Configurer Microsoft 365 pour l'Authentification Unique (SSO) de UserLock

Procédure

• Activer Microsoft 365 dans UserLock SSO
• Installer et configurer Azure AD Connect
• Configurer Microsoft 365 pour l'Authentification Unique (SSO)

Activer Microsoft 365 dans UserLock SSO

Dans la console UserLock, naviguez vers Authentification Unique (SSO) → Configuration.

1. Sélectionnez Ajouter une configuration, puis sélectionnez Microsoft 365 comme fournisseur à configurer.

REMARQUE: le service SSO doit être redémarré pour utiliser ce profil.

REMARQUE: La configuration Microsoft 365 pour UserLock SSO s'applique aux connexions des applications utilisant Azure AD (comme par exemple le portail Azure ou Microsoft Partner Network ou toutes autres applications configurées pour utiliser Azure AD). Celles-ci seront également protégées par UserLock et vues comme connexion à "Microsoft".

Installer et configurer Azure AD Connect

Effectuez une installation personnalisée d'Azure AD Connect.

1. Téléchargez Azure AD Connect
2. Lancez Azure AD Connect
3. Sur la page Express Settings, sélectionnez Customize
4. Sur la page User Sign-In, sélectionnez Do not configure
5. Dans la section Connect Directories, sélectionnez votre domaine AD (contoso.com) et votre domaine Azure AD

Une fois l'installation terminée, Azure AD Connect synchronisera les utilisateurs locaux avec Azure AD.

REMARQUE: Dans Connect to Azure AD, si votre Azure AD est déjà fédéré, vous devrez peut-être redémarrer Azure AD Connect avec l'indicateur /InteractiveAuth.

Configurer Microsoft 365 pour l'Authentification Unique (SSO)

Deux méthodes existent pour configurer Microsoft 365:

• Configurer l'authentification unique avec l'outil Microsoft 365 de IS Decisions (méthode automatisée)
• Configurer SSO avec Powershell (méthode manuelle)

Configurer l'authentification unique avec l'outil Microsoft 365 de IS Decisions

1. Lancer l'outil

   Recherchez «Configuration Microsoft 365» dans le menu Démarrer et lancez l’application.

   
   

2. Sélectionner le serveur UserLock SSO

   À partir de l'outil IS Decisions Microsoft 365, sélectionnez le serveur SSO UserLock qui sera utilisé pour se connecter à Microsoft 365.

   
   

3. Connexion à Microsoft Online

   L'outil nécessite le module MSOnline Powershell. S'il n'est pas installé, l'outil tentera l'installation. Lorsque vous y êtes invité, veuillez consentir et procéder à l'installation pour continuer à configurer Microsoft 365 SSO.

   
   

   
   

   Connectez-vous avec les informations d'identification d'administrateur global Azure AD.

   
   

4. Définir la fédération

   Sélectionnez le domaine à fédérer dans la liste déroulante du haut et cliquez sur le bouton «Fédérer le domaine» pour terminer le processus:

   
   

   
   

Configurer SSO avec Powershell

Exécutez Powershell en tant qu'administrateur.

1. Connexion à Microsoft Online

   Exécutez la commande suivante et connectez-vous avec un compte Microsoft Online d'administrateur de domaine:

   Connect-MsolService

2. S'assurer que le domaine Microsoft Online est géré

   Exécutez le code suivant pour déterminer si votre domaine Office est défini comme fédéré ou géré:

   Get-MsolDomain -DomainName federated.domain.name | Select-Object "Authentication"

   S'il est défini sur Fédéré, vous devrez désactiver la fédération:

   Set-MsolDomainAuthentication -DomainName contoso.com -Authentication Managed

3. Obtenir les données du certificat

   • Naviguez vers le dossier C:\ProgramData\ISDecisions\UserLock\SSO
   • Ouvrir le fichier ulsso.cer avec Notepad
   • Copiez uniquement les données entre la première et la dernière ligne. N'incluez pas ces lignes.

   • Dans la fenêtre Powershell, affectez les données du certificat à la variable $certData

     $certData = ‘MIICtTCCAZ2gAw……IBAgIIJ5vEidR23KwwDQYJ==’

4. Définir la fédération

   Exécutez la commande suivante pour définir l'authentification pour UserLock SSO. Veuillez noter que $certData est utilisé pour les données -SigningCertificate:

   Set-MsolDomainAuthentication -DomainName contoso.com`
   -Authentication Federated `
   -PassiveLogOnUri https://sso.contoso.com/saml/sso `
   -SigningCertificate $certData `
   -IssuerUri https://sso.contoso.com `
   -PreferredAuthenticationProtocol Samlp `
   -LogOffUri https://sso.contoso.com/connect/endsession

   SSO est désormais la source d'authentification définie du domaine fédéré.

Comment annuler le SSO

Pour annuler l'authentification unique, vous pouvez utiliser l'outil IS Decisions ou Powershell:

• À l'aide de l'outil IS Decisions, annulez la fédération sur un domaine fédéré.

• À l'aide de Powershell, exécutez les commandes suivantes:

  Connect-MsolService
Set-MsolDomainAuthentication -DomainName sso.contoso.com -Authentication Managed

Résolution des problèmes

Sur un serveur Windows, la Configuration de sécurité renforcée est active par défaut, ce qui risque d'empêcher l’outil de configuration Microsoft 365 d’afficher correctement la fenêtre d’authentification de Microsoft. Dans ce cas, un pop-up avec un message d’erreur apparaitra et la fenêtre restera vide.

Pour résoudre cela, veuillez suivre les instructions suivantes:

• Ouvrir les Options Internet, en entrant la commande inetcpl.cpl dans la fenêtre Exécuter (par le raccourci : Windows + R) ou en tapant la commande inetcpl.cpl dans le menu Démarrer (icone Windows)
• Dans l’onglet Sécurité, sélectionner Sites de confiance et cliquer sur le bouton Sites
• Ajouter https://login.microsoftonline.com, https://aadcdn.msauth.net et https://aadcdn.msftauth.net à la liste des sites Web
• Cliquer sur Fermer puis OK
• Restart the Microsoft 365 Configuration tool

• Configurer les applications
  • AdobeSign
  • AWS
  • Box
  • DocuSign
  • Dropbox
  • G-suite
  • Microsoft 365
  • Salesforce
  • ServiceNow
  • Slack
  • Slite
  • Zendesk