils ont besoin sans avoir à s’authentifier avec d’autres informations d’identification.

Pour plus d'informations sur l'authentification unique avec Azure Active Directory, voici la documentation officielle de Microsoft: https://docs.microsoft.com/fr-ca/azure/active-directory/manage-apps/what-is-single-sign-on


Pour utiliser un fournisseur d'identité SAML autre qu'Azure AD, veuillez consulter les conditions préalables ci-dessous.

Prérequis

Prérequis généraux: 

  • Vérifiez que vous avez accès à un fournisseur d'identité compatible SAML 2.0 (tel qu’Azure AD).

  • Obtenez un fichier XML avec les métadonnées suivantes auprès de votre fournisseur d'identité SAML.
    1. L'emplacement du service d'authentification unique
    2. L’emplacement du service de déconnexion unique
    3. L'emplacement du certificat X.509 du service

Pour plus d'informations sur la configuration et l'acquisition de métadonnées auprès d'un fournisseur SAML, consultez la documentation de votre fournisseur SAML et la documentation VMware au besoin : https://docs.vmware.com/en/VMware-Cloud-Director/10.3/VMware-Cloud-Director-Service-Provider-Admin-Portal-Guide/GUID-89329614-343E-44AC-9AD3-90A3119D970B.html

 

Prérequis Azure Active Directory


Note importante : Azure AD peut être utilisé comme fournisseur d'identité SAML pour se connecter au portail Performance Cloud VMware sans Azure AD Connect et en utilisant la licence Azure AD Free. Cependant, certaines limitations s'appliqueront (détails ci-dessous). Les deux scénarios sont présentés dans la section Procédure.
 

Voici les conditions requises pour configurer les différentes affectations à l'aide des groupes de sécurité :

 

 

Certains services Microsoft 365 incluent Azure AD Premium. Pour valider votre licence Azure AD actuelle, connectez-vous au portail Azure et accédez à Azure Active Directory. Si vous voyez la licence Azure AD Free, veuillez contacter votre gestionnaire de compte pour obtenir la licence appropriée pour profiter de tous les avantages qu’offre la licence.

Procédure

Exemples ci-dessous utilisant Azure Active pour accéder au portail Performance Cloud VMware. 

Pour plus d'informations ou autres configurations, veuillez consulter la documentation officielle de Microsoft :

https://docs.microsoft.com/fr-ca/azure/active-directory/manage-apps/add-application-portal


https://docs.microsoft.com/fr-ca/azure/active-directory/manage-apps/add-application-portal-assign-users


https://docs.microsoft.com/fr-ca/azure/active-directory/manage-apps/add-application-portal-setup-sso



Scénario 1 - Azure AD (avec Azure AD Connect et assignation par groupes de sécurité)

Création d'un groupe de sécurité dans Active Directory

 

1. Connectez-vous à votre contrôleur de domaine (DC) (ou à tout autre ordinateur/serveur doté des outils d'administration et des informations d'identification appropriés) et ouvrez la console Utilisateurs et ordinateurs Active Directory.


2. Créer un nouveau groupe de sécurité dans votre domaine Active Directory (dans une unité organisationnelle (OU) incluse dans la synchronisation Azure AD Connect).




 
3. Ajoutez les membres requis dans le groupe (Ceux qui devront accéder au portail Performance Cloud VMware).
 
 
4. Attendez la fin de la synchronisation de Azure AD Connect ou forcez la synchronisation.
 
Comment forcer Azure AD Connect à se synchroniser (site anglais) : https://techcommunity.microsoft.com/t5/itops-talk-blog/powershell-basics-how-to-force-azuread-connect-to-sync/ba-p/887043

Configuration de Performance Cloud VMware:


1. Connectez-vous au portail Performance Cloud VMware à l'aide de vos identifiants
 

2. Cliquez sur Administration.

 

3. Dans le panneau de gauche, sous Fournisseurs d'identité, cliquez sur SAML

 

 

4. Cliquer ensuite sur le lien pour télécharger le fichier de Métadonnées XML



Garder la page du portail Performance Cloud VMware ouverte pour une étape ultérieure.

 

Configuration d’Azure Active Directory


1. Connectez-vous au portail Azure (SVP vous assurez d’avoir un des rôles suivants : Administrateur général, Administrateur d’application cloud, Administrateur d’application ou propriétaire du principal de service.)

2. Naviguez à la section Azure Active Directory, puis à la section Applications d'entreprise.



 


3. Cliquez sur Nouvelle application



4. Cliquez sur Créer votre propre application, nommez l’application et choisir l’option « Non-gallery » puis cliquez sur Créer.

 

5. Dans la nouvelle application, attribuez le nouveau groupe afin que les membres du groupe puissent accéder à l'application.




6. Revenez à votre application, accédez à la section Authentification unique et sélectionnez SAML pour ouvrir la page de configuration SSO.


 

7. Cliquez sur Charger le fichier de métadonnées.


 

9. Ensuite parcourir vers le fichier de métadonnées téléchargé depuis le portail Performance Cloud VMware et cliquez sur Ajouter.


Sur le prochain écran, copier le lien du champ Identificateur (ID d'entité) et sauver l’information pour une prochaine étape. Cliquez sur Enregistrer.

 

9. Modifiez les attributs pour qu'ils correspondent comme ci-dessous.
 

 

    a) Retirer la ligne mentionnant « surname ».


 

    b) Modifier la ligne mentionnant « email address » de la valeur « user.mail » à « user.userprincipalname ».
 

    c) Modifier la ligne mentionnant « name » de la valeur « name » à « UserName ».

 

    c) Ensuite, cliquez sur Ajouter une revendication de groupe et remplir les champs tel que ci-bas, puis cliquez sur         Enregistrer

 

10. Retourner aux paramètres SAML de l’application d’entreprise et télécharger le fichier XML de métadonnées de fédération (section Certificat de signature SAML).


 

11. OPTIONNEL - Définir un accès conditionnel pour améliorer la sécurité (vous pouvez personnaliser selon vos besoins).

Naviguez vers la section Sécurité dans Azure Active Directory, puis Accès conditionnel.



Cliquez sur Nouvelle stratégie et Créer une nouvelle stratégie.



Nommez la nouvelle politique (exemple : vCloud-TokenLifeTime), définissez un contrôle de session avec 2h pour la fréquence de connexion, sélectionnez l'application Performance Cloud VMware, activez la politique et cliquez sur Créer.

 

 

Configuration de Performance Cloud VMware – Suite 


12. Retourner au portail Performance Cloud VMware.

 

13. Toujours dans la section SAML, cliquer sur MODIFIER.
 
 


14. Entrer le lien sauvegardé à l’étape 8 dans le champ ID d'entité.


 

15. Aller à l’onglet Fournisseur d’identité et activer l’option Utiliser le fournisseur d'identité SAML


 

16. Cliquez ensuite sur le bouton Parcourir ( ) et sélectionnez le fichier XML téléchargé du portail Azure et cliquez sur ENREGISTRER



17. Dans le panneau de gauche, sous Contrôle d'accès, allez dans Groupes et cliquez sur IMPORTER DES GROUPES.

 


18. Entrez le nom du groupe tel que précédemment créé dans le portail Azure, attribuez le rôle « Organization Administrator » pour donner les permissions « Contrôle Total » et cliquez sur ENREGISTRER.


 

19. OPTIONNEL - Des quotas peuvent également être mis en place.

Sélectionnez le groupe et cliquez sur DÉFINIR UN QUOTA.


Cliquez sur AJOUTER et définissez les quotas désirés. Ensuite, cliquez sur ENREGISTRER.


 

À ce stade, à la prochaine connexion sur le portail Performance Cloud VMware, vous devriez obtenir la boîte de connexion Microsoft au lieu de la précédente boîte de connexion « VMware Cloud Director ». Vous devriez également pouvoir vous connecter avec un utilisateur membre du groupe autorisé.


- Sans la fonction de fournisseur d'identité SAML activé :


 - Avec la fonction de fournisseur d'identité SAML activé : 


  

Scénario 2 - Azure AD « Free » (sans Azure AD Connect et sans assignation par groupes de sécurité)

 

Configuration de Performance Cloud VMware:
 

1. Connectez-vous au portail Performance Cloud VMware à l'aide de vos identifiants.


2. Cliquez sur Administration.


 

3. Dans le panneau de gauche, sous Fournisseurs d'identité, cliquez sur SAML.

 

 

4. Cliquer ensuite sur le lien pour télécharger le fichier de Métadonnées XML.



Garder la page du portail Performance Cloud VMware ouverte pour une étape ultérieure.

 

Configuration d’Azure Active Directory


5. Connectez-vous au portail Azure (SVP vous assurez d’avoir un des rôles suivants : Administrateur général, Administrateur d’application cloud, Administrateur d’application ou propriétaire du principal de service.)


6. Naviguez à la section Azure Active Directory, puis à la section Applications d'entreprise.




7. Cliquez sur Nouvelle application.


8. Cliquez sur Créer votre propre application, nommez l’application et choisir l’option « Non-gallery » puis cliquez sur Créer.

 


9. Dans la nouvelle application, attribuer les utilisateurs qui se connecteront au portail Performance Cloud VMware.






 

10. Revenez à votre application, accédez à la section Authentification unique et sélectionnez SAML pour ouvrir la page de configuration SSO.



 

11. Cliquez sur Charger le fichier de métadonnées.


 

12. Ensuite parcourir vers le fichier de métadonnées téléchargé depuis le portail Performance Cloud VMware et cliquez sur Ajouter.


Sur le prochain écran, copier le lien du champ Identificateur (ID d'entité) et sauver l’information pour une étape ultérieure. Cliquez sur Enregistrer.

 

13. Modifiez les attributs pour qu'ils correspondent comme ci-dessous.

 

    a) Retirer la ligne mentionnant « surname ».


 

    b) Modifier la ligne mentionnant « email address » de la valeur « user.mail » à « user.userprincipalname ».


    c) Modifier la ligne mentionnant « name » de la valeur « name » à « UserName ».

 

14. Retourner aux paramètres SAML de l’application d’entreprise et télécharger le fichier XML de métadonnées de fédération (section Certificat de signature SAML).


 

Configuration de Performance Cloud VMware – Suite


15. Retourner au portail Performance Cloud VMware.

 

16. Toujours dans la section SAML, cliquer sur MODIFIER.

 
 


17. Entrer le lien sauvegardé à l’étape 12 dans le champ ID d'entité.

 

18. Aller à l’onglet Fournisseur d’identité et activer l’option Utiliser le fournisseur d'identité SAML.

 


19. Cliquez ensuite sur le bouton Parcourir ( ) et sélectionnez le fichier XML téléchargé du portail Azure et cliquez sur ENREGISTRER.

 

20. Dans le panneau de gauche, sous Contrôle d'accès, allez dans Utilisateurs et cliquez sur IMPORTER DES UTILISATEURS.
  
 

21. Saisir les noms des utilisateurs (format courriel) pour les utilisateurs qui vont se connecter au portail Performance Cloud VMware. Attribuez le rôle « Organization Administrator » pour donner les permissions « Contrôle Total » et cliquez sur ENREGISTRER.
 

 


22. OPTIONNEL - Des quotas peuvent également être mis en place pour les utilisateurs.

Sélectionnez l’utilisateur et cliquez sur DÉFINIR UN QUOTA.


Cliquez sur AJOUTER et définissez les quotas désirés. Ensuite, cliquez sur ENREGISTRER.


 

À ce stade, à la prochaine connexion sur le portail Performance Cloud VMware, vous devriez obtenir la boîte de connexion Microsoft au lieu de la précédente boîte de connexion « VMware Cloud Director ». Vous devriez également pouvoir vous connecter avec un utilisateur autorisé.
 

- Sans la fonction de fournisseur d'identité SAML activé :


 - Avec la fonction de fournisseur d'identité SAML activé :