Active Directory comme fournisseur d’identité externe OAuth 2.0

Prérequis

Le service Active Directory Federation Services (AD FS) doit être installé.
Un groupe d’utilisateurs doit être créé dans Active Directory. Ce groupe sert à gérer la liste des utilisateurs autorisés à accéder à Vantage.
Créez un URI de redirection pour recevoir les réponses d’authentification. L’URI est :
https://<your-vantage-url>/auth2/signin-oidc

Configuration

Pour configurer Active Directory via la console de gestion AD FS, suivez ces étapes :

Ouvrir la console de gestion

Ouvrez la console de gestion AD FS.

Ajouter un nouveau groupe d’applications

Ajoutez un nouveau groupe d’applications et sélectionnez le modèle Web browser accessing a web application.

Assistant AD FS d’ajout d’un groupe d’applications avec le modèle Web browser accessing a web application sélectionné

Configurer l’application native

Dans l’onglet Native Application, saisissez votre URI de redirection et enregistrez l’identifiant client généré — vous en aurez besoin plus tard. Vous pouvez également le retrouver dans les propriétés du groupe d’applications.

Onglet Native Application d’AD FS avec les champs Redirect URI et Client Identifier

Appliquer une stratégie de contrôle d’accès

Dans l’onglet Apply Access Control Policy, sélectionnez un groupe d’utilisateurs à autoriser à accéder à Vantage. Laissez la valeur par défaut Allow everyone si vous ne souhaitez pas encore restreindre l’accès.

Onglet AD FS Apply Access Control Policy avec sélection d’un groupe d’utilisateurs pour l’accès à Vantage

Ignorer les onglets Summary et Complete

Les onglets Summary et Complete ne sont pas nécessaires pour configurer Active Directory. Parcourez-les et cliquez sur Close.

Enregistrer l’ID de l’application

Ouvrez les propriétés du groupe d’applications que vous avez créé. Vous pouvez également gérer l’URI de redirection et l’ID client via Server application Properties. Pour les paramètres avancés, utilisez Web application Properties — c’est également là que vous trouverez l’Application ID. Enregistrez-le, car il sera nécessaire plus loin dans la configuration.

Ajouter une règle de transformation de revendications

Dans la boîte de dialogue Add Transform Claim Rule, ajoutez une règle de revendication pour que l’adresse e-mail et le nom soient inclus dans le jeton.

Boîte de dialogue AD FS Add Transform Claim Rule pour émettre les revendications d’adresse e-mail et de nom dans le jeton OAuth 2.0

Configurer la règle de revendication

Dans l’onglet Configure Claim Rule, sélectionnez Active Directory dans Attribute Store.

Onglet AD FS Configure Claim Rule avec Active Directory sélectionné comme magasin d’attributs

Définir les autorisations du client

Dans la boîte de dialogue Web application Properties, ouvrez l’onglet Client Permissions, sélectionnez les portées openid et profile, puis cliquez sur Apply.

Prochaines étapes

Une fois AD FS configuré, connectez-le à votre tenant Vantage. Vous aurez besoin des éléments suivants :

L’ID d’application (client) obtenu à l’étape 6 ci-dessus.
L’URL ADFS au format https://<full-computer-name>/adfs. Le Full computer name se trouve dans les paramètres système de la machine — par exemple, https://adfs.platform.local/adfs.

Pour la configuration côté Vantage, consultez Configuration d’un fournisseur d’identité externe pour un tenant.

Configuration d’un fournisseur d’identité externe OAuth 2.0

Présentation de la configuration d’OAuth 2.0 pour AD FS ou Azure AD

Azure Active Directory comme fournisseur d’identité externe OAuth 2.0

Configurer Azure AD à la place d’AD FS local

Configuration d’un fournisseur d’identité externe pour un tenant

Connecter AD FS à votre tenant Vantage

Test de l’authentification externe

Vérifier le fournisseur d’identité externe avant que les utilisateurs ne se connectent

Documentation Index

​Prérequis

​Configuration

​Prochaines étapes

​Sujets connexes