Configurer Tulip pour l’authentification unique avec l’ID Microsoft Entra

Dans cet article, vous allez apprendre à intégrer Tulip à Microsoft Entra ID. Lorsque vous intégrez Tulip à Microsoft Entra ID, vous pouvez :

• Contrôler qui a accès à Tulip dans Microsoft Entra ID.
• Permettre à vos utilisateurs d’être automatiquement connectés à Tulip avec leurs comptes Microsoft Entra.
• Gérer vos comptes à partir d’un emplacement central.

Prérequis

Le scénario décrit dans cet article suppose que vous disposez déjà des conditions préalables suivantes :

• Un compte d’utilisateur Microsoft Entra avec un abonnement actif. Si vous n’en avez pas encore, vous pouvez créer un compte gratuitement.
• L’un des rôles suivants :
  • Administrateur d’application
  • Administrateur d’application cloud
  • Propriétaire de l’application.

• Un abonnement Tulip pour lequel l’authentification unique est activée.

Remarque

Cette intégration est également disponible à partir de l’environnement Microsoft Entra US Government Cloud. Vous pouvez trouver cette application dans la galerie d’applications Microsoft Entra US Government Cloud et la configurer de la même manière que vous le faites à partir du cloud public.

Description du scénario

Dans cet article, vous allez configurer et tester l’authentification unique Microsoft Entra dans un environnement de test.

• Tulip prend en charge l’authentification unique initiée par le fournisseur d’identité.

Ajout de Tulip à partir de la galerie

Pour configurer l'intégration de Tulip à Microsoft Entra ID, vous devez ajouter Tulip à votre liste d'applications SaaS managées à partir de la galerie.

1. Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.
2. Naviguez vers Entra ID>Applications d'entreprise>Nouvelle application.
3. Dans la section Ajouter à partir de la galerie, tapez Tulip dans la zone de recherche.
4. Sélectionnez Tulip dans le volet de résultats, puis ajoutez l’application. Patientez quelques secondes pendant que l’application est ajoutée à votre locataire.

Vous pouvez également utiliser l’assistant Entreprise App Configuration. Dans cet assistant, vous pouvez ajouter une application à votre instance, ajouter des utilisateurs/groupes à l’application, attribuer des rôles, ainsi que parcourir la configuration de l’authentification unique (SSO). En savoir plus sur les assistants Microsoft 365.

Configurer et tester l’authentification unique Microsoft Entra pour Tulip

Pour configurer et tester l’authentification unique Microsoft Entra avec Tulip, effectuez les étapes suivantes :

1. Configurez l’authentification unique Microsoft Entra pour permettre à vos utilisateurs d’utiliser cette fonctionnalité.

2. Configurer l’authentification unique Tulip pour configurer les paramètres de l’authentification unique côté application.

   1. Pour configurer l’authentification unique (SSO) sur une instance Tulip avec des utilisateurs existants, contactez support@tulip.co.

Configurer Microsoft Entra SSO

Effectuez ces étapes pour activer l’authentification unique Microsoft Entra.

1. Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.

2. Accédez à Entra ID>Applications d'entreprise>Tulip>Authentification unique.

3. Dans la page Sélectionner une méthode d’authentification unique, sélectionnez SAML.

4. Dans la page Configurer l’authentification unique avec SAML , sélectionnez l’icône crayon de configuration SAML de base pour modifier les paramètres.

   

5. Dans la section Configuration SAML de base, si vous disposez d’un fichier de métadonnées du fournisseur de services, suivez les étapes ci-dessous :

   a. Téléchargez le fichier de métadonnées Tulip qui est accessible sur la page des paramètres de votre instance Tulip.

   b. Sélectionnez Charger le fichier de métadonnées.

   

   b. Sélectionnez le logo du dossier pour sélectionner le fichier de métadonnées, puis sélectionnez Charger.

   

   v. Une fois le fichier de métadonnées chargé, les valeurs Identificateur et URL de réponse sont automatiquement renseignées dans la section Configuration SAML de base :

   

   Remarque

   Si les valeurs d’IDENTIFICATEUR et d’URL de réponse ne sont pas renseignées automatiquement, renseignez les valeurs manuellement en fonction de vos besoins.

6. L’application Tulip s’attend à recevoir les assertions SAML dans un format spécifique, ce qui vous oblige à ajouter des mappages d’attributs personnalisés à votre configuration des attributs du jeton SAML. La capture d’écran suivante montre la liste des attributs par défaut. Si l’attribut nameID doit être une adresse e-mail, remplacez le format par Persistent.

   

7. En plus des éléments ci-dessus, l’application Tulip s’attend à ce que quelques attributs supplémentaires, indiqués ci-après, soient transmis dans la réponse SAML. Ces attributs sont également préremplis, mais vous pouvez les examiner pour voir s’ils répondent à vos besoins.

   Nom	Attribut source
   nom d’affichage	nom d'affichage de l'utilisateur
   adresse e-mail	e-mail de l'utilisateur
   Identifiant de badge	utilisateur.identifiantEmployé
   groupe	utilisateur.groupes

8. Dans la page Configurer l’authentification unique avec SAML, dans la section Certificat de signature SAML, recherchez XML de métadonnées de fédération et sélectionnez Télécharger pour télécharger le certificat et l’enregistrer sur votre ordinateur.

Configurer l’authentification unique de Tulip

1. Connectez-vous à votre instance Tulip en tant que propriétaire du compte.

2. Accédez à Paramètres>SAML et effectuez les étapes suivantes dans la page ci-dessous.

   

   a) Activez les connexions SAML.

   b. Sélectionnez le fichier xml de métadonnées pour télécharger le fichier de métadonnées du fournisseur de services et utilisez ce fichier pour charger dans la section Configuration SAML de base dans le portail Azure.

   v. Chargez le fichier XML des métadonnées de fédération d’Azure vers Tulip. Cette opération remplit l’URL de connexion à SSO, l’URL de déconnexion de SSO et les certificats.

   d. Vérifiez que les attributs Name, Email et Badge ne sont pas null, c’est-à-dire entrez toutes les chaînes uniques dans les trois entrées et effectuez une authentification de test à l’aide du Authenticate bouton à droite.

   é. Une fois l’authentification réussie, copiez/collez l’URL de revendication entière dans le mappage approprié pour les attributs name, email et badgeID.

   • Collez la valeur de l’attribut Name en tant que http://schemas.microsoft.com/identity/claims/displayname ou que l’URL de revendication appropriée.

   • Collez la valeur de l’attribut Email en tant que http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name ou que l’URL de revendication appropriée.

   • Collez la valeur de l’attribut Badge en tant que http://schemas.xmlsoap.org/ws/2005/05/identity/claims/badgeID ou que l’URL de revendication appropriée.

   • Collez la valeur de l’attribut Role en tant que http://schemas.xmlsoap.org/ws/2005/05/identity/claims/groups ou que l’URL de revendication appropriée.

   f. Sélectionnez Enregistrer la configuration SAML.

Contenu connexe

Une fois que vous avez configuré Tulip, vous pouvez appliquer le contrôle de session, qui protège contre l’exfiltration et l’infiltration des données sensibles de votre organisation en temps réel. Le contrôle de session est étendu à partir de l’accès conditionnel. Découvrez comment appliquer un contrôle de session avec Microsoft Defender for Cloud Apps.

Contactez support@tulip.co si vous avez des questions, notamment sur la migration d’utilisateurs existants dans Tulip pour utiliser SAML.