Faire de Microsoft Entra ID un fournisseur d'identité

Pour déléguer l'authentification au service Microsoft Entra ID, vous devez le configurer comme fournisseur d'identité (IdP) dans Okta.

Avant de commencer

Suivez les étapes de la section Créer l'application d'entreprise Okta dans Microsoft Entra ID et prenez note des éléments suivants :

  • URL de connexion

  • Identificateur AAD

  • Certificat téléchargé (Base64)

Lancer la procédure

Cette procédure implique la réalisation des tâches suivantes :

  1. Ajouter Microsoft Entra ID en tant que fournisseur d'identité

  2. Mettre à jour l'application Okta dans le portail Microsoft Azure

Cette procédure comprend les étapes à suivre pour utiliser SAML et définir AAD en tant que Fournisseur d'identité. Pour utiliser OpenID Connect, consultez la section Créer un fournisseur d'identité dans Okta. Après avoir créé un IdP à l'aide d' OpenID Connect, vous pouvez configurer une règle de routage pour Azure. Consultez Configurer les règles de routage du fournisseur d'identité.

Ajouter Microsoft Entra ID en tant que fournisseur d'identité

  1. Dans Admin Console, allez à SécuritéFournisseurs d'identité.

  2. Cliquez sur Ajouter un fournisseur d'identité et sélectionnez Ajouter l'IdP SAML 2.0.
  3. Saisissez AAD ou le nom que vous souhaitez donner au fournisseur d'identité dans le champ Nom.

  4. Remplissez les champs suivants dans la section PARAMÈTRES D'AUTHENTIFICATION :

    Champ Valeur
    Nom d'utilisateur de l'IdP

    Saisissez idpuser.email.
    Filtre Facultatif.

    Cochez la case Autoriser uniquement les noms d'utilisateur qui correspondent au modèle d'expression régulière et saisissez un modèle d'expression régulière. Ce modèle filtre le nom d'utilisateur de l'IdP afin d'empêcher l'IdP d'authentifier des utilisateurs inattendus ou privilégiés.
    Comparer à Sélectionnez un attribut utilisateur dans la liste déroulante. Par exemple, Nom d'utilisateur Okta.

    Cet attribut utilisateur Okta est comparé au nom d'utilisateur de l'IdP afin de trouver les utilisateurs existants.

    Politique de liaison de compte

    		 Sélectionnez Automatique pour associer automatiquement les utilisateurs de l'IdP entrants aux utilisateurs existants dans Okta.

    Sélectionnez Désactivé si vous voulez associer manuellement les utilisateurs ou si vous ne voulez pas associer les utilisateurs.

    Restrictions de liaison automatique

    		 Facultatif.

    Vous pouvez restreindre la liaison automatique des comptes à certains groupes spécifiques.

    Sélectionnez Groupes spécifiques dans la liste déroulante et saisissez les noms des groupes. L'utilisateur de l'IdP est automatiquement associé dans la mesure où l'utilisateur correspondant appartient à l'un des groupes spécifiés.

    Si aucune correspondance n'est trouvée Facultatif. Sélectionnez Créer un utilisateur (JIT) pour créer un nouveau compte pour un utilisateur sans correspondance.

  5. Renseignez les champs suivants dans la zone Paramètres JIT :

    Champ Valeur
    Source de profil Cochez la case Modifier les attributs d'utilisateurs existants.
    Paramètres de réactivation Facultatif.

    Cochez les cases Réactiver les utilisateurs désactivés dans Okta et Annuler la suspension des utilisateurs suspendus dans Okta.
    Affectations de groupe Facultatif.

    Sélectionnez une option pour déterminer le comportement des affectations de groupe durant l'approvisionnement.

    Vous pouvez affecter l'utilisateur à des groupes spécifiques, les ajouter à des groupes manquants en fonction d'un nom d'attribut SAML et d'un filtre de groupe, ou effectuer une synchronisation complète des groupes.

  6. Renseignez les champs suivants dans la zone PARAMÈTRES DE PROTOCOLE SAML :

    Champ Valeur
    URI de l'émetteur de l'IdP Saisissez la valeur présente dans le champ Identificateur Microsoft Entra ID que vous avez notée précédemment.
    URL d'authentification unique de l'IdP Saisissez la valeur présente dans le champ URL de connexion que vous avez notée précédemment.
    Certificat de signature de l'IdP Cliquez sur Parcourir les fichiers puis accédez à l'emplacement du certificat de clé PEM ou DER du fournisseur d'identité que vous avez téléchargé précédemment, et cliquez sur Ouvrir.
  7. Cliquez sur Ajouter un fournisseur d'identité.
  8. Sur la page Fournisseurs d'identité, cliquez sur l'icône permettant de développer () le fournisseur d'identité AAD et prenez note des valeurs présentes dans les champs suivants :
    • Assertion Consumer Service URL
    • URI d'audience

Après avoir ajouté Azure en tant que IdP, configurez une règle de routage pour celui-ci. Les règles de routage vous permettent de rediriger les utilisateurs vers un IdP en fonction de leur appareil, de domaine d'e-mail ou de l'app qu'ils essaient d'accéder. Consultez Configurer les règles de routage du fournisseur d'identité.

Mettre à jour l'application Okta dans le portail Microsoft Azure

  1. Connectez-vous au portail Microsoft Azure puis cliquez sur l'icône menu en haut à gauche du portail et sélectionnez Microsoft Entra ID.
  2. Cliquez sur Application Enterprise dans le menu de gauche et sélectionnez Okta dans la liste des applications.
  3. Dans le menu de gauche, cliquez sur Authentification unique, puis sur SAML.

  4. Dans la zone Basic SAML Configuration (Configuration SAML de base), cliquez sur Modifier et remplissez les champs suivants :

    Champ Valeur
    Identificateur (ID d'entité) Saisissez la valeur de l'URI d'audience que vous aviez notée à l'étape 8.
    URL de réponse (URL du service consommateur d'assertion) Saisissez la valeur de l'Assertion Consumer Service URL que vous aviez notée à l'étape 8.
  5. Cliquez sur Enregistrer et Fermer.

Étapes suivantes

Mapper les attributs Microsoft Entra ID avec les attributs Okta