Configurer l’authentification unique SAML pour des applications non issues de la galerieConfigure SAML-based single sign-on to non-gallery applications

Lorsque vous ajoutez une application galerie ou une application web non galerie à vos applications d'entreprise Azure AD, l'une des options de connexion unique disponibles est authentification unique SAML.When you add a gallery app or a non-gallery web app to your Azure AD Enterprise Applications, one of the single sign-on options available to you is SAML-based single sign-on. Choisissez si possible SAML pour les applications qui s’authentifient par le biais d’un protocole SAML.gestion des actifs logiciels.Choose SAML whenever possible for applications that authenticate using one of the SAML protocols. Avec l’authentification unique SAML, Azure AD s’authentifie dans l’application en utilisant le compte Azure AD de l’utilisateur.With SAML single sign-on, Azure AD authenticates to the application by using the user's Azure AD account. Azure AD communique les informations d’authentification à l’application via un protocole de connexion.Azure AD communicates the sign-on information to the application through a connection protocol. Vous pouvez mapper les utilisateurs à des rôles d’application basés sur les règles, que vous définissez dans vos revendications SAML.You can map users to specific application roles based on rules you define in your SAML claims. Cet article explique comment configurer l’authentification unique SAML pour une application hors galerie.This article describes how to configure SAML-based single sign-on for a non-gallery app.

Notes

Vous ajoutez application de la galerie ?Adding a gallery app? Découvrez des instructions de configuration pas à pas dans la liste des tutoriels sur les applications SaaSFind step-by-step setup instructions in the list of SaaS app tutorials

Si vous voulez configurer l’authentification unique SAML pour une application non issue de la galerie sans écrire de code, vous devez disposer d’un abonnement ou d’Azure AD Premium. De plus, l’application doit prendre en charge SAML 2.0.To configure SAML single sign-on for a non-gallery application without writing code, you need to have a subscription or Azure AD Premium and the application must support SAML 2.0. Pour plus d’informations sur les versions d’Azure AD, consultez Tarification d’Azure Active Directory.For more information about Azure AD versions, visit Azure AD pricing.

Avant de commencerBefore you begin

Si l’application n’a pas été ajoutée à votre locataire Azure AD, consultez Ajouter une application non-galerie.If the application hasn't been added to your Azure AD tenant, see Add a non-gallery app.

Étape 1.Step 1. Modifier la configuration SAML de baseEdit the Basic SAML Configuration

  1. Connectez-vous au portail Azure en tant qu’administrateur d’application cloud ou administrateur d’application pour votre locataire Azure AD.Sign in to the Azure portal as a cloud application admin, or an application admin for your Azure AD tenant.

  2. Accédez à Azure Active Directory > Applications d’entreprise, puis sélectionnez l’application dans la liste.Navigate to Azure Active Directory > Enterprise applications and select the application from the list.

    • Pour rechercher l’application, dans le menu Type d’application, sélectionnez Toutes les applications, puis sélectionnez Appliquer.To search for the application, in the Application Type menu, select All applications, and then select Apply. Entrez le nom de l’application dans la zone de recherche, puis sélectionnez l’application dans les résultats.Enter the name of the application in the search box, and then select the application from the results.
  3. Sous la section Gérer, sélectionnez Authentification unique.Under the Manage section, select Single sign-on.

  4. Sélectionnez SAML.Select SAML. La page Configurer l’authentification unique avec SAML - Préversion s’affiche.The Set up Single Sign-On with SAML - Preview page appears.

    Étape 1 Modifier la configuration SAML de base

  5. Pour modifier les options de configuration SAML de base, sélectionnez l’icône Modifier (crayon) dans le coin supérieur droit de la section Configuration SAML de base.To edit the basic SAML configuration options, select the Edit icon (a pencil) in the upper-right corner of the Basic SAML Configuration section.

  6. Entrez les paramètres suivants.Enter the following settings. Les valeurs doivent vous être communiquées par le fournisseur de l’application.You should get the values from the application vendor. Vous pouvez entrer manuellement les valeurs ou charger un fichier de métadonnées pour extraire la valeur des champs.You can manually enter the values or upload a metadata file to extract the value of the fields.

    Paramètre de la configuration SAML de baseBasic SAML Configuration setting Initiée par SPSP-Initiated Initiée par idPidP-Initiated DescriptionDescription
    Identificateur (ID d'entité)Identifier (Entity ID) Requis pour certaines applicationsRequired for some apps Requis pour certaines applicationsRequired for some apps Identifie l’application de manière unique.Uniquely identifies the application. Azure AD envoie l’identificateur à l’application en tant que paramètre Audience du jeton SAML.Azure AD sends the identifier to the application as the Audience parameter of the SAML token. L’application est censée le valider.The application is expected to validate it. Cette valeur apparaît également en tant qu’ID d’entité dans les métadonnées SAML fournies par l’application.This value also appears as the Entity ID in any SAML metadata provided by the application. Cette valeur correspond à l’élément Émetteur dans la demande SAML AuthnRequest envoyée par l’application.You can find this value as the Issuer element in the AuthnRequest (SAML request) sent by the application.
    URL de réponseReply URL FacultatifOptional ObligatoireRequired Spécifie l’adresse où l’application attend le jeton SAML.Specifies where the application expects to receive the SAML token. L’URL de réponse est aussi appelée URL ACS (Assertion Consumer Service).The reply URL is also referred to as the Assertion Consumer Service (ACS) URL. Vous pouvez utiliser les champs URL de réponse supplémentaires pour spécifier plusieurs URL de réponse.You can use the additional reply URL fields to specify multiple reply URLs. Par exemple, vous pourriez avoir besoin d'URL de réponse supplémentaires pour plusieurs sous-domaines.For example, you might need additional reply URLs for multiple subdomains. Ou, à des fins de test, vous pouvez spécifier simultanément plusieurs URL de réponse (hôte local et URL publiques).Or, for testing purposes you can specify multiple reply URLs (local host and public URLs) at one time.
    URL d’authentificationSign-on URL ObligatoireRequired Ne spécifiez pasDon't specify Lorsqu’un utilisateur ouvre cette URL, le fournisseur de services redirige vers Azure AD pour authentifier et connecter l’utilisateur.When a user opens this URL, the service provider redirects to Azure AD to authenticate and sign on the user. Azure AD utilise l’URL pour démarrer l’application à partir d’Office 365 ou du panneau d’accès Azure AD.Azure AD uses the URL to start the application from Office 365 or the Azure AD Access Panel. Lorsqu’elle est vide, Azure AD effectue une authentification initiée par le fournisseur d'identité lorsqu’un utilisateur lance l’application à partir d’Office 365, du panneau d’accès Azure AD ou de l’URL d’authentification unique SSO Azure AD.When blank, Azure AD performs IdP-initiated sign-on when a user launches the application from Office 365, the Azure AD Access Panel, or the Azure AD SSO URL.
    État de relaisRelay State FacultatifOptional FacultatifOptional Indique à l’application où rediriger l’utilisateur une fois l’authentification terminée.Specifies to the application where to redirect the user after authentication is completed. En règle générale, la valeur est une URL valide pour l’application.Typically the value is a valid URL for the application. Toutefois, certaines applications utilisent ce champ différemment.However, some applications use this field differently. Pour plus d’informations, consultez le fournisseur de l’application.For more information, ask the application vendor.
    URL de déconnexionLogout URL FacultatifOptional FacultatifOptional Utilisé pour renvoyer les réponses de déconnexion SAML à l’application.Used to send the SAML Logout responses back to the application.

Pour plus d’informations, consultez Protocole SAML d’authentification unique.For more information, see Single sign-on SAML protocol.

Étape 2.Step 2. Configurer les attributs et revendications d’un utilisateurConfigure User attributes and claims

Lorsqu’un utilisateur s’authentifie auprès de l’application, Azure AD émet pour l’application un jeton SAML contenant des informations (ou des revendications) sur l’utilisateur qui l’identifient de façon unique.When a user authenticates to the application, Azure AD issues the application a SAML token with information (or claims) about the user that uniquely identifies them. Par défaut, ces informations incluent le nom d’utilisateur, son adresse e-mail, son prénom et son nom.By default, this information includes the user's username, email address, first name, and last name. Vous devrez peut-être personnaliser ces revendications si, par exemple, l'application nécessite des valeurs de revendications spécifiques ou un format Nom autre que le nom d'utilisateur.You might need to customize these claims if, for example, the application requires specific claim values or a Name format other than username. Les exigences pour les applications de la galerie sont décrites dans les tutoriels spécifiques aux applications ; vous pouvez aussi demander ces informations au fournisseur de l’application.Requirements for gallery apps are described in the application-specific tutorials, or you can ask the application vendor. Les étapes générales de configuration des attributs et des revendications utilisateur sont décrites ci-dessous.The general steps for configuring user attributes and claims are described below.

  1. Dans la section Attributs et revendications utilisateur, sélectionnez l’icône Modifier (un crayon) dans le coin supérieur droit.In the User Attributes and Claims section, select the Edit icon (a pencil) in the upper-right corner.

    Étape 2 Configurer les attributs et revendications d’un utilisateur

  2. Vérifiez la Valeur de nom d’identificateur.Verify the Name Identifier Value. La valeur par défaut est utilisateur.nom_principal.The default value is user.principalname. L’identificateur d’utilisateur identifie de façon unique chaque utilisateur au sein de l’application.The user identifier uniquely identifies each user within the application. Par exemple, si l’adresse e-mail est le nom d’utilisateur et l’identificateur unique, définissez la valeur sur user.mail.For example, if the email address is both the username and the unique identifier, set the value to user.mail.

  3. Pour modifier la Valeur d’identificateur de nom, sélectionnez l’icône Modifier (crayon) pour le champ Valeur d’identificateur de nom.To modify the Name Identifier Value, select the Edit icon (a pencil) for the Name Identifier Value field. Apportez les modifications appropriées au format de l’identificateur et à la source.Make the appropriate changes to the identifier format and source, as needed. Pour plus d’informations, consultez Modification de NameID.For details, see Editing NameId. Quand vous avez terminé, enregistrez les modifications.Save the changes when you're done.

  4. Pour configurer des revendications de groupe, sélectionnez l’icône Modifier pour le champ Groupes retournés dans la revendication.To configure group claims, select the Edit icon for the Groups returned in claim field. Pour plus d’informations, consultez Configurer des revendications de groupe.For details, see Configure group claims.

  5. Pour ajouter une revendication, sélectionnez Ajouter une nouvelle revendication en haut de la page.To add a claim, select Add new claim at the top of the page. Entrez le Nom et sélectionnez la source appropriée.Enter the Name and select the appropriate source. Si vous sélectionnez la source Attribut, vous devez choisir l’attribut Source à utiliser.If you select the Attribute source, you'll need to choose the Source attribute you want to use. Si vous sélectionnez la source Translation, vous devez choisir les éléments Transformation et Parameter 1 à utiliser.If you select the Translation source, you'll need to choose the Transformation and Parameter 1 you want to use. Pour plus d’informations, consultez Ajout de revendications spécifiques à l’application.For details, see Adding application-specific claims. Quand vous avez terminé, enregistrez les modifications.Save the changes when you're done.

  6. Sélectionnez Enregistrer.Select Save. La nouvelle revendication s’affiche dans la table.The new claim appears in the table.

    Notes

    Pour découvrir d’autres façons de personnaliser le jeton SAML d’Azure AD pour votre application, consultez les ressources suivantes.For additional ways to customize the SAML token from Azure AD to your application, see the following resources.

Étape 3.Step 3. Gérer le certificat de signature SAMLManage the SAML signing certificate

Azure AD utilise un certificat pour signer les jetons SAML qu’il envoie à l’application.Azure AD uses a certificate to sign the SAML tokens it sends to the application. Vous aurez besoin de ce certificat pour configurer l’approbation entre Azure AD et l’application.You need this certificate to set up the trust between Azure AD and the application. Pour plus d’informations sur le format du certificat, consultez la documentation SAML de l’application.For details on the certificate format, see the application’s SAML documentation. Pour plus d’informations, consultez Gérer des certificats pour l’authentification unique fédérée et Options avancées de signature de certificats dans le jeton SAML.For more information, see Manage certificates for federated single sign-on and Advanced certificate signing options in the SAML token.

Depuis Azure AD, vous pouvez télécharger le certificat actif au format Base64 ou Raw directement à partir de la page principale Configurer l’authentification unique avec SAML.From Azure AD, you can download the active certificate in Base64 or Raw format directly from the main Set up Single Sign-On with SAML page. Sinon, vous pouvez le récupérer en téléchargeant le fichier XML de métadonnées de l’application ou en utilisant l’URL des métadonnées de fédération de l’application.Alternatively, you can get the active certificate by downloading the application metadata XML file or by using the App federation metadata URL. Pour afficher, créer ou télécharger vos certificats (actifs ou inactifs), procédez comme suit.To view, create, or download your certificates (active or inactive), follow these steps.

  1. Accédez à la section Certificat de signature SAML.Go to the SAML Signing Certificate section.

    Étape 3 Gérer le certificat de signature SAML

  2. Vérifiez que le certificat comporte :Verify the certificate has:

    • La date d’expiration souhaitée.The desired expiration date. Vous pouvez configurer une date d’expiration allant jusqu’à trois ans dans le futur.You can configure the expiration date for up to three years into the future.
    • Un état actif pour le certificat souhaité.A status of active for the desired certificate. Si l’état est inactif, définissez-le sur Actif.If the status is Inactive, change the status to Active. Pour modifier l’état, cliquez sur la ligne du certificat souhaité avec le bouton droit de la souris, puis sélectionnez Définir comme certificat actif.To change the status, right-click the desired certificate's row and select Make certificate active.
    • L’option et l’algorithme de signature appropriés.The correct signing option and algorithm.
    • Les adresses e-mail de notification correctes.The correct notification email address(es). Lorsque le certificat actif est proche de sa date d’expiration, Azure AD envoie une notification à l’adresse e-mail configurée dans ce champ.When the active certificate is near the expiration date, Azure AD sends a notification to the email address configured in this field.
  3. Pour télécharger le certificat, sélectionnez l'une des options suivantes pour le format Base64, le format Raw ou le fichier XML de métadonnées de fédération.To download the certificate, select one of the options for Base64 format, Raw format, or Federation Metadata XML. Azure AD fournit également l’URL des métadonnées de fédération, où vous pouvez accéder aux métadonnées spécifiques à l’application au format https://login.microsoftonline.com/<Directory ID>/federationmetadata/2007-06/federationmetadata.xml?appid=<Application ID>.Azure AD also provides the App Federation Metadata Url where you can access the metadata specific to the application in the format https://login.microsoftonline.com/<Directory ID>/federationmetadata/2007-06/federationmetadata.xml?appid=<Application ID>.

  4. Pour gérer, créer ou importer un certificat, sélectionnez l’icône Modifier (un crayon) dans le coin supérieur droit de la section Certificat de signature SAML.To manage, create, or import a certificate, select the Edit icon (a pencil) in the upper-right corner of the SAML Signing Certificate section.

    Certificat de signature SAML

    Effectuez l'une des opérations suivantes :Take any of the following actions:

    • Pour créer un certificat, sélectionnez Nouveau certificat, sélectionnez la Date d’expiration, puis sélectionnez Enregistrer.To create a new certificate, select New Certificate, select the Expiration Date, and then select Save. Pour activer le certificat, sélectionnez le menu contextuel ( ... ), puis sélectionnez Définir comme certificat actif.To activate the certificate, select the context menu (...) and select Make certificate active.
    • Pour charger un certificat avec une clé privée et des informations d’identification PFX, sélectionnez Importer un certificat et accédez au certificat.To upload a certificate with private key and pfx credentials, select Import Certificate and browse to the certificate. Entrez le Mot de passe PFX, puis sélectionnez Ajouter.Enter the PFX Password, and then select Add.
    • Pour configurer les options avancées de signature de certificat, utilisez les options suivantes.To configure advanced certificate signing options, use the following options. Pour des descriptions de ces options consultez l’article Options avancées de signature de certificat.For descriptions of these options, see the Advanced certificate signing options article.
      • Dans la liste déroulante Option de signature, sélectionnez Signer la réponse SAML, Signer l’assertion SAML ou Signer la réponse et l’assertion SAML.In the Signing Option drop-down list, choose Sign SAML response, Sign SAML assertion, or Sign SAML response and assertion.
      • Dans la liste déroulante Algorithme de signature, choisissez SHA-1 ou SHA-256.In the Signing Algorithm drop-down list, choose SHA-1 or SHA-256.
    • Pour avertir d’autres personnes quand le certificat actif est proche de sa date d’expiration, entrez les adresses e-mail dans les champs Adresses de courrier de notification.To notify additional people when the active certificate is near its expiration date, enter the email addresses in the Notification email addresses fields.
  5. Si vous avez effectué des modifications, sélectionnez Enregistrer en haut de la section Certificat de signature SAML.If you made changes, select Save at the top of the SAML Signing Certificate section.

Étape 4.Step 4. Configurer l’application pour utiliser Azure ADSet up the application to use Azure AD

La section Configurer<nom_application liste les valeurs qui doivent être configurées dans l’application afin qu’elle utilise Azure AD comme fournisseur d’identité SAML.The Set up <applicationName> section lists the values that need to be configured in the application so it will use Azure AD as a SAML identity provider. Les valeurs requises dépendent de l’application.The required values vary according to the application. Pour plus d’informations, consultez la documentation SAML de l’application.For details, see the application's SAML documentation. Pour trouver la documentation, accédez à la rubrique Configurer <nom de l’application> et sélectionnez Afficher les instructions détaillées.To find the documentation, go to the Set up <application name> heading and select View step-by-step instructions. La documentation s’affiche dans la page Configurer l’authentification.The documentation appears in the Configure sign-on page. Cette page vous aide à renseigner l’URL de connexion, l’Identificateur Azure AD et l’URL de déconnexion dans la rubrique Configurer <nom de l’application > .That page guides you in filling out the Login URL, Azure AD Identifier, and Logout URL values in the Set up <application name> heading.

  1. Faites défiler jusqu'à la section Configurer <applicationName > .Scroll down to the Set up <applicationName> section.

    Étape 4 Configurer l’application

  2. Copiez la valeur de chaque ligne de cette section en fonction des besoins et suivez les instructions spécifiques à l’application pour ajouter la valeur à l’application.Copy the value from each row in this section as needed and follow the application-specific instructions for adding the value to the application. Pour les applications de la galerie, vous pouvez voir la documentation en sélectionnant Afficher les instructions détaillées.For gallery apps, you can view the documentation by selecting View step-by-step instructions.

    • Les valeurs URL de connexion et URL de déconnexion correspondent toutes les deux au même point de terminaison, qui est le point de terminaison de gestion des demandes SAML pour votre instance d'Azure AD.The Login URL and Logout URL values both resolve to the same endpoint, which is the SAML request-handling endpoint for your instance of Azure AD.
    • L’Identificateur Azure AD est la valeur de l’Émetteur dans le jeton SAML émis pour l’application.The Azure AD Identifier is the value of the Issuer in the SAML token issued to the application.
  3. Lorsque vous avez collé toutes les valeurs dans les champs appropriés, sélectionnez Enregistrer.When you've pasted all the values into the appropriate fields, select Save.

Étape 5.Step 5. Valider l’authentification uniqueValidate single sign-on

Une fois que vous avez configuré votre application pour utiliser Azure AD en tant que fournisseur d'identité basé sur SAML, vous pouvez tester les paramètres pour vérifier le fonctionnement de la connexion unique avec votre compte.Once you've configured your application to use Azure AD as a SAML-based identity provider, you can test the settings to see if single sign-on works for your account.

  1. Faites défiler vers la section Valider l’authentification unique avec .Scroll to the Validate single sign-on with section.

    Étape 5 Valider l’authentification unique

  2. Sélectionnez Valider.Select Validate. Les options de tests s’affichent.The testing options appear.

  3. Sélectionnez Se connecter en tant qu’utilisateur actuel.Select Sign in as current user.

Si l’authentification réussit, vous êtes prêt à affecter des utilisateurs et des groupes à votre application SAML.If sign-on is successful, you're ready to assign users and groups to your SAML application. Si un message d’erreur apparaît, effectuez les étapes suivantes :If an error message appears, complete the following steps:

  1. Copiez et collez les détails dans la case À quoi ressemble l’erreur ? .Copy and paste the specifics into the What does the error look like? box.

    Obtenir l’aide de résolution

  2. Sélectionnez Obtenir l’aide de résolution.Select Get resolution guidance. L’aide de résolution et de la cause racine apparaît.The root cause and resolution guidance appear. Dans cet exemple, l’utilisateur n’était pas affecté à l’application.In this example, the user wasn't assigned to the application.

  3. Lisez l’aide de résolution et, si possible, corrigez le problème.Read the resolution guidance and then, if possible, fix the issue.

  4. Réexécutez le test jusqu'à ce qu’il se termine correctement.Run the test again until it completes successfully.

Pour plus d’informations, voir Guide pratique pour déboguer l’authentification unique SAML pour les applications dans Azure Active Directory.For more information, see Debug SAML-based single sign-on to applications in Azure Active Directory.

Étapes suivantesNext steps