| title | excerpt | updated |
|---|---|---|
Activer les connexions Entra ID SSO avec votre compte OVHcloud |
Découvrez comment associer votre Entra ID (anciennement Azure Active Directory) à votre compte OVHcloud en utilisant SAML 2.0 |
2024-07-05 |
Vous pouvez utiliser l'authentification SSO (Single Sign-On) pour vous connecter à votre compte OVHcloud. Pour activer ces connexions, votre compte et votre Entra ID (anciennement Azure Active Directory) doivent être configurés à l'aide de SAML (Security Assertion Markup Language).
Découvrez comment associer votre compte OVHcloud à un Entra ID externe.
- Avoir accès aux rôles Administrateur d'applications et Administrateur d'utilisateurs d'un service Entra ID
- Disposer d'un compte OVHcloud
- Être connecté à votre espace client OVHcloud
[!primary]
Afin qu’un fournisseur de services (par exemple, votre compte OVHcloud) établisse une connexion SSO avec un fournisseur d’identité (par exemple, votre Entra ID), vous devez établir une relation de confiance mutuelle en enregistrant la connexion SSO dans les deux services.
Votre Entra ID agit en tant que fournisseur d'identité. Les demandes d'authentification de votre compte OVHcloud ne seront acceptées que si vous l'avez d'abord déclaré comme tiers de confiance.
Concentrons-nous un instant sur les identités du côté du fournisseur d'identité.
Pour commencer, accédez à votre tableau de bord Entra ID.
{.thumbnail}
Cliquez ensuite sur Users{.action} dans le menu de gauche.
{.thumbnail}
Créez autant d'utilisateurs que vous le souhaitez et/ou vérifiez vos utilisateurs en cliquant dessus.
Pour cet exemple, l'utilisateur John Smith sera utilisé.
{.thumbnail}
Lorsqu'une authentification SSO est effectuée, l'identité de John Smith est fournie par Entra ID au compte OVHcloud. Cependant, il est nécessaire que cette identité contienne au moins un groupe. Si aucun groupe n'existe, retrouvez ci-dessous comment en créer un pour y ajouter John Smith.
Cliquez sur Groups{.action} dans le menu de gauche.
{.thumbnail}
Cliquez sur New group{.action} dans le menu du haut et complétez toutes les informations nécessaires.
Pour cet exemple, le groupe manager@ovhcloudsaml sera utilisé.
{.thumbnail}
Cliquez sur le bouton Create{.action} pour afficher toutes les informations sur ce groupe.
{.thumbnail}
Maintenant, les utilisateurs qui seront utilisés pour l'authentification SSO doivent être ajoutés à un groupe.
Dans cet exemple, associons l'utilisateur John Smith au groupe manager@ovhcloudsaml.
Dans l’interface du groupe sélectionné, cliquez sur Members{.action} dans le menu de gauche, puis cliquez sur Add members{.action} dans le menu du haut.
{.thumbnail}
Sélectionnez l'utilisateur à ajouter dans ce groupe, puis cliquez sur le bouton Select{.action}.
{.thumbnail}
Maintenant, l'utilisateur est assigné au groupe.
Pour effectuer des authentifications SSO, une application Entra ID doit être créée.
L'authentification unique doit être configurée sur cette application.
Tout d’abord, créez une application si elle n’existe pas encore.
Cliquez sur Enterprise applications{.action} dans le menu de gauche.
{.thumbnail}
Cliquez sur New application{.action} dans le menu du haut.
{.thumbnail}
Cliquez sur Create your own application{.action} dans le menu du haut.
{.thumbnail}
Sélectionnez Non-gallery{.action} dans le menu de gauche et cliquez sur le bouton Create{.action}.
{.thumbnail}
Les détails de l'application seront alors affichés.
{.thumbnail}
L'application Entra ID est maintenant créée. Les utilisateurs souhaitant effectuer des authentifications SSO via cette application doivent à présent y être ajoutés.
[!primary]
Pour qu'un utilisateur effectue une authentification SSO à partir d'une application Entra ID, il doit être ajouté à cette application. Retrouvez ci-dessous comment ajouter un utilisateur à une application Entra ID.
Cependant, il est préférable d'ajouter un groupe d'utilisateurs plutôt que des utilisateurs si vous disposez d'Entra ID Premium.
Cliquez sur Users and groups{.action} dans le menu de gauche, puis cliquez sur Add user/group{.action} dans le menu du haut.
Cliquez ensuite sur la section Users{.action}, sélectionnez l'utilisateur à ajouter à l'application puis cliquez sur le bouton Select{.action}.
{.thumbnail}
{.thumbnail}
L’application est créée, l'utilisateur est assigné, il ne vous reste plus qu’à mettre en place le SSO via SAML.
Revenez à la vue d'ensemble via le bouton Overview{.action} dans le menu de gauche, puis cliquez sur la section Set up single sign on{.action}.
{.thumbnail}
Cliquez sur la section SAML{.action} .
{.thumbnail}
Cliquez sur Upload metadata file{.action} dans le menu du haut.
{.thumbnail}
Cliquez sur l'icône du bouton Select a file{.action} , sélectionnez le fichier de métadonnées OVH Service Provider et cliquez sur le bouton Add{.action}.
Vous pouvez obtenir le fichier de métadonnées approprié via les liens suivants :
Téléchargez le fichier de métadonnées, vous en aurez besoin plus tard.
{.thumbnail}
La configuration SAML s'affiche.
{.thumbnail}
Dans la section Attributes & Claims{.action}, cliquez sur le bouton Modifier{.action}.
{.thumbnail}
Ajoutez l'attribut UPN (User Principal Name) aux infos SAML pour informer OVHcloud de l'e-mail de l'utilisateur. Cette étape est indispensable.
Cliquez sur Add a new claim{.action} dans le menu du haut.
Dans le champ Name{.action}, saisissez la valeur http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn.
Dans le champ Source attribute{.action}, saisissez user.mail{.action}.
Votre interface devrait alors être assez similaire à la capture d'écran suivante :
{.thumbnail}
Cliquez sur Save{.action}
Déclarez maintenant l'attribut utilisé pour le groupe de l'utilisateur.
Cliquez sur Add a group claim{.action} dans le menu du haut.
{.thumbnail}
Sélectionnez Security groups{.action} et Group ID dans Source attribute{.action} puis cliquez sur le bouton Save{.action}.
{.thumbnail}
La revendication de groups doit maintenant apparaître dans la liste.
Copiez et enregistrez la valeur du Claim name quelque part (un bloc-notes par exemple), vous en aurez besoin ultérieurement.
{.thumbnail}
Dans la section SAML certificates{.action}, copiez la valeur du champ App Federation Metadata Url{.action}.
Utilisez ce lien pour télécharger le fichier de métadonnées de l'application Entra ID afin de l'utiliser ultérieurement dans le compte OVHcloud.
{.thumbnail}
L'ajout de votre application Entra ID en tant que fournisseur d'identité approuvé s'effectue dans l'espace client OVHcloud où vous pouvez fournir les métadonnées du fournisseur d'identité.
Cliquez sur le nom de votre compte en haut à droite, puis de nouveau sur votre nom dans la barre latérale.
{.thumbnail}
Vous pouvez accéder au menu IAM via l’entrée dédiée dans votre espace client.
{.thumbnail}
Cliquez ensuite sur l'onglet Identités{.action} pour accéder à la gestion des utilisateurs locaux.
{.thumbnail}
Cliquez alors sur le bouton Connexion SSO{.action}.
{.thumbnail}
Complétez le champ Nom d'attribut d'utilisateur avec la valeur de claim d'applications Entra ID UPN et le champ Nom d'attribut de groupe avec la valeur de claim groups enregistrée précédemment.
Remplissez les métadonnées XML de votre application Entra ID à partir du fichier enregistré précédemment.
Il est possible de conserver les utilisateurs locaux en cochant la case Conserver les utilisateurs OVHcloud actifs.
Cliquez sur le bouton Valider{.action}.
{.thumbnail}
L'ajout de votre application Entra ID en tant que fournisseur d'identité est donc établie mais vous devez quand même ajouter des groupes à votre compte OVHcloud.
Warning
Si vous essayez à ce stade de vous connecter via SSO, un message d'erreur «Not in valid groups» s'affichera probablement.
En effet, votre compte OVHcloud vérifie si l'utilisateur authentifié appartient à un groupe existant sur le compte.
Pour résoudre cette situation, vérifiez l'attribut «Group» retourné par votre application Entra ID : le champ Object Id.
{.thumbnail}
Ajoutez-le en cliquant sur le bouton Declarer un groupe{.action}.
{.thumbnail}
Complétez les champs, puis cliquez sur le bouton Valider{.action}.
{.thumbnail}
Le groupe créé doit apparaître sur la liste.
{.thumbnail}
Attention, si vous donnez le privilège Aucun, il sera nécessaire d'attribuer des droits à ce groupe via les politiques IAM
Sur la page de connexion OVHcloud, renseignez votre identifiant client suivi de /idp sans mot de passe puis cliquez sur le bouton Login{.action} .
{.thumbnail}
Vous êtes ensuite redirigé vers la page de connexion à votre application Entra ID. Sélectionnez Use another account{.action}.
{.thumbnail}
Entrez l'e-mail de l'utilisateur de l'application Entra ID puis cliquez sur le bouton Next{.action}.
{.thumbnail}
Entrez le mot de passe de l'utilisateur de l'application Entra ID puis cliquez sur le bouton Sign In{.action}.
{.thumbnail}
Vous êtes maintenant connecté avec le même identifiant client OVHcloud, mais via votre utilisateur Active Directory et en utilisant votre SSO d'application Entra ID.
{.thumbnail}
Si votre e-mail n'apparait pas en dessous de Connected via SSO, cela signifie que vous n'avez pas correctement configuré l'attribut UPN et une partie des fonctionnalités ne pourra donc pas fonctionner.
Créer des politiques d'accès IAM
Échangez avec notre communauté d'utilisateurs.