Configurer Office 365 pour l'Authentification Unique (SSO) de UserLock
Procédure
- Activer Office 365 dans UserLock SSO
- Installer et configurer Azure AD Connect
- Configurer Office 365 pour l'Authentification Unique (SSO)
Activer Office 365 dans UserLock SSO
Dans la console UserLock, naviguez vers Authentification Unique (SSO) → Configuration.
- Sélectionnez Ajouter une configuration, puis sélectionnez Office 365 comme fournisseur à configurer.
REMARQUE: le service SSO doit être redémarré pour utiliser ce profil.
Installer et configurer Azure AD Connect
Effectuez une installation personnalisée d'Azure AD Connect.
- Téléchargez Azure AD Connect
- Lancez Azure AD Connect
- Sur la page Express Settings, sélectionnez Customize
- Sur la page User Sign-In, sélectionnez Do not configure
- Dans la section Connect Directories, sélectionnez votre domaine AD (contoso.com) et votre domaine Azure AD
Une fois l'installation terminée, Azure AD Connect synchronisera les utilisateurs locaux avec Azure AD.
REMARQUE: Dans Connect to Azure AD, si votre Azure AD est déjà fédéré, vous devrez peut-être redémarrer Azure AD Connect avec l'indicateur /InteractiveAuth.
Configurer Office 365 pour l'Authentification Unique (SSO)
Deux méthodes existent pour configurer Office 365:
- Configurer l'authentification unique avec l'outil Office 365 de IS Decisions (méthode automatisée)
- Configurer SSO avec Powershell (méthode manuelle)
Configurer l'authentification unique avec l'outil Office 365 de IS Decisions
-
Lancer l'outil
Recherchez «Configuration Office 365» dans le menu Démarrer et lancez l’application.
-
Sélectionner le serveur UserLock SSO
À partir de l'outil IS Decisions Office 365, sélectionnez le serveur SSO UserLock qui sera utilisé pour se connecter à Office 365.
-
Connexion à Microsoft Online
L'outil nécessite le module MSOnline Powershell. S'il n'est pas installé, l'outil tentera l'installation. Lorsque vous y êtes invité, veuillez consentir et procéder à l'installation pour continuer à configurer Office 365 SSO.
Connectez-vous avec les informations d'identification d'administrateur global Azure AD.
-
Définir la fédération
Sélectionnez le domaine à fédérer dans la liste déroulante du haut et cliquez sur le bouton «Fédérer le domaine» pour terminer le processus:
Configurer SSO avec Powershell
Exécutez Powershell en tant qu'administrateur.
-
Connexion à Microsoft Online
Exécutez la commande suivante et connectez-vous avec un compte Microsoft Online d'administrateur de domaine:
Connect-MsolService
-
S'assurer que le domaine Microsoft Online est géré
Exécutez le code suivant pour déterminer si votre domaine Office est défini comme fédéré ou géré:
Get-MsolDomain -DomainName federated.domain.name | Select-Object "Authentication"
S'il est défini sur Fédéré, vous devrez désactiver la fédération:
Set-MsolDomainAuthentication -DomainName contoso.com -Authentication Managed
-
Obtenir les données du certificat
- Naviguez vers le dossier C:\ProgramData\ISDecisions\UserLock\SSO
- Ouvrir le fichier ulsso.cer avec Notepad
- Copiez uniquement les données entre la première et la dernière ligne. N'incluez pas ces lignes.
-
Dans la fenêtre Powershell, affectez les données du certificat à la variable $certData
$certData = ‘MIICtTCCAZ2gAw……IBAgIIJ5vEidR23KwwDQYJ==’
-
Définir la fédération
Exécutez la commande suivante pour définir l'authentification pour UserLock SSO. Veuillez noter que $certData est utilisé pour les données -SigningCertificate:
Set-MsolDomainAuthentication -DomainName contoso.com`
-Authentication Federated `-PassiveLogOnUri https://sso.contoso.com/saml/sso `-SigningCertificate $certData `-IssuerUri https://sso.contoso.com `-PreferredAuthenticationProtocol Samlp `-LogOffUri https://sso.contoso.com/connect/endsessionSSO est désormais la source d'authentification définie du domaine fédéré.
Comment annuler le SSO
Pour annuler l'authentification unique, vous pouvez utiliser l'outil IS Decisions ou Powershell:
- À l'aide de l'outil IS Decisions, annulez la fédération sur un domaine fédéré.
-
À l'aide de Powershell, exécutez les commandes suivantes:
Connect-MsolService
Set-MsolDomainAuthentication -DomainName sso.contoso.com -Authentication Managed