Tutoriel : Intégration de l’authentification unique Microsoft Entra à Cirrus Identity Bridge for Microsoft Entra ID

Dans ce tutoriel, vous allez apprendre à intégrer Cirrus Identity Bridge for Microsoft Entra ID à Microsoft Entra ID à l’aide d’un modèle d’intégration basé sur l’API Microsoft Graph. Quand vous intégrez Cirrus Identity Bridge pour Microsoft Entra ID à Microsoft Entra ID de cette façon, vous pouvez :

• Contrôler qui a accès à InCommon ou à d’autres fournisseurs de services de fédération multilatérale à partir de Microsoft Entra ID.
• Permettre à vos utilisateurs d’utiliser l’authentification unique à InCommon ou à d’autres fournisseurs de services de fédération multilatérale avec leurs comptes Microsoft Entra.
• Permettre à vos utilisateurs d’accéder aux applications CAS (Central Authentication Service) avec leurs comptes Microsoft Entra.
• Gérer votre accès aux applications dans un seul emplacement central.

Prérequis

Pour commencer, vous devez disposer de ce qui suit :

• Un abonnement Microsoft Entra. Si vous ne disposez d’aucun abonnement, vous pouvez obtenir un compte gratuit.
• Un abonnement Cirrus Identity Bridge for Microsoft Entra pour lequel l’authentification unique est activée. Si vous n’êtes pas déjà abonné, consultez la page d’inscription Cirrus Identity Microsoft Entra ID Bridge.

Description du scénario

Dans ce tutoriel, vous configurez et testez Microsoft Entra SSO dans un environnement de test.

• Cirrus Identity Bridge for Microsoft Entra ID prend en charge l’authentification unique lancée par le fournisseur de services et le fournisseur d’identité.

Avant d’ajouter Cirrus Identity Bridge for Microsoft Entra ID à partir de la galerie

Lors de l’abonnement à Cirrus Identity Bridge for Microsoft Entra ID, vous êtes invité à fournir votre TenantID Microsoft Entra. Pour l’afficher :

1. Connectez-vous au centre d’administration Microsoft Entra.
2. Accédez à Identité>Vue d’ensemble>Propriétés.
3. Faites défiler jusqu’à la section ID client et vous trouverez votre ID de locataire dans la zone.
4. Copiez la valeur et envoyez-la au représentant du contrat Cirrus Identity avec lequel vous travaillez.

Pour utiliser l’intégration de l’API Microsoft Graph, vous devez accorder à Cirrus Identity Bridge for Microsoft Entra un accès pour utiliser l’API dans votre locataire. Pour ce faire :

1. Connectez-vous au centre d’administration Microsoft Entra.
2. Modifiez l’URL https://login.microsoftonline.com/$TENANT_ID/adminconsent?client_id=ea71bc49-6159-422d-84d5-6c29d7287974&state=12345&redirect_uri=https://admin.cirrusidentity.com/azure-registration en remplaçant $TENANT_ID par la valeur de votre locataire Microsoft Entra.
3. Collez l’URL dans le navigateur dans lequel vous êtes connecté en tant qu’administrateur général.
4. Vous êtes invité à consentir à accorder l’accès.
5. En cas de réussite, il doit y avoir une nouvelle application appelée API Cirrus Bridge.
6. Informez le représentant du contrat Cirrus Identity avec lequel vous travaillez que vous avez bien accordé à l’API un accès à Cirrus Identity Bridge for Microsoft Entra ID.

Une fois que Cirrus Identity dispose de l’ID de locataire et que l’accès a été accordé, nous allons provisionner l’infrastructure Cirrus Identity Bridge for Microsoft Entra et vous fournir les informations suivantes propres à votre abonnement :

• URI d’identificateur / ID d’entité
• URI de redirection / URL de réponse
• URL de déconnexion unique
• Certificat de chiffrement du fournisseur de services (en cas d’utilisation d’assertions chiffrées ou de déconnexion)
• Une URL pour les tests
• Instructions supplémentaires en fonction des options incluses dans votre abonnement

Remarque

Si vous ne parvenez pas à accorder à l’API l’accès à Cirrus Identity Bridge for Microsoft Entra ID, Bridge peut être intégré à l’aide d’une intégration SAML2 traditionnelle. Informez le représentant du contrat Cirrus Identity avec lequel que vous travaillez que vous ne pouvez pas utiliser l’intégration de l’API MS Graph.

Ajouter Cirrus Identity Bridge for Microsoft Entra ID à partir de la galerie

Pour configurer l’intégration de Cirrus Identity Bridge for Microsoft Entra ID à Microsoft Entra ID, vous devez ajouter Cirrus Identity Bridge for Microsoft Entra ID à partir de la galerie à votre liste d’applications SaaS managées.

1. Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.
2. Accédez à Identité>Applications>Applications d’entreprise>Nouvelle application.
3. Dans la section Ajouter à partir de la galerie, tapez Cirrus Identity Bridge for Microsoft Entra ID dans la zone de recherche.
4. Sélectionnez Cirrus Identity Bridge for Microsoft Entra ID dans le panneau de résultats, puis ajoutez l’application. Patientez quelques secondes pendant que l’application est ajoutée à votre locataire.

Vous pouvez également utiliser l’assistant Entreprise App Configuration. Dans cet assistant, vous pouvez ajouter une application à votre locataire, ajouter des utilisateurs/groupes à l’application, attribuer des rôles, mais également parcourir la configuration de l’authentification unique. En savoir plus sur les assistants Microsoft 365.

Configurer et tester l’authentification unique Microsoft Entra pour Cirrus Identity Bridge for Microsoft Entra ID

Configurez et testez l’authentification unique Microsoft Entra avec Cirrus Identity Bridge for Microsoft Entra ID à l’aide d’un utilisateur de test appelé B.Simon. Pour que l’authentification unique fonctionne, vous devez établir un lien entre un utilisateur Microsoft Entra et l’utilisateur Cirrus Identity Bridge for Microsoft Entra ID associé.

Pour configurer et tester l’authentification unique Microsoft Entra avec Cirrus Identity Bridge for Microsoft Entra ID, effectuez les étapes suivantes :

1. Configurez l’authentification unique Microsoft Entra pour permettre à vos utilisateurs d’utiliser cette fonctionnalité.
   1. Créez un utilisateur de test Microsoft Entra pour tester l’authentification unique Microsoft Entra avec B.Simon.
   2. Attribuez l’utilisateur test Microsoft Entra pour permettre à B.Simon d’utiliser l’authentification unique Microsoft Entra.
2. Configurez l’authentification unique Cirrus Identity Bridge for Microsoft Entra pour configurer les paramètres de l’authentification unique côté application.
   1. Configurez le test Cirrus Identity Bridge pour Microsoft Entra pour avoir dans Cirrus Identity Bridge pour Microsoft Entra ID un équivalent de B.Simon lié à la représentation Microsoft Entra associée.
3. Tester l’authentification unique pour vérifier si la configuration fonctionne.

Configurer Microsoft Entra SSO

Effectuez ces étapes pour activer l’authentification unique Microsoft Entra.

1. Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.

2. Accédez à la page d’intégration d’application Identité>Applications>Applications d’entreprise>Cirrus Identity Bridge for Microsoft Entra ID, recherchez la section Gérer et sélectionnez Propriétés.

3. Dans la page Propriétés, définissez l’affectation requise en fonction de vos besoins d’accès. Si la valeur Oui est définie, vous devez affecter l’application Cirrus Identity Bridge for Microsoft Entra ID à un groupe de contrôle d’accès dans la page Utilisateurs et groupes.

4. Toujours dans la page Propriétés, définissez Visible pour les utilisateurs ? sur Non. L’intégration initiale représente toujours l’intégration par défaut utilisée pour plusieurs fournisseurs de services. Dans ce cas, il n’y aura aucun fournisseur de services vers lequel diriger les utilisateurs finaux. Pour rendre des applications spécifiques visibles pour les utilisateurs finaux, vous devez utiliser l’authentification unique de liaison pour accorder à l’utilisateur final l’accès à Mes applications à des fournisseurs de services spécifiques. Consultez ce document pour plus d’informations.

5. Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.

6. Accédez à Identité>Applications>Applications d’entreprise>Cirrus Identity Bridge for Microsoft Entra ID>Authentification unique.

7. Dans la page Sélectionner une méthode d’authentification unique, sélectionnez SAML.

8. Dans la page Configurer l’authentification unique avec SAML, cliquez sur l’icône de crayon de Configuration SAML de base afin de modifier les paramètres.

   

9. Dans la section Configuration SAML de base, effectuez les étapes suivantes :

   a. Dans la zone de texte Identificateur (ID d’entité) , saisissez une URL au format suivant : https://<DOMAIN>/bridge

   b. Dans la zone de texte URL de réponse, tapez une URL au format suivant : https://<NAME>.proxy.cirrusidentity.com/module.php/saml/sp/saml2-acs.php/<NAME>_proxy

10. Si vous souhaitez configurer l’application en mode démarré par le fournisseur de services, cliquez sur Définir des URL supplémentaires, puis effectuez les étapes suivantes :

    Dans la zone de texte URL de connexion, saisissez une valeur au format suivant : <CUSTOMER_LOGIN_URL>.

    Notes

    Il ne s’agit pas de valeurs réelles. Mettez à jour ces valeurs avec l’identificateur, l’URL de réponse et l’URL de connexion réels. Si vous n’êtes pas encore abonné à Cirrus Bridge, visitez la page d’inscription. Si vous êtes un client Cirrus Bridge, contactez l’équipe du support technique de Cirrus Identity Bridge for Microsoft Entra pour obtenir ces valeurs. Vous pouvez également consulter les modèles figurant à la section Configuration SAML de base.

11. L’application Cirrus Identity Bridge for Microsoft Entra s’attend à recevoir les assertions SAML dans un format spécifique, ce qui vous oblige à ajouter des mappages d’attributs personnalisés à votre configuration d’attributs de jetons SAML. La capture d’écran suivante montre la liste des attributs par défaut.

    

12. Cirrus Identity Bridge for Microsoft Entra préremplit les Attributs et revendications typiques à utiliser avec la fédération de confiance InCommon. Vous pouvez les passer en revue et les modifier pour répondre à vos besoins. Pour plus d’informations, consultez la spécification du schéma eduPerson.

    Nom	Attribut source
    urn:oid:2.5.4.42	user.givenname
    urn:oid:2.5.4.4	user.surname
    urn:oid:0.9.2342.19200300.100.1.3	user.mail
    urn:oid:1.3.6.1.4.1.5923.1.1.1.6	user.userprincipalname
    cirrus.nameIdFormat	"urn:oasis:names:tc:SAML:2.0:nameid-format:transient"

    Remarque

    Ces valeurs par défaut partent du principe que l’UPN Microsoft Entra est approprié pour être utilisé comme eduPersonPrincipalName.

13. Dans la page Configurer l’authentification unique avec SAML, dans la section Certificat de signature SAML, cliquez sur le bouton Copier pour copier l’URL des métadonnées de fédération d’application, puis enregistrez-la sur votre ordinateur.

    

Créer un utilisateur de test Microsoft Entra

Dans cette section, vous allez créer un utilisateur de test appelé B.Simon.

1. Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’Administrateur de l’utilisateur.
2. Accédez à Identité>Utilisateurs>Tous les utilisateurs.
3. Sélectionnez Nouvel utilisateur>Créer un utilisateur dans la partie supérieure de l’écran.
4. Dans les propriétés Utilisateur, effectuez les étapes suivantes :
   1. Dans le champ Nom d’affichage, entrez B.Simon.
   2. Dans le champ Nom d’utilisateur principal, entrez username@companydomain.extension. Par exemple : B.Simon@contoso.com.
   3. Cochez la case Afficher le mot de passe, puis notez la valeur affichée dans le champ Mot de passe.
   4. Sélectionnez Revoir + créer.
5. Sélectionnez Create (Créer).

Attribuer l’utilisateur test Microsoft Entra

Dans cette section, vous autorisez B. Simon à utiliser l’authentification unique en accordant l’accès à Cirrus Identity Bridge for Microsoft Entra ID.

1. Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.
2. Accédez à Identité>Applications>Applications d’entreprise>Cirrus Identity Bridge for Microsoft Entra ID.
3. Dans la page de présentation de l’application, sélectionnez Utilisateurs et groupes.
4. Sélectionnez Ajouter un utilisateur/groupe, puis Utilisateurs et groupes dans la boîte de dialogue Ajouter une attribution.
   1. Dans la boîte de dialogue Utilisateurs et groupes, sélectionnez B. Simon dans la liste Utilisateurs, puis cliquez sur le bouton Sélectionner au bas de l’écran.
   2. Si vous attendez qu’un rôle soit attribué aux utilisateurs, vous pouvez le sélectionner dans la liste déroulante Sélectionner un rôle . Si aucun rôle n’a été configuré pour cette application, vous voyez le rôle « Accès par défaut » sélectionné.
   3. Dans la boîte de dialogue Ajouter une attribution, cliquez sur le bouton Attribuer.

Configurer l’authentification unique Cirrus Identity Bridge for Microsoft Entra

Vous trouverez plus de documentation sur la configuration de Cirrus Bridge dans Cirrus Identity. Pour configurer également Cirrus Bridge afin qu’il prenne en charge l’accès aux services CAS, le support de CAS est également disponible pour Cirrus Bridge.

Configurer le test Cirrus Identity Bridge pour Microsoft Entra

Dans cette section, vous allez vérifier qu’un utilisateur appelé Britta Simon peut être utilisé à des fins de test. L’équipe du support technique de Cirrus Identity Bridge pour Microsoft Entra vous fournira une URL de test pour vérifier que l’utilisateur Britta Simon est prêt à être utilisé avec la plateforme Cirrus Identity Bridge pour Microsoft Entra. L’utilisateur de test Britta Simon devra également être ajouté à toutes les applications utilisant Cirrus Identity Bridge for Microsoft Entra ID comme méthode d’authentification (par exemple, les applications dans les métadonnées de fédération multilatérale).

Tester l’authentification unique (SSO)

Dans cette section, vous testez votre configuration d’authentification unique Microsoft Entra avec les options suivantes.

Lancée par le fournisseur de services :

• Cliquez sur Tester cette application. Cela vous redirige vers l’URL de connexion à Cirrus Identity Bridge for Microsoft Entra ID où vous pouvez lancer le flux de connexion.

• Accédez directement à l’URL de connexion à Cirrus Identity Bridge for Microsoft Entra ID pour lancer le flux de connexion.

Lancée par le fournisseur d’identité :

• Cliquez sur Tester cette application. Vous devriez alors être connecté automatiquement à l’instance de Cirrus Identity Bridge for Microsoft Entra ID pour laquelle vous avez configuré l’authentification unique.

Vous pouvez aussi utiliser Mes applications de Microsoft pour tester l’application dans n’importe quel mode. Si, quand vous cliquez sur la vignette Cirrus Identity Bridge for Microsoft Entra ID dans Mes applications, le mode Fournisseur de services est configuré, vous êtes redirigé vers la page de connexion de l’application pour lancer le flux de connexion ; s’il s’agit du mode Fournisseur d’identité, vous êtes automatiquement connecté à l’instance de Cirrus Identity Bridge for Microsoft Entra ID pour laquelle vous avez configuré l’authentification unique. Pour plus d’informations sur Mes applications, consultez Présentation de Mes applications.

Étapes suivantes

Une fois que vous avez configuré Cirrus Identity Bridge for Microsoft Entra ID, vous pouvez appliquer le contrôle de session, qui protège contre l’exfiltration et l’infiltration des données sensibles de votre organisation en temps réel. Le contrôle de session est étendu à partir de l’accès conditionnel. Découvrez comment appliquer un contrôle de session avec Microsoft Defender for Cloud Apps.

Vous pouvez également créer plusieurs configurations d’application pour Cirrus Identity Bridge for Microsoft Entra ID lors de l’utilisation de l’intégration de l’API MS Graph. Elles vous permettent d’implémenter différentes revendications, différents contrôles d’accès ou différentes stratégies d’accès conditionnel Microsoft Entra pour les groupes de fédération multilatérale. Consultez cette page pour plus de détails. La plupart de ces mêmes contrôles d’accès peuvent également être appliqués aux applications CAS.