Tutoriel : intégration de l'authentification unique (SSO) Microsoft Entra à EasySSO for Confluence
Dans ce tutoriel, vous allez apprendre à intégrer EasySSO for Confluence à Microsoft Entra ID. Quand vous intégrez EasySSO for Confluence à Microsoft Entra ID, vous pouvez :
- Contrôler qui a accès à Confluence dans Microsoft Entra ID.
- Permettre à vos utilisateurs d'être automatiquement connectés à Confluence avec leurs comptes Microsoft Entra.
- Gérer vos comptes à partir d’un emplacement central.
Prérequis
Pour commencer, vous devez disposer de ce qui suit :
- Un abonnement Microsoft Entra. Si vous ne disposez d’aucun abonnement, vous pouvez obtenir un compte gratuit.
- Un abonnement EasySSO pour Confluence pour lequel l’authentification unique est activée
Description du scénario
Dans ce tutoriel, vous configurez et testez Microsoft Entra SSO dans un environnement de test.
- EasySSO pour Confluence prend en charge l’authentification unique lancée par le fournisseur de services et le fournisseur d’identité.
- EasySSO pour Confluence prend en charge le provisionnement d’utilisateurs juste-à-temps.
Ajouter EasySSO pour Confluence à partir de la galerie
Pour configurer l’intégration d’EasySSO for Confluence dans Microsoft Entra ID, vous devez ajouter EasySSO for Confluence, disponible dans la galerie, à votre liste d’applications SaaS managées.
- Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.
- Accédez à Identité>Applications>Applications d’entreprise>Nouvelle application.
- Dans la section Ajouter à partir de la galerie, tapez EasySSO pour Confluence dans la zone de recherche.
- Sélectionnez EasySSO pour Confluence dans le volet de résultats, puis ajoutez l’application. Patientez quelques secondes pendant que l’application est ajoutée à votre locataire.
Vous pouvez également utiliser l’assistant Entreprise App Configuration. Dans cet assistant, vous pouvez ajouter une application à votre locataire, ajouter des utilisateurs/groupes à l’application, attribuer des rôles, mais également parcourir la configuration de l’authentification unique. En savoir plus sur les assistants Microsoft 365.
Configurer et tester l’authentification unique Microsoft Entra pour EasySSO for Confluence
Configurez et testez l’authentification unique Microsoft Entra avec EasySSO for Confluence pour un utilisateur de test appelé B.Simon. Pour que l’authentification unique fonctionne, vous devez établir un lien entre un utilisateur Microsoft Entra et l’utilisateur EasySSO for Confluence associé.
Pour configurer et tester l’authentification unique Microsoft Entra avec EasySSO for Confluence, effectuez les étapes suivantes :
- Configurer Microsoft Entra SSO – pour permettre à vos utilisateurs d'utiliser cette fonctionnalité.
- Créez un utilisateur de test Microsoft Entra pour tester l’authentification unique Microsoft Entra avec B.Simon.
- Attribuer l’utilisateur test Microsoft Entra – pour permettre à B.Simon d’utiliser l’authentification unique Microsoft Entra.
- Configurer l’authentification unique EasySSO pour Confluence pour configurer les paramètres de l’authentification unique côté application.
- Créer un utilisateur de test EasySSO for Confluence pour avoir dans EasySSO for Confluence un équivalent de B.Simon lié à la représentation Microsoft Entra associée.
- Tester l’authentification unique pour vérifier si la configuration fonctionne.
Configurer Microsoft Entra SSO
Effectuez ces étapes pour activer l’authentification unique Microsoft Entra.
Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.
Accédez à Identité>Applications>Applications d’entreprise>EasySSO pour Confluence>Authentification unique.
Dans la page Sélectionner une méthode d’authentification unique, sélectionnez SAML.
Dans la page Configurer l’authentification unique avec SAML, cliquez sur l’icône de crayon de Configuration SAML de base afin de modifier les paramètres.
Dans la section Configuration SAML de base, si vous souhaitez configurer l’application en mode Initié par le fournisseur d’identité, entrez les valeurs pour les champs suivants :
a. Dans la zone de texte Identificateur, tapez une URL au format suivant :
https://<server-base-url>/plugins/servlet/easysso/saml
b. Dans la zone de texte URL de réponse, tapez une URL au format suivant :
https://<server-base-url>/plugins/servlet/easysso/saml
Si vous souhaitez configurer l’application en mode démarré par le fournisseur de services, cliquez sur Définir des URL supplémentaires, puis effectuez les étapes suivantes :
Dans la zone de texte URL de connexion, tapez une URL au format suivant :
https://<server-base-url>/login.jsp
.Remarque
Il ne s’agit pas de valeurs réelles. Mettez à jour ces valeurs avec l’identificateur, l’URL de réponse et l’URL de connexion réels. En cas de doute, contactez l’équipe du support technique EasySSO pour obtenir ces valeurs. Vous pouvez également consulter les modèles figurant à la section Configuration SAML de base.
L’application EasySSO pour Confluence attend les assertions SAML dans un format spécifique, ce qui vous oblige à ajouter des mappages d’attributs personnalisés à votre configuration d’attributs de jetons SAML. La capture d’écran suivante montre la liste des attributs par défaut.
En plus de ce qui précède, l’application EasySSO pour Confluence s’attend à ce que quelques attributs supplémentaires (présentés ci-dessous) soient repassés dans la réponse SAML. Ces attributs sont également préremplis, mais vous pouvez les examiner pour voir s’ils répondent à vos besoins.
Nom Attribut source urn:oid:0.9.2342.19200300.100.1.1 user.userprincipalname urn:oid:0.9.2342.19200300.100.1.3 user.mail urn:oid:2.16.840.1.113730.3.1.241 user.displayname urn:oid:2.5.4.4 user.surname urn:oid:2.5.4.42 user.givenname Si vos utilisateurs Microsoft Entra ont sAMAccountName configuré, vous devez mapper urn:oid:0.9.2342.19200300.100.1.1 à l’attribut sAMAccountName.
Dans la page Configurer l’authentification unique avec SAML, à la section Certificat de signature SAML, cliquez sur les liens Télécharger pour les options Certificat (Base64) ou XML de métadonnées de fédération, puis enregistrez l’un des deux, ou les deux, sur votre ordinateur. Vous en aurez besoin ultérieurement pour configurer Confluence EasySSO.
Si vous envisagez d’effectuer une configuration d’EasySSO for Confluence manuellement avec un certificat, vous devez également copier l’URL de connexion et l’Identificateur Microsoft Entra dans la section ci-dessous, puis les enregistrer sur votre ordinateur.
Créer un utilisateur de test Microsoft Entra
Dans cette section, vous allez créer un utilisateur de test appelé B.Simon.
- Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’Administrateur de l’utilisateur.
- Accédez à Identité>Utilisateurs>Tous les utilisateurs.
- Sélectionnez Nouvel utilisateur>Créer un utilisateur dans la partie supérieure de l’écran.
- Dans les propriétés Utilisateur, effectuez les étapes suivantes :
- Dans le champ Nom d’affichage, entrez
B.Simon
. - Dans le champ Nom d’utilisateur principal, entrez username@companydomain.extension. Par exemple :
B.Simon@contoso.com
. - Cochez la case Afficher le mot de passe, puis notez la valeur affichée dans le champ Mot de passe.
- Sélectionnez Revoir + créer.
- Dans le champ Nom d’affichage, entrez
- Sélectionnez Create (Créer).
Attribuer l’utilisateur test Microsoft Entra
Dans cette section, vous allez autoriser B.Simon à utiliser l’authentification unique en lui accordant l’accès à EasySSO for Confluence.
- Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.
- Accédez à Identité>Applications>Applications d’entreprise>EasySSO pour Confluence.
- Dans la page de présentation de l’application, sélectionnez Utilisateurs et groupes.
- Sélectionnez Ajouter un utilisateur/groupe, puis Utilisateurs et groupes dans la boîte de dialogue Ajouter une attribution.
- Dans la boîte de dialogue Utilisateurs et groupes, sélectionnez B. Simon dans la liste Utilisateurs, puis cliquez sur le bouton Sélectionner au bas de l’écran.
- Si vous attendez qu’un rôle soit attribué aux utilisateurs, vous pouvez le sélectionner dans la liste déroulante Sélectionner un rôle . Si aucun rôle n’a été configuré pour cette application, vous voyez le rôle « Accès par défaut » sélectionné.
- Dans la boîte de dialogue Ajouter une attribution, cliquez sur le bouton Attribuer.
Configurer l’authentification unique côté EasySSO pour Confluence
Dans une autre fenêtre du navigateur Web, connectez-vous à votre site d’entreprise EasySSO pour Confluence en tant qu’administrateur et accédez à la section Gérer les applications.
Sur le côté gauche, recherchez EasySSO, puis cliquez dessus. Ensuite, cliquez sur le bouton Configure.
Sélectionnez l’option SAML. Vous accédez alors à la section de configuration SAML.
Sélectionnez l’onglet Certificats en haut. L’écran suivant s’affiche alors :
À présent, recherchez le Certificat (Base64) ou le Fichier de métadonnées que vous avez enregistré aux étapes précédentes de la configuration de l’authentification unique Microsoft Entra. Vous avez le choix entre les options suivantes :
a. Utilisez le fichier de métadonnées de fédération d’application que vous avez téléchargé dans un fichier local sur votre ordinateur. Sélectionnez la case d’option Upload (Charger) et suivez les instructions de la boîte de dialogue de chargement de fichier propre à votre système d’exploitation.
OR
b. Ouvrez le fichier de métadonnées de fédération d’application pour afficher le contenu (dans n’importe quel éditeur de texte brut) du fichier, et copiez-le dans le Presse-papiers. Sélectionnez l’option Input (Entrée) et collez le contenu du Presse-papiers dans le champ de texte.
OR
c. Configuration entièrement manuelle Ouvrez le certificat (Base64) de fédération d’application pour afficher le contenu (dans n’importe quel éditeur de texte brut) du fichier, et copiez-le dans le Presse-papiers. Collez-le dans le champ de texte IdP Token Signing Certificates (Certificats de signature de jetons IdP). Accédez ensuite à l’onglet General et renseignez les champs URL de liaison POST et ID d’entité avec les valeurs respectives d’URL de connexion et d’Identificateur Microsoft Entra que vous avez enregistrées plus tôt.
Cliquez sur le bouton Save en bas de la page. Le contenu des fichiers de métadonnées ou de certificat sera alors analysé dans les champs de configuration. La configuration d’EasySSO pour Confluence est terminée.
Pour une expérience de test optimale, accédez à l’onglet Look & Feel (Apparence) et cochez l’option SAML Login Button (Bouton de connexion SAML). Un bouton distinct sera alors présent sur l’écran de connexion Confluence pour tester votre intégration SAML Microsoft Entra de bout en bout. Vous pouvez également laisser ce bouton activé et configurer son emplacement, sa couleur et sa traduction pour le mode de production.
Remarque
En cas de problème, contactez l’équipe de support EasySSO.
Créer un utilisateur de test EasySSO pour Confluence
Dans cette section, un utilisateur appelé Britta Simon est créé dans Confluence. EasySSO pour Confluence prend en charge le provisionnement d’utilisateurs juste-à-temps, option désactivée par défaut. Pour activer le provisionnement d’utilisateurs, vous devez activer explicitement l’option Create user on successful login (Créer un utilisateur lors d’une connexion réussie) dans la section General de la configuration du plug-in EasySSO. S’il n’existe pas encore d’utilisateur dans Confluence, il en est créé un après l’authentification.
Toutefois, si vous ne souhaitez pas activer le provisionnement automatique d’utilisateurs lors de la première connexion, les utilisateurs doivent exister dans les répertoires utilisateurs back-end utilisés par l’instance de Confluence, comme LDAP ou Atlassian Crowd.
Tester l’authentification unique (SSO)
Workflow lancé par le fournisseur d’identité
Dans cette section, vous testez votre configuration d’authentification unique Microsoft Entra à l’aide de Mes applications.
Quand vous cliquez sur la vignette EasySSO for Confluence dans Mes applications, vous devez être connecté automatiquement à l’instance Confluence pour laquelle vous avez configuré l’authentification unique. Pour plus d’informations sur Mes applications, consultez Présentation de Mes applications.
Workflow lancé par le fournisseur de services
Dans cette section, vous allez tester la configuration de l’authentification unique Microsoft Entra à l’aide du bouton SAML Login de Confluence.
Ce scénario part du principe que vous avez activé le bouton de connexion SAML sous l’onglet Look & Feel dans votre page de configuration EasySSO pour Confluence (voir ci-dessus). Ouvrez votre URL de connexion Confluence en mode incognito du navigateur pour éviter toute interférence avec vos sessions existantes. Cliquez sur le bouton SAML Login. Vous êtes alors redirigé vers le flux d’authentification d’utilisateur Microsoft Entra. Une fois l’opération terminée, vous serez redirigé vers votre instance de Confluence en tant qu’utilisateur authentifié par le biais de SAML.
Il est possible que vous voyiez l’écran suivant après avoir été redirigé à partir de Microsoft Entra ID.
Dans ce cas, vous devez suivre les instructions fournies dans cette page pour accéder au fichier atlassian-confluence.log. Les détails de l’erreur sont disponibles en fonction de l’ID de référence figurant dans la page d’erreur EasySSO.
En cas de problème pour synthétiser les messages du journal, contactez l’équipe de support technique d’EasySSO.
Étapes suivantes
Après avoir configuré EasySSO for Confluence, vous pouvez appliquer le contrôle de session, qui protège contre l’exfiltration et l’infiltration des données sensibles de votre organisation en temps réel. Le contrôle de session est étendu à partir de l’accès conditionnel. Découvrez comment appliquer un contrôle de session avec Microsoft Defender for Cloud Apps.