Tutoriel : Intégration de l’authentification unique (SSO) Microsoft Entra à EasySSO for BitBucket

  • Article

Dans ce didacticiel, vous apprendrez comment intégrer EasySSO pour BitBucket avec Microsoft Entra ID. Lorsque vous intégrez EasySSO pour BitBucket avec Microsoft Entra ID, vous pouvez :

  • Contrôlez dans Microsoft Entra ID qui a accès à EasySSO pour BitBucket.
  • Permettez à vos utilisateurs d'être automatiquement connectés à EasySSO pour BitBucket avec leurs comptes Microsoft Entra.
  • gérer vos comptes à un emplacement central : le portail Azure.

Prérequis

Pour commencer, vous devez disposer des éléments suivants :

  • Un abonnement Microsoft Entra. Si vous ne disposez d’aucun abonnement, vous pouvez obtenir un compte gratuit.
  • Un abonnement EasySSO pour BitBucket pour lequel l’authentification unique est activée

Description du scénario

Dans ce tutoriel, vous configurez et testez Microsoft Entra SSO dans un environnement de test.

  • EasySSO pour BitBucket prend en charge l’authentification unique lancée par le fournisseur de services et le fournisseur d’identité.
  • EasySSO pour BitBucket prend en charge l’attribution d’utilisateurs « juste-à-temps ».

Pour configurer l’intégration d’EasySSO pour BitBucket dans Microsoft Entra ID, vous devez ajouter EasySSO pour BitBucket, disponible dans la galerie, à votre liste d’applications SaaS managées.

  1. Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.
  2. Accédez à Identité>Applications>Applications d’entreprise>Nouvelle application.
  3. Dans la section Ajouter à partir de la galerie, tapez EasySSO pour BitBucket dans la zone de recherche.
  4. Sélectionnez EasySSO pour BitBucket dans les résultats, puis ajoutez l’application. Patientez quelques secondes pendant que l’application est ajoutée à votre locataire.

Vous pouvez également utiliser l’assistant Entreprise App Configuration. Dans cet assistant, vous pouvez ajouter une application à votre locataire, ajouter des utilisateurs/groupes à l’application, attribuer des rôles, mais également parcourir la configuration de l’authentification unique. En savoir plus sur les assistants Microsoft 365.

Configurer et tester SSO Microsoft Entra pour EasySSO for BitBucket

Configurez et testez l’authentification unique Microsoft Entra avec EasySSO pour BitBucket avec un utilisateur de test appelé B.Simon. Pour que l’authentification unique fonctionne, vous devez établir un lien entre un utilisateur Microsoft Entra et l’utilisateur EasySSO pour BitBucket qui lui est associé.

Pour configurer et tester Microsoft Entra SSO avec EasySSO pour BitBucket, effectuez les étapes suivantes :

  1. Configurer Microsoft Entra SSO pour permettre à vos utilisateurs d'utiliser cette fonctionnalité.
    1. Créez un utilisateur test Microsoft Entra pour tester l’authentification unique Microsoft Entra avec B.Simon.
    2. Attribuer l'utilisateur de test Microsoft Entra pour permettre à B.Simon d'utiliser l'authentification unique Microsoft Entra.
  2. Configurer l’authentification unique EasySSO pour BitBucket afin de configurer les paramètres de l’authentification unique côté application.
    1. Créer un utilisateur de test EasySSO pour BitBucket afin d’avoir dans EasySSO pour BitBucket un équivalent de B.Simon qui soit lié à sa représentation dans Microsoft Entra.
  3. Tester l’authentification unique pour vérifier si la configuration fonctionne.

Configurer Microsoft Entra SSO

Effectuez ces étapes pour activer l’authentification unique Microsoft Entra.

  1. Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.

  2. Accédez à la page d’intégration d’application via Identité>Applications>Applications d’entreprise>EasySSO for BitBucket, puis recherchez la section Gérer. Sélectionnez Authentification unique.

  3. Dans la page Sélectionner une méthode d’authentification unique, sélectionnez SAML.

  4. Dans la page Configurer l’authentification unique avec SAML, sélectionnez l’icône de crayon pour Configuration SAML de base afin de modifier les paramètres.

    Screenshot of Set up Single Sign-On with SAML page, with pencil icon highlighted

  5. Dans la section Configuration SAML de base, si vous voulez configurer l’application en mode lancé par le fournisseur d’identité, entrez les valeurs pour les champs suivants :

    a. Dans la zone de texte Identificateur, saisissez une URL au format suivant : https://<server-base-url>/plugins/servlet/easysso/saml

    b. Dans la zone de texte URL de réponse, tapez une URL au format suivant : https://<server-base-url>/plugins/servlet/easysso/saml

  6. Sélectionnez Définir des URL supplémentaires et effectuez l’étape suivante si vous souhaitez configurer l’application en mode lancé par le fournisseur de services :

    • Dans la zone de texte URL de connexion, tapez une URL au format suivant : https://<server-base-url>/login.jsp

    Notes

    Il ne s’agit pas de valeurs réelles. Mettez à jour ces valeurs avec l’identificateur, l’URL de réponse et l’URL de connexion réels. En cas de doute, contactez l’équipe du support technique EasySSO pour obtenir ces valeurs. Vous pouvez également consulter les modèles figurant à la section Configuration SAML de base.

  7. Votre application EasySSO pour BitBucket attend les assertions SAML dans un format spécifique, ce qui vous oblige à ajouter des mappages d’attributs personnalisés à votre configuration d’attributs de jeton SAML. La capture d’écran suivante montre la liste des attributs par défaut.

    Screenshot of default attributes

  8. L’application EasySSO pour BitBucket s’attend aussi à ce que quelques attributs supplémentaires soient repassés dans la réponse SAML. Le tableau suivant contient ces attributs. Ces attributs sont également préremplis, mais vous pouvez les examiner pour voir s’ils répondent à vos besoins.

    Nom Attribut source
    urn:oid:0.9.2342.19200300.100.1.1 user.userprincipalname
    urn:oid:0.9.2342.19200300.100.1.3 user.mail
    urn:oid:2.16.840.1.113730.3.1.241 user.displayname
    urn:oid:2.5.4.4 user.surname
    urn:oid:2.5.4.42 user.givenname

    Si vos utilisateurs Microsoft Entra ont configuré sAMAccountName, vous devez mapper urn:oid:0.9.2342.19200300.100.1.1 sur l’attribut sAMAccountName.

  9. Dans la page Configurer l’authentification unique avec SAML, à la section Certificat de signature SAML, sélectionnez les liens de téléchargement pour les options Certificat (Base64) ou XML de métadonnées de fédération. Enregistrez l’un ou l’autre, ou les deux, sur votre ordinateur. Vous en aurez besoin ultérieurement pour configurer EasySSO pour BitBucket.

    Screenshot of the SAML Signing Certificate section, with download links highlighted

    Si vous envisagez de configurer EasySSO pour BitBucket manuellement avec un certificat, vous devez également copier l’URL de connexion et l’Identificateur Microsoft Entra, puis les enregistrer sur votre ordinateur.

Créer un utilisateur test Microsoft Entra

Dans cette section, vous allez créer un utilisateur de test nommé B.Simon.

  1. Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’Administrateur de l’utilisateur.
  2. Accédez à Identité>Utilisateurs>Tous les utilisateurs.
  3. Sélectionnez Nouvel utilisateur>Créer un utilisateur dans la partie supérieure de l’écran.
  4. Dans les propriétés Utilisateur, effectuez les étapes suivantes :
    1. Dans le champ Nom d’affichage, entrez B.Simon.
    2. Dans le champ Nom d’utilisateur principal, entrez username@companydomain.extension. Par exemple : B.Simon@contoso.com.
    3. Cochez la case Afficher le mot de passe, puis notez la valeur affichée dans le champ Mot de passe.
    4. Sélectionnez Revoir + créer.
  5. Sélectionnez Create (Créer).

Attribuer l’utilisateur test Microsoft Entra

Dans cette section, vous allez permettre à B.Simon d’utiliser l’authentification unique en accordant l’accès à EasySSO for BitBucket.

  1. Accédez à Identité>Applications>Applications d’entreprise.
  2. Dans la liste des applications, sélectionnez EasySSO pour BitBucket.
  3. Dans la page de vue d’ensemble de l’application, recherchez la section Gérer et sélectionnez Utilisateurs et groupes.
  4. Sélectionnez Ajouter un utilisateur. Dans la boîte de dialogue Ajouter une attribution, sélectionnez Utilisateurs et groupes.
  5. Dans la boîte de dialogue Utilisateurs et groupes, sélectionnez B.Simon dans la liste Utilisateurs, puis choisissez Sélectionner en bas de l’écran.
  6. Si vous attendez qu’un rôle soit attribué aux utilisateurs, vous pouvez le sélectionner dans la liste déroulante Sélectionner un rôle . Si aucun rôle n’a été configuré pour cette application, vous voyez le rôle « Accès par défaut » sélectionné.
  7. Dans la boîte de dialogue Ajouter une attribution, sélectionnez Affecter.

Configurer l’authentification unique côté EasySSO pour BitBucket

  1. Dans une autre fenêtre de navigateur web, connectez-vous à votre site d’entreprise Zoom en tant qu’administrateur

  2. Accédez à la section Administration.

    Screenshot of BitBucket instance, with gear icon highlighted

  3. Recherchez puis sélectionnez EasySSO.

    Screenshot of Easy SSO option

  4. Sélectionnez SAML. Vous accédez alors à la section de configuration SAML.

    Screenshot of EasySSO Admin page, with SAML highlighted

  5. Sélectionnez l’onglet Certificats pour obtenir l’écran suivant :

    Screenshot of the Certificates tab, with various options highlighted

  6. Localisez le certificat (Base64) ou le fichier de métadonnées que vous avez enregistré dans la section précédente de ce tutoriel. Pour cela, vous pouvez procéder de la manière suivante :

    • Utilisez le fichier de métadonnées de fédération d’application que vous avez téléchargé dans un fichier local sur votre ordinateur. Sélectionnez la case d’option Charger, puis suivez les instructions concernant votre système d’exploitation.

    • Ouvrez le fichier de métadonnées de fédération d’application pour afficher son contenu dans n’importe quel éditeur de texte brut. Copiez-le dans le Presse-papiers. Sélectionnez Input (Entrée) et collez le contenu du Presse-papiers dans le champ de texte.

    • Procédez à une configuration entièrement manuelle. Ouvrez le certificat (Base64) de fédération d’application pour afficher son contenu dans n’importe quel éditeur de texte brut. Copiez-le dans le Presse-papiers, puis collez-le dans le champ de texte IdP Token Signing Certificates (Certificats de signature de jetons du fournisseur d’identité). Accédez ensuite à l’onglet General et renseignez les champs POST Binding URL (URL de liaison POST) et Entity ID (ID d’entité) avec les valeurs respectives d’URL de connexion et d’Identificateur Microsoft Entra que vous avez enregistrées plus tôt.

  7. Sélectionnez Save (Enregistrer) en bas de la page. Le contenu des fichiers de métadonnées ou de certificat sera alors analysé dans les champs de configuration. La configuration d’EasySSO for BitBucket est terminée.

  8. Pour tester la configuration, accédez à l’onglet Look & Feel (Apparence), puis sélectionnez SAML Login Button (Bouton de connexion SAML). Un bouton distinct s’affichera alors dans l’écran de connexion BitBucket pour vous permettre de tester votre intégration SAML Microsoft Entra de bout en bout. Vous pouvez également laisser ce bouton activé et configurer son emplacement, sa couleur et sa traduction pour le mode de production.

    Screenshot of SAML page Look & Feel tab, with SAML Login Button highlighted

    Remarque

    Si vous rencontrez des problèmes, contactez l’équipe du support technique EasySSO.

Créer un utilisateur de test EasySSO pour BitBucket

Dans cette section, vous allez créer un utilisateur appelé Britta Simon dans BitBucket. EasySSO for BitBucket prend en charge l’attribution d’utilisateurs juste-à-temps, qui est désactivée par défaut. Pour l’activer, vous devez activer explicitement l’option Create user on successful login (Créer un utilisateur lors d’une connexion réussie) dans la section General de la configuration du plug-in EasySSO. S’il n’existe pas encore d’utilisateur dans BitBucket, il en est créé un après l’authentification.

Toutefois, si vous ne souhaitez pas activer l’attribution automatique d’utilisateurs lorsque l’utilisateur se connecte pour la première fois, les annuaires utilisateur que l’instance BitBucket utilise doivent contenir des utilisateurs. Par exemple, l’annuaire en question peut être LDAP ou Atlassian.

Screenshot of the General section of EasySSO plug-in configuration, with Create user on successful login highlighted

Tester l’authentification unique (SSO)

Dans cette section, vous testez votre configuration d’authentification unique Microsoft Entra avec les options suivantes.

Lancée par le fournisseur de services :

  • Cliquez sur Tester cette application. Vous êtes alors redirigé vers l’URL de connexion à EasySSO for BitBucket où vous pouvez lancer le flux de connexion.

  • Accédez directement à l’URL de connexion EasySSO for BitBucket pour lancer le processus de connexion.

Lancée par le fournisseur d’identité :

  • Cliquez sur Tester cette application. Vous êtes alors automatiquement connecté à l’instance EasySSO for BitBucket pour laquelle vous avez configuré l’authentification unique

Vous pouvez aussi utiliser Mes applications de Microsoft pour tester l’application dans n’importe quel mode. Si, quand vous cliquez sur la vignette EasySSO for BitBucket dans Mes applications, le mode Fournisseur de services est configuré, vous êtes redirigé vers la page de connexion de l’application pour lancer le flux de connexion ; s’il s’agit du mode Fournisseur d’identité, vous êtes automatiquement connecté à l’instance d’EasySSO for BitBucket pour laquelle vous avez configuré l’authentification unique. Pour plus d’informations sur Mes applications, consultez Présentation de Mes applications.

Étapes suivantes

Après avoir configuré EasySSO for BitBucket, vous pouvez appliquer le contrôle de session, qui protège contre l’exfiltration et l’infiltration des données sensibles de votre organisation en temps réel. Le contrôle de session est étendu à partir de l’accès conditionnel. Découvrez comment appliquer un contrôle de session avec Microsoft Defender for Cloud Apps.