Configurer AirWatch pour la connexion unique avec Microsoft Entra ID

Dans cet article, vous allez apprendre à intégrer AirWatch à Microsoft Entra ID. Lorsque vous intégrez AirWatch à Microsoft Entra ID, vous pouvez :

• Dans Microsoft Entra ID, gérez qui a accès à AirWatch.
• Permettez à vos utilisateurs d’être automatiquement connectés à AirWatch avec leurs comptes Microsoft Entra.
• Gérer vos comptes à partir d’un emplacement central.

Prérequis

Le scénario décrit dans cet article suppose que vous disposez déjà des conditions préalables suivantes :

• Un compte d’utilisateur Microsoft Entra avec un abonnement actif. Si vous n’en avez pas encore, vous pouvez créer un compte gratuitement.
• L’un des rôles suivants :
  • Administrateur d’application
  • Administrateur d’application cloud
  • Responsable de l’application.

• Un abonnement AirWatch pour lequel l’authentification unique est activée

Remarque

L’identificateur de cette application étant une valeur de chaîne fixe, une seule instance peut être configurée dans un locataire.

Description du scénario

Dans cet article, vous allez configurer et tester l’authentification unique Microsoft Entra dans un environnement de test.

• AirWatch prend en charge l’authentification unique lancée par le fournisseur de services

Ajouter AirWatch à partir de la galerie

Pour configurer l'intégration d'AirWatch dans Microsoft Entra ID, vous devez ajouter AirWatch depuis la galerie à votre liste d'applications SaaS gérées.

1. Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.
2. Naviguez vers Entra ID>Applications d'entreprise>Nouvelle application.
3. Dans la section Ajouter à partir de la galerie, tapez AirWatch dans la zone de recherche.
4. Sélectionnez AirWatch dans le volet de résultats, puis ajoutez l’application. Patientez quelques secondes pendant que l’application est ajoutée à votre locataire.

Vous pouvez également utiliser l’assistant Entreprise App Configuration. Dans cet assistant, vous pouvez ajouter une application à votre instance, ajouter des utilisateurs/groupes à l’application, attribuer des rôles, ainsi que parcourir la configuration de l’authentification unique (SSO). En savoir plus sur les assistants Microsoft 365.

Configurer et tester Microsoft Entra SSO pour AirWatch

Configurez et testez Microsoft Entra SSO avec AirWatch à l'aide d'un utilisateur test appelé B.Simon. Pour que SSO fonctionne, vous devez établir une relation de lien entre un utilisateur Microsoft Entra et l'utilisateur associé dans AirWatch.

Pour configurer et tester Microsoft Entra SSO avec AirWatch, effectuez les étapes suivantes :

1. Configurer Microsoft Entra SSO – pour permettre à vos utilisateurs d'utiliser cette fonctionnalité.
   1. Créer un utilisateur de test Microsoft Entra pour tester l’authentification unique Microsoft Entra avec B.Simon.
   2. Affecter l’utilisateur de test Microsoft Entra pour permettre à B.Simon d’utiliser l’authentification unique Microsoft Entra.
2. Configurer l’authentification unique AirWatch pour configurer les paramètres de l’authentification unique côté application.
   1. Créer un utilisateur de test AirWatch pour avoir un équivalent de B.Simon dans AirWatch lié à la représentation Microsoft Entra de l’utilisateur.
3. Tester l’authentification unique pour vérifier si la configuration fonctionne.

Configurer l’authentification unique Microsoft Entra

Effectuez ces étapes pour activer l’authentification unique Microsoft Entra.

1. Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.

2. Accédez à la page d'intégration de l'application AirWatch via >applications d'entreprise>, recherchez la section Gérer et sélectionnez Authentification unique.

3. Dans la page Sélectionner une méthode d’authentification unique, sélectionnez SAML.

4. Dans la page Configurer l’authentification unique avec SAML, sélectionnez l’icône de crayon pour Configuration SAML de base afin de modifier les paramètres.

   

5. Dans la boîte de dialogue Configuration SAML de base, entrez les valeurs pour les champs suivants :

   a) Dans la zone de texte Identificateur (ID d’entité) , saisissez la valeur comme suit : AirWatch

   b. Dans la zone de texte URL de réponse , tapez une URL en utilisant un des modèles suivants :

   URL de réponse
   https://<SUBDOMAIN>.awmdm.com/<COMPANY_CODE>
   https://<SUBDOMAIN>.airwatchportals.com/<COMPANY_CODE>

   v. Dans la zone de texte URL de connexion, saisissez une URL au format suivant : https://<subdomain>.awmdm.com/AirWatch/Login?gid=companycode

   Remarque

   Ces valeurs ne sont pas réelles. Mettez à jour ces valeurs avec l’URL de réponse et l’URL de connexion réelles. Pour obtenir ces valeurs, contactez l’équipe de support du client AirWatch. Vous pouvez également consulter les modèles figurant à la section Configuration SAML de base.

6. L’application AirWatch s’attend à ce que les assertions SAML soient dans un format spécifique. Configurez les revendications suivantes pour cette application. Vous pouvez gérer les valeurs de ces attributs à partir de la section Attributs utilisateur sur la page d’intégration des applications. Dans la page Configurer l’authentification unique avec SAML, sélectionnez le bouton Modifier pour ouvrir la boîte de dialogue Attributs utilisateur.

   

7. Dans la section Revendications des utilisateurs de la boîte de dialogue Attributs utilisateur, modifiez les revendications en utilisant l’icône Modifier ou ajoutez des revendications en utilisant l’option Ajouter une nouvelle revendication pour configurer l’attribut de jeton SAML comme sur l’image ci-dessus et procédez comme suit :

   Nom	Attribut source
   Identificateur d’utilisateur	utilisateur.nomPrincipalUtilisateur

   a) Sélectionnez Ajouter une nouvelle revendication pour ouvrir la boîte de dialogue Gérer les revendications utilisateur.

   b. Dans la zone de texte Attribut, indiquez le nom d’attribut pour cette ligne.

   v. Laissez le champ Espace de noms vide.

   d. Sélectionnez Source comme Attribut.

   é. Dans la liste Attribut de la source, tapez la valeur d’attribut indiquée pour cette ligne.

   f. Sélectionnez OK.

   g. Cliquez sur Enregistrer.

8. Dans la page Configurer l’authentification unique avec SAML, dans la section Certificat de signature SAML, recherchez XML de métadonnées de fédération et sélectionnez Télécharger pour télécharger le fichier XML de métadonnées et l’enregistrer sur votre ordinateur.

   

9. Dans la section Configurer AirWatch, copiez l’URL ou les URL appropriées en fonction de vos besoins.

   

Créer et affecter un utilisateur de test Microsoft Entra

Suivez les instructions du guide de démarrage rapide pour créer et attribuer un compte utilisateur afin de créer un compte utilisateur de test appelé B.Simon.

Configurer l’authentification unique AirWatch

1. Dans une autre fenêtre de navigateur web, connectez-vous à votre site d’entreprise AirWatch en tant qu’administrateur.

2. Dans le volet de navigation gauche, sélectionnez Paramètres et groupes, puis sélectionnez Tous les paramètres.

3. Ensuite, accédez à Système > Intégration Entreprise > Services d'annuaire.

4. Sélectionnez l’onglet Utilisateur , dans le champ DN de base, tapez votre domain name, puis sélectionnez Enregistrer.

5. Sélectionnez l’onglet Groupe , dans le champ DN de base, tapez votre domain name, puis sélectionnez Enregistrer.

6. Sélectionnez l’onglet Serveur (Détails), puis effectuez les étapes suivantes :

   1. Pour Directory Type, sélectionnez None.
   2. Activez l’option Utiliser SAML pour l’authentification .
   3. Sélectionnez Importer les paramètres du fournisseur d’identité et sélectionnez Charger pour charger le fichier XML que vous avez téléchargé à l’Étape 4 ci-dessus.

7. Dans la section Request , procédez comme suit :

   1. Pour Request Binding Type, sélectionnez POST.
   2. Accédez à Entra ID>Enterprise apps>AirWatch.
   3. Dans la section Configuration d’AirWatch, sélectionnez Configurer AirWatch pour ouvrir la fenêtre Configurer l’authentification
   4. Copiez l’URL du service d’authentification unique SAML à partir de la section Référence rapide, puis collez-la dans la zone de texte Identity Provider Single Sign-On URL (URL d’authentification unique du fournisseur d’identité).
   5. Pour NameID Format, sélectionnez Email Address.
   6. Cliquez sur Enregistrer.

8. Dans la section Réponse, sous Type de liaison de réponse, sélectionnez Publier.

9. Sélectionnez à nouveau l’onglet User.

10. Sélectionnez Afficher avancé pour afficher les paramètres utilisateur avancés.

11. Dans la section Attribute , procédez comme suit :

    

    1. Dans la zone de texte Object Identifier (Identificateur de l’objet), tapez http://schemas.microsoft.com/identity/claims/objectidentifier.
    2. Dans la zone de texte Username (Nom d’utilisateur), tapez http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress.
    3. Dans la zone de texte Display Name (Nom d’affichage), tapez http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname.
    4. Dans la zone de texte First Name (Prénom), tapez http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname.
    5. Dans la zone de texte Last Name (Nom), tapez http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname.
    6. Dans la zone de texte Email (E-mail), tapez http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress.
    7. Cliquez sur Enregistrer.

Créer un utilisateur de test AirWatch

Pour permettre aux utilisateurs de Microsoft Entra de se connecter à AirWatch, ils doivent être configurés dans AirWatch. Dans le cas d’AirWatch, cet approvisionnement est une tâche manuelle.

Pour configurer l'approvisionnement des utilisateurs, procédez comme suit :

1. Connectez-vous à votre site d’entreprise AirWatch en tant qu’administrateur.

2. Dans le volet de navigation situé à gauche, sélectionnez Comptes, puis Utilisateurs.

3. Dans le menu Utilisateurs, sélectionnez Vue en liste, puis sélectionnez Ajouter > Ajouter un utilisateur.

4. Dans la boîte de dialogue Add / Edit User , procédez comme suit :

   a) Tapez le nom d'utilisateur, le mot de passe, la confirmation du mot de passe, le prénom, le nom de famille et l'adresse Email d'un compte Microsoft Entra valide que vous souhaitez configurer dans les zones de texte associées.

   b. Cliquez sur Enregistrer.

Remarque

Vous pouvez utiliser n'importe quel autre outil de création de compte utilisateur AirWatch ou API fourni par AirWatch pour provisionner les comptes utilisateur Microsoft Entra.

Tester l’authentification unique (SSO)

Dans cette section, vous testez votre configuration de connexion unique Microsoft Entra avec les options suivantes.

• Sélectionnez Tester cette application, cette option redirige vers l’URL de connexion à AirWatch où vous pouvez lancer le flux de connexion.

• Accédez directement à l’URL de connexion à AirWatch et lancez le processus de connexion.

• Vous pouvez utiliser Mes applications de Microsoft. Lorsque vous sélectionnez la vignette AirWatch dans Mes applications, cette option redirige vers l’URL de connexion à AirWatch. Pour plus d’informations sur Mes applications, consultez Présentation de Mes applications.

Contenu connexe

Une fois que vous avez configuré AirWatch, vous pouvez appliquer le contrôle de session, qui protège l’exfiltration et l’infiltration des données sensibles de votre organisation en temps réel. Le contrôle de session est étendu à partir de l’accès conditionnel. Découvrez comment appliquer un contrôle de session avec Microsoft Defender for Cloud Apps.