Intégration SSO avec Azure Active Directory
Ce document explique comment configurer votre Active Directory Azure pour permettre à vos utilisateurs d'accéder à la plateforme illuxiLMS sans connexion.
Lorsqu’un de vos utilisateurs se rendra sur votre portail illuxiLMS, il sera redirigé automatiquement sur l'interface de connexion Microsoft:
L’utilisateur s’y connectera et sera ensuite redirigé vers votre portail illuxiLMS. Un compte y aura été créé avec son courriel et l’utilisateur y sera automatiquement connecté.
Lorsqu’un utilisateur est correctement authentifié sur votre Active Directory Azure et est redirigé sur votre portail, nous recevrons ses nom, prénom, courriel et groupe de sécurité auquel il appartient. Seuls les utilisateurs possédant au moins 1 groupe de sécurité préfixé du mot illuxilms pourront accéder à illuxiLMS. Dans le cas contraire, l’utilisateur sera avisé qu’il ne possède pas les droits pour accéder à ce portail.
De plus, les utilisateurs qui feront partie d’un groupe de sécurité possédant le préfixe illuxilms-admin, se verront attribuer le rôle d’administrateur de votre portail.
Comme votre portail possède un environnement de production et environnement staging, veuillez effectuer les étapes suivantes, d’abord pour l’environnement de production, et une 2e fois pour l’environnement staging.
Enregistrez une nouvelle application dans votre Plateforme d’identités Microsoft en suivant les instructions de la page Inscrire une application dans la plateforme d'identités Microsoft accompagné des points suivants:
Le nom de l’application sera “illuxiLMS Production” (Lors de la création pour l'environnement Staging, utilisez le nom "illuxiLMS Staging")
À la section Ajouter un URI de redirection, le type d’application web est: Web
La valeur de l’URI de redirection est: https://auth0.illuxi.com/login/callback (Pour l'environnement Staging, utilisez https://auth0-staging.illuxi.com/login/callback)
Une fois terminé, veuillez noter le Client ID, nous en aurons besoin
À la section Ajouter les informations d’identification, ajouter un Client secret et copier la valeur du Client secret, nous en aurons besoin
Suivez ensuite les instructions de cette page Inscrire et exposer une API web accompagné des points suivants:
Après avoir Assigner le propriétaire de l’application, vous aurez ainsi défini:
Un ou des propriétaires:
Un rôle d’application:
Une étendue (scope):
À noter que vous n’avez pas besoin de définir une étendue nécessitant un consentement administrateur puisque illuxiLMS n'écrit pas dans votre AAD
Suivez les instructions de la page Configurer une application pour accéder à une API web accompagné des points suivants:
Dans la section Ajouter des autorisations pour accéder à votre API web, vous permettrez ainsi à illuxiLMS d’accéder à certaines informations de base du profil des utilisateurs en ajoutant une permission liée à l'étendu illuxiLMS que vous avez créé précédemment:
Dans la section Ajouter des autorisations pour accéder à Microsoft Graph, vous permettrez à illuxiLMS d’accéder à certaines informations étendues du profil dont nous avons besoin, en l’occurrence, les groupes dont font partie les utilisateurs:
Sélectionnez les permissions suivantes:
OpenId permissions > email
OpenId permissions > offline_access
OpenId permissions > openid
OpenId permissions > profile
Users > User.Read
Directory > Directory.Read.All
Une fois les étapes des sections précédentes complétées, veuillez créer un utilisateur de test qui nous permettra de tester l’intégration de notre côté.
Assurez-vous que cet utilisateur soit ajouté dans un groupe de sécurité préfixé du terme illuxilms.
Une fois les étapes précédentes complétées, veuillez nous envoyer au client@illuxi.com les informations suivantes:
Le nom de votre domaine Azure
La valeur du Client ID
La valeur du Client Secret
Le courriel et le mot de passe de l’utilisateur test que vous avez créés à la section 2.4.
Nous testerons ensuite l’intégration de notre côté et vous reviendrons avec le résultat de nos tests.
Questions et support
Pour toute question ou demande de support, veuillez nous contacter au client@illuxi.com.
1. Fonctionnement
1.1 Connexion
Lorsqu’un de vos utilisateurs se rendra sur votre portail illuxiLMS, il sera redirigé automatiquement sur l'interface de connexion Microsoft:
L’utilisateur s’y connectera et sera ensuite redirigé vers votre portail illuxiLMS. Un compte y aura été créé avec son courriel et l’utilisateur y sera automatiquement connecté.
1.2 Qui pourra avoir accès à votre portail?
Lorsqu’un utilisateur est correctement authentifié sur votre Active Directory Azure et est redirigé sur votre portail, nous recevrons ses nom, prénom, courriel et groupe de sécurité auquel il appartient. Seuls les utilisateurs possédant au moins 1 groupe de sécurité préfixé du mot illuxilms pourront accéder à illuxiLMS. Dans le cas contraire, l’utilisateur sera avisé qu’il ne possède pas les droits pour accéder à ce portail.
1.3 Rôle d'administrateur illuxiLMS
De plus, les utilisateurs qui feront partie d’un groupe de sécurité possédant le préfixe illuxilms-admin, se verront attribuer le rôle d’administrateur de votre portail.
2. Configuration Azure
Comme votre portail possède un environnement de production et environnement staging, veuillez effectuer les étapes suivantes, d’abord pour l’environnement de production, et une 2e fois pour l’environnement staging.
2.1 Enregistrez une nouvelle application sur Plateforme d’identités Microsoft
Enregistrez une nouvelle application dans votre Plateforme d’identités Microsoft en suivant les instructions de la page Inscrire une application dans la plateforme d'identités Microsoft accompagné des points suivants:
Le nom de l’application sera “illuxiLMS Production” (Lors de la création pour l'environnement Staging, utilisez le nom "illuxiLMS Staging")
À la section Ajouter un URI de redirection, le type d’application web est: Web
La valeur de l’URI de redirection est: https://auth0.illuxi.com/login/callback (Pour l'environnement Staging, utilisez https://auth0-staging.illuxi.com/login/callback)
Une fois terminé, veuillez noter le Client ID, nous en aurons besoin
À la section Ajouter les informations d’identification, ajouter un Client secret et copier la valeur du Client secret, nous en aurons besoin
2.2 Inscrire une API web
Suivez ensuite les instructions de cette page Inscrire et exposer une API web accompagné des points suivants:
Après avoir Assigner le propriétaire de l’application, vous aurez ainsi défini:
Un ou des propriétaires:
Un rôle d’application:
Une étendue (scope):
À noter que vous n’avez pas besoin de définir une étendue nécessitant un consentement administrateur puisque illuxiLMS n'écrit pas dans votre AAD
2.3 Configuration pour que illuxiLMS puisse accéder à l’API web
Suivez les instructions de la page Configurer une application pour accéder à une API web accompagné des points suivants:
Dans la section Ajouter des autorisations pour accéder à votre API web, vous permettrez ainsi à illuxiLMS d’accéder à certaines informations de base du profil des utilisateurs en ajoutant une permission liée à l'étendu illuxiLMS que vous avez créé précédemment:
Dans la section Ajouter des autorisations pour accéder à Microsoft Graph, vous permettrez à illuxiLMS d’accéder à certaines informations étendues du profil dont nous avons besoin, en l’occurrence, les groupes dont font partie les utilisateurs:
Sélectionnez les permissions suivantes:
OpenId permissions > email
OpenId permissions > offline_access
OpenId permissions > openid
OpenId permissions > profile
Users > User.Read
Directory > Directory.Read.All
2.4 Création d’un compte de test
Une fois les étapes des sections précédentes complétées, veuillez créer un utilisateur de test qui nous permettra de tester l’intégration de notre côté.
Assurez-vous que cet utilisateur soit ajouté dans un groupe de sécurité préfixé du terme illuxilms.
3. Prochaines étapes
Une fois les étapes précédentes complétées, veuillez nous envoyer au client@illuxi.com les informations suivantes:
Le nom de votre domaine Azure
La valeur du Client ID
La valeur du Client Secret
Le courriel et le mot de passe de l’utilisateur test que vous avez créés à la section 2.4.
Nous testerons ensuite l’intégration de notre côté et vous reviendrons avec le résultat de nos tests.
Questions et support
Pour toute question ou demande de support, veuillez nous contacter au client@illuxi.com.
Mis à jour le : 08/10/2024
Merci !