Intégration de l’authentification unique Microsoft Entra avec Contentstack

Dans ce tutoriel, vous allez apprendre à intégrer Contentstack à Microsoft Entra ID. Lorsque vous intégrez Contentstack à Microsoft Entra ID, vous pouvez :

• Contrôler dans Microsoft Entra ID qui a accès à Contentstack.
• Permettre à vos utilisateurs de se connecter automatiquement à Contentstack avec leur compte Microsoft Entra.
• Gérer vos comptes à partir d’un emplacement central.

Prérequis

Pour intégrer Microsoft Entra ID à Contentstack, vous avez besoin des éléments suivants :

• Un abonnement Microsoft Entra. Si vous ne disposez d’aucun abonnement, vous pouvez obtenir un compte gratuit.
• Un abonnement Contentstack pour lequel l’authentification unique est activée.

Description du scénario

Dans ce tutoriel, vous configurez et testez Microsoft Entra SSO dans un environnement de test.

• Contentstack prend en charge à la fois le SSO initié par le SP et l'IDP.
• Contentstack prend en charge le provisionnement d’utilisateurs juste-à-temps.

Ajouter Contentstack à partir de la galerie

Pour configurer l’intégration de Contentstack à Microsoft Entra ID, vous devez ajouter Contentstack à partir de la galerie à votre liste d’applications SaaS gérées.

1. Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.
2. Accédez à Identité>Applications>Applications d’entreprise>Nouvelle application.
3. Dans la section Ajouter à partir de la galerie, tapez Contentstack dans la zone de recherche.
4. Sélectionnez Contentstack dans le volet de résultats, puis ajoutez l’application. Patientez quelques secondes pendant que l’application est ajoutée à votre locataire.

Vous pouvez également utiliser l’assistant Entreprise App Configuration. Dans cet Assistant, vous pouvez ajouter une application à votre locataire, ajouter des utilisateurs/groupes à l’application, attribuer des rôles, mais aussi parcourir les étapes de configuration de l’authentification unique. En savoir plus sur les assistants Microsoft 365.

Configurer et tester l’authentification unique Microsoft Entra pour Contentstack

Configurez et testez l’authentification unique Microsoft Entra avec Contentstack à l’aide d’un utilisateur de test appelé B.Simon. Pour que l’authentification unique fonctionne, vous devez établir un lien entre un utilisateur Microsoft Entra et l’utilisateur Contentstack associé.

Pour configurer et tester l’authentification unique Microsoft Entra avec Contentstack, procédez comme suit :

1. Configurez l’authentification unique Microsoft Entra pour permettre à vos utilisateurs d’utiliser cette fonctionnalité.
   1. Créez un utilisateur de test Microsoft Entra pour tester l’authentification unique Microsoft Entra avec B.Simon.
   2. Attribuer l’utilisateur test Microsoft Entra – pour permettre à B.Simon d’utiliser l’authentification unique Microsoft Entra.
2. Configurer l’authentification unique Contentkalender pour configurer les paramètres de l’authentification unique côté application.
   1. Créez un utilisateur de test Contentstack pour avoir un équivalent de B.Simon dans Contentstack lié à la représentation Microsoft Entra de l’utilisateur.
3. Tester l’authentification unique pour vérifier si la configuration fonctionne.

Configurer Microsoft Entra SSO

Suivez ces étapes pour activer l’authentification unique Microsoft Entra dans le centre d’administration Microsoft Entra.

1. Connectez-vous au centre d’administration Microsoft Entra en tant qu’Administrateur d’application cloud, puis accédez à Identité>Applications>Applications d’entreprise.

2. Cliquez à présent sur + Nouvelle application et recherchez Contentstack, puis cliquez sur Créer. Une fois créé, accédez maintenant à Configurer l’authentification unique ou cliquez sur le lien d’authentification unique dans le menu de gauche.

   

3. Ensuite, dans la page Sélectionner une méthode d’authentification unique, sélectionnez SAML.

   

4. Dans la page Configurer l’authentification unique avec SAML, cliquez sur l’icône de crayon de Configuration SAML de base afin de modifier les paramètres.

   

5. Dans la section Configuration SAML de base, vous devez suivre quelques étapes. Pour obtenir les informations nécessaires pour ces étapes, vous devez d’abord accéder à l’application Contentstack et créer un nom SSO et une URL ACS de la manière suivante :

   a. Connectez-vous à votre compte Contentstack, accédez à la page des Paramètres de l’organisation, puis cliquez sur l’onglet Authentification unique.

   

   b. Entrez un nom SSO de votre choix, puis cliquez sur Créer.

   

   Remarque

   Par exemple, si le nom de votre société est « Acme, Inc ». Entrez « acme » ici. Ce nom sera utilisé comme l’une des informations d’identification de connexion par les utilisateurs de l’organisation pendant la connexion. Le nom SSO peut uniquement contenir des alphabets (en minuscules), des nombres (0-9) et/ou des traits d’union (-).

   c. Quand vous cliquez sur Créer, cela génère l’URL Assertion Consumer Service ou l’URL ACS, ainsi que d’autres détails tels que l’ID d’entité, les attributs et le format NameID.

   

6. De retour dans la section Configuration SAML de base, collez l’ID d’entité et l’URL ACS générées dans l’ensemble d’étapes ci-dessus, par rapport aux sections Identifiant (ID d’entité) et URL de réponse respectivement, puis enregistrez les entrées.

   1. Dans la zone de texte Identifiant, collez la valeur d’ID d’entité que vous avez copiée de Contentstack.

      

   2. Dans la zone de texte URL de réponse, collez l’URL ACS que vous avez copiée de Contentstack.

      

7. Cette étape est facultative. Si vous souhaitez configurer l’application en mode initié par SP, entrez l’URL de connexion dans la section URL de connexion :

   

   Remarque

   Vous trouverez l’URL d’authentification unique en un clic (autrement dit, l’URL de connexion) lorsque vous terminez la configuration de l’authentification unique Contentstack.

8. L’application Contentstack s’attend à recevoir les assertions SAML dans un format spécifique, ce qui vous oblige à ajouter des mappages d’attributs personnalisés à votre configuration d’attributs de jeton SAML. La capture d’écran suivante montre la liste des attributs par défaut.

   

9. En plus de ce qui précède, l’application Contentstack s’attend à ce que quelques attributs supplémentaires soient repassés dans la réponse SAML illustrée ci-dessous. Ces attributs sont également préremplis, mais vous pouvez les examiner pour voir s’ils répondent à vos besoins. Cette étape est facultative.

   Nom	Attribut source
   rôles	user.assignedroles

   Remarque

   Veuillez cliquer ici pour savoir comment configurer le rôle dans Microsoft Entra ID.

10. Dans la page Configurer l’authentification unique avec SAML, dans la section Certificat de signature SAML, recherchez Certificat (Base64) , puis sélectionnez Télécharger pour télécharger le certificat et l’enregistrer sur votre ordinateur.

    

11. Dans la section Configurer Contentstack, copiez la ou les URL appropriées en fonction de vos besoins.

    

Créer un utilisateur de test Microsoft Entra

Dans cette section, vous créez un utilisateur test dans le centre d’administration Microsoft Entra appelé B.Simon.

1. Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’Administrateur de l’utilisateur.
2. Accédez à Identité>Utilisateurs>Tous les utilisateurs.
3. Sélectionnez Nouvel utilisateur>Créer un utilisateur dans la partie supérieure de l’écran.
4. Dans les propriétés Utilisateur, effectuez les étapes suivantes :
   1. Dans le champ Nom d’affichage, entrez B.Simon.
   2. Dans le champ Nom d’utilisateur principal, entrez username@companydomain.extension. Par exemple : B.Simon@contoso.com.
   3. Cochez la case Afficher le mot de passe, puis notez la valeur affichée dans le champ Mot de passe.
   4. Sélectionnez Revoir + créer.
5. Sélectionnez Create (Créer).

Attribuer l’utilisateur test Microsoft Entra

Dans cette section, vous allez autoriser B.Simon à utiliser l’authentification unique Microsoft Entra en lui accordant l’accès à Contentstack.

1. Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.
2. Accédez à Identité>Applications>Applications d’entreprise>Contentstack.
3. Dans la page de présentation de l’application, sélectionnez Utilisateurs et groupes.
4. Sélectionnez Ajouter un utilisateur/groupe, puis Utilisateurs et groupes dans la boîte de dialogue Ajouter une attribution.
   1. Dans la boîte de dialogue Utilisateurs et groupes, sélectionnez B. Simon dans la liste Utilisateurs, puis cliquez sur le bouton Sélectionner au bas de l’écran.
   2. Si vous attendez qu’un rôle soit attribué aux utilisateurs, vous pouvez le sélectionner dans la liste déroulante Sélectionner un rôle . Si aucun rôle n’a été configuré pour cette application, vous voyez le rôle « Accès par défaut » sélectionné.
   3. Dans la boîte de dialogue Ajouter une attribution, cliquez sur le bouton Attribuer.

Configurer l’authentification unique Contentstack

1. Connectez-vous au site d’entreprise Contentstack en tant qu’administrateur.

2. Accédez à la page Paramètres d’organisation, puis cliquez sur l’onglet Authentification unique dans le menu de gauche.

3. Sur la page Authentification unique, accédez à la section Configuration SSO et effectuez les étapes suivantes :

   1. Saisissez un Nom SSO valide de votre choix et cliquez sur Créer.

      

      Remarque

      Par exemple, si le nom de votre société est « Acme, Inc ». Entrez « acme » ici. Ce nom sera utilisé comme l’une des informations d’identification de connexion par les utilisateurs de l’organisation pendant la connexion. Le nom SSO peut uniquement contenir des alphabets (en minuscules), des nombres (0-9) et/ou des traits d’union (-).

   2. Quand vous cliquez sur Créer, cela génère l’URL Assertion Consumer Service ou l’URL ACS, ainsi que d’autres détails tels que l’ID d’entité, les attributs et le format NameID, puis cliquez sur Suivant.

      

4. Accédez à l’onglet Configuration IdP et effectuez les étapes suivantes :

   

   1. Dans la zone de texte URL d’authentification unique, collez la valeur URL de connexion que vous avez copiée à partir du centre d’administration Microsoft Entra.

   2. Ouvrez le Certificat (Base64) téléchargé à partir du centre d’administration Microsoft Entra et chargez-le dans le champ Certificat.

   3. Sélectionnez Suivant.

5. Ensuite, vous devez créer un mappage de rôle dans Contentstack.

   Remarque

   Vous ne pourrez afficher et suivre cette étape que si le mappage de rôle IdP fait partie de votre plan Contentstack.

6. Dans la section Gestion des utilisateurs de la page De configuration de SSO de Contentstack, vous verrez Mode strict (autoriser l’accès aux utilisateurs de l’organisation uniquement via la connexion SSO) et Délai d’expiration de session (définir la durée de session d’un utilisateur connecté via SSO). Sous ces options, vous verrez également l’option Paramètres avancés.

   

7. Cliquez sur les Paramètres avancés pour développer la section Mappage de rôles IdP pour mapper des rôles IdP à Contentstack. Cette étape est facultative.

8. Dans la section Ajouter un mappage de rôle, cliquez sur le lien + AJOUTER UN MAPPAGE DE RÔLE pour ajouter les détails de mappage d’un rôle IdP, qui inclut les détails suivants :

   

   1. Dans l’Identifiant de rôle IdP, entrez l’identifiant de groupe/rôle IdP (par exemple, « développeurs »), dont vous pouvez utiliser la valeur à partir de votre manifeste.

   2. Pour les Rôles d’organisation, sélectionnez Administration ou le rôle membre au groupe/rôle mappé.

   3. Pour les Autorisations au niveau de la pile (facultatif), affectez des piles et les rôles de niveau pile correspondants à ce rôle. De même, vous pouvez ajouter d’autres mappages de rôles pour votre organisation Contentstack. Pour ajouter un nouveau mappage de rôle, cliquez sur + AJOUTER UN MAPPAGE DE RÔLE et entrez les détails.

   4. Conservez le Séparateur de rôle vide, car Microsoft Entra ID retourne généralement des rôles dans un tableau.

   5. Enfin, cochez la case Activer le mappage de rôles IdP pour activer la fonctionnalité, puis cliquez sur Suivant.

   Remarque

   Pour plus d’informations, veuillez-vous reporter au Guide SSO Contentstack.

9. Avant d’activer SSO, il est recommandé de tester les paramètres SSO configurés jusqu’à présent. Pour ce faire, procédez comme suit :

   1. Cliquez sur le bouton Tester SSO pour accéder à la page Connexion via SSO de Contentstack où vous devez spécifier le nom SSO de votre organisation.
   2. Cliquez ensuite sur Continuer pour accéder à votre page de connexion IdP.
   3. Connectez-vous à votre compte et, si vous êtes en mesure de vous connecter à votre Idp, votre test a réussi.
   4. Une fois la connexion réussie, un message de réussite s’affiche comme suit.

   

10. Quand vous avez testé vos paramètres SSO, cliquez sur Activer SSO pour activer le SSO pour votre organisation Contentstack.

    

11. Une fois cette fonctionnalité activée, les utilisateurs peuvent accéder à l’organisation via la SSO. Si nécessaire, vous pouvez également Désactiver la SSO à partir de cette page.

    

Créer un utilisateur de test Contentstack

Dans cette section, un utilisateur appelé Britta Simon est créé dans Contentstack. Contentstack prend en charge l’approvisionnement d’utilisateurs juste-à-temps, qui est activé par défaut. Vous n’avez aucune opération à effectuer dans cette section. Si un utilisateur n’existe pas déjà dans Contentstack, un nouvel utilisateur est créé après l’authentification.

Tester l’authentification unique (SSO)

Dans cette section, vous testez votre configuration d’authentification unique Microsoft Entra avec les options suivantes.

Lancée par le fournisseur de services :

• Cliquez sur Tester cette application dans le centre d’administration Microsoft Entra. Vous êtes alors redirigé vers l’URL de connexion Contentstack où vous pouvez lancer le flux de connexion.

• Accédez directement à l’URL de connexion Contentstack et lancez le flux de connexion.

Lancée par le fournisseur d’identité :

• Cliquez sur Tester cette application dans le Centre d’administration Microsoft Entra. Vous devez être connecté automatiquement à l’application Contentstack pour laquelle vous avez configuré l’authentification unique.

Vous pouvez aussi utiliser Mes applications de Microsoft pour tester l’application dans n’importe quel mode. Lorsque vous cliquez sur la vignette Contentstack dans Mes applications, si le mode Fournisseur de services est configuré, vous êtes redirigé vers la page de connexion de l’application pour lancer le flux de connexion et, s’il est configuré en mode Fournisseur d’identité, vous êtes automatiquement connecté à Contentstack pour lequel vous avez configuré l’authentification unique. Pour plus d’informations sur Mes applications, consultez Présentation de Mes applications.

Étapes suivantes

Une fois que vous avez configuré Contentstack, vous pouvez appliquer le contrôle de session, qui protège contre l’exfiltration et l’infiltration des données sensibles de votre organisation en temps réel. Le contrôle de session est étendu à partir de l’accès conditionnel. Découvrez comment appliquer un contrôle de session avec Microsoft Defender for Cloud Apps.