Configurer Microsoft 365 pour l'Authentification Unique (SSO) de UserLock
Procédure
- Activer Microsoft 365 dans UserLock SSO
- Installer et configurer Azure AD Connect
- Configurer Microsoft 365 pour l'Authentification Unique (SSO)
Activer Microsoft 365 dans UserLock SSO
Dans la console UserLock, naviguez vers Authentification Unique (SSO) → Configuration.
- Sélectionnez Ajouter une configuration, puis sélectionnez Microsoft 365 comme fournisseur à configurer.
- Ajoutez vos domaines d'applications
REMARQUE: le service SSO doit être redémarré pour utiliser ce profil.
Cas des sous-domaines Microsoft 365
Si vous avez plusieurs domaines à fédérer, vous verrez un message apparaître si vous rajoutez un sous-domaine d'un domaine déjà saisi. La fédération des sous-domaines est en règle générale automatique et il ne faut pas les rajouter à cet endroit sous peine d'échouer à configurer la SSO correctement. Néanmoins, il est parfois nécessaire de les ajouter.
Dans le cas des sous-domaines, veuillez respecter les règles suivantes:
- Règle n°1 - Si vous n'avez qu'un seul tenant Microsoft 365, n'ajoutez jamais les sous-domaines.
- Règle n°2 - Si vous avez plusieurs tenants, n'ajoutez un sous domaine uniquement s'il appartient à un tenant différent du domaine principal.
Example 1 - Sous-domaines dans le même tenant
L'entreprise XYZ utilise le tenant Microsoft 365 mydomain.onmicrosoft.com et le domaine mydomain.com comme domaine des adresses email pour la plupart des comptes de son Active Directory. Deux équipes ont des domaines différents:
- l'équipe des ventes utilise le domaine sales.mydomain.com
- l'équipe basée en France utilise le domain mydomain.fr
Lors de la configuration de la SSO, seuls les domaines mydomain.com et mydomain.fr doivent être ajoutés dans la liste. Le sous-domaine sales.mydomain.com sera automatiquement fédéré, en même temps que le domaine principal.
Example 2 - Sous-domaines dans des tenants différents
L'entreprise XYZ utilise les tenants Microsoft 365 mydomain.onmicrosoft.com et myotherdomain.onmicrosoft.com. Le domaine mydomain.com est le domaine des adresses email pour la plupart des comptes de son Active Directory. Deux équipes ont des domaines différents:
- l'équipe des ventes utilise le domaine sales.mydomain.com
- l'équipe basée en France utilise le domain myotherdomain.com
- le domaine sales.mydomain.com appartient au tenant myotherdomain.onmicrosoft.com.
Lors de la configuration de la SSO, les trois domaines doivent être ajoutés dans la liste. Le sous-domaine sales.mydomain.com ne peut pas être automatiquement fédéré en même temps que le domaine principal car il n'appartient pas au même tenant.
Configurer Microsoft 365 pour l'Authentification Unique (SSO)
Vous pouvez configurer Microsoft 365 à l'aide d'un outil fourni par IS Decisions (voir ci-dessous en fonction de votre version), ou via PowerShell:
- Configurer l'authentification unique avec l'outil Microsoft 365 de IS Decisions (méthode automatisée) pour UserLock 11.2
- Configurer l'authentification unique avec l'outil UserLock SSO Assistant de Is Decisions pour UserLock 12.0
- Configurer SSO avec Powershell (méthode manuelle)
Configurer l'authentification unique avec l'outil Microsoft 365 de IS Decisions
-
Lancer l'outil
Recherchez «Configuration Microsoft 365» dans le menu Démarrer et lancez l’application.
-
Sélectionner le serveur UserLock SSO
À partir de l'outil IS Decisions Microsoft 365, sélectionnez le serveur SSO UserLock qui sera utilisé pour se connecter à Microsoft 365.
-
Connexion à Microsoft Online
L'outil nécessite le module MSOnline Powershell. S'il n'est pas installé, l'outil tentera l'installation. Lorsque vous y êtes invité, veuillez consentir et procéder à l'installation pour continuer à configurer Microsoft 365 SSO.
Connectez-vous avec les informations d'identification d'administrateur global Azure AD.
-
Définir la fédération
Sélectionnez le domaine à fédérer dans la liste déroulante du haut et cliquez sur le bouton «Fédérer le domaine» pour terminer le processus:
Synchroniser vos utilisateurs
La synchronisation des utilisateurs est nécessaire pour que Microsoft 365 reconnaisse les identités des utilisateurs de l'Active Directory. Deux méthodes sont disponibles:
- Azure AD Connect - méthode recommandée car automatique une fois configurée
- L'assistant UserLock SSO - cette méthode manuelle est plus simple et plus rapide pour démarrer mais peut être fastidieuse avec un grand nombre d'utilisateurs
Installer et configurer Azure AD Connect
Effectuez une installation personnalisée d'Azure AD Connect.
- Téléchargez Azure AD Connect
- Lancez Azure AD Connect
- Sur la page Express Settings, sélectionnez Customize
- Sur la page User Sign-In, sélectionnez Do not configure
- Dans la section Connect Directories, sélectionnez votre domaine AD (contoso.com) et votre domaine Azure AD
Une fois l'installation terminée, Azure AD Connect synchronisera les utilisateurs locaux avec Azure AD.
REMARQUE: Dans Connect to Azure AD, si votre Azure AD est déjà fédéré, vous devrez peut-être redémarrer Azure AD Connect avec l'indicateur /InteractiveAuth.
Configurer SSO avec Powershell
Exécutez Powershell en tant qu'administrateur.
-
Connexion à Microsoft Online
Exécutez la commande suivante et connectez-vous avec un compte Microsoft Online d'administrateur de domaine:
Connect-MsolService
-
S'assurer que le domaine Microsoft Online est géré
Exécutez le code suivant pour déterminer si votre domaine Office est défini comme fédéré ou géré:
Get-MsolDomain -DomainName protected.azure-ad.domain | Select-Object "Authentication"
S'il est défini sur Fédéré, vous devrez désactiver la fédération:
Set-MsolDomainAuthentication -DomainName protected.azure-ad.domain -Authentication Managed
-
Obtenir les données du certificat
- Naviguez vers le dossier C:\ProgramData\ISDecisions\UserLock\SSO
- Ouvrir le fichier ulsso.cer avec Notepad
- Copiez uniquement les données entre la première et la dernière ligne. N'incluez pas ces lignes.
-
Dans la fenêtre Powershell, affectez les données du certificat à la variable $certData
$certData = ‘MIICtTCCAZ2gAw……IBAgIIJ5vEidR23KwwDQYJ==’
-
Définir la fédération
Exécutez la commande suivante pour définir l'authentification pour UserLock SSO. Veuillez noter que $certData est utilisé pour les données -SigningCertificate:
Set-MsolDomainAuthentication -DomainName protected.azure-ad.domain`
-Authentication Federated `-PassiveLogOnUri https://my.sso.domain.com/saml/sso `-SigningCertificate $certData `-IssuerUri https://my.sso.domain.com/protected.azure-ad.domain `-PreferredAuthenticationProtocol Samlp `-LogOffUri https://my.sso.domain.com/connect/endsessionSSO est désormais la source d'authentification définie du domaine fédéré.
Comment annuler le SSO
Pour annuler l'authentification unique, vous pouvez utiliser l'outil IS Decisions ou Powershell:
- À l'aide de l'outil IS Decisions, annulez la fédération sur un domaine fédéré.
-
À l'aide de Powershell, exécutez les commandes suivantes:
Connect-MsolService
Set-MsolDomainAuthentication -DomainName protected.azure-ad.domain -Authentication Managed
Résolution des problèmes
Sur un serveur Windows, la Configuration de sécurité renforcée est active par défaut, ce qui risque d'empêcher l’outil de configuration Microsoft 365 d’afficher correctement la fenêtre d’authentification de Microsoft. Dans ce cas, un pop-up avec un message d’erreur apparaitra et la fenêtre restera vide.
Pour résoudre cela, veuillez suivre les instructions suivantes:
- Ouvrir les Options Internet, en entrant la commande inetcpl.cpl dans la fenêtre Exécuter (par le raccourci : Windows + R) ou en tapant la commande inetcpl.cpl dans le menu Démarrer (icone Windows)
- Dans l’onglet Sécurité, sélectionner Sites de confiance et cliquer sur le bouton Sites
- Ajouter https://login.microsoftonline.com, https://aadcdn.msauth.net et https://aadcdn.msftauth.net à la liste des sites Web
- Cliquer sur Fermer puis OK
- Restart the Microsoft 365 Configuration tool