Guide d'intégration SSO Azure Active Directory

Azure Active Directory (Azure AD) offre aux entreprises un moyen simple de gérer les identités et les accès, à la fois dans le cloud et sur site. Vos utilisateurs peuvent utiliser le même compte professionnel ou scolaire pour l’authentification unique à n’importe quelle application Web cloud et sur site. Vos utilisateurs peuvent utiliser leurs appareils préférés, notamment iOS, Mac OS X, Android et Windows. Votre organisation peut protéger les données et applications sensibles sur site et dans le cloud grâce à l'authentification multifacteur intégrée garantissant un accès local et distant sécurisé. Azure AD étend vos répertoires locaux afin que les travailleurs de l'information puissent utiliser un seul compte organisationnel pour accéder de manière sécurisée et cohérente à leurs ressources d'entreprise. Azure AD propose également des rapports complets, des analyses et des fonctionnalités en libre-service pour réduire les coûts et améliorer la sécurité. Le SLA Azure AD garantit le bon fonctionnement de votre entreprise à tout moment et peut être étendu aux niveaux de l’entreprise.

 

 

Dans votre portail de gestion Azure

1. Clique le Azure Active Directory icône, puis dans la colonne du menu de gauche, cliquez sur Applications de l'entreprise .
2. Cliquez sur + Nouvelle application .
3. Rechercher et sélectionner PagerDuty , puis clique Créer .
4. Cliquez sur la vignette de l'étape 1 Attribuer des utilisateurs et des groupes .
5. Sélectionner Ajouter un utilisateur/un groupe en haut à gauche.
6. Sélectionnez tout ce que vous souhaitez utilisateurs et groupes , Cliquez sur Sélectionner en bas, alors Attribuer .
   ( Note: Tous les utilisateurs qui utiliseront la connexion SSO pour PagerDuty devront être ajoutés à cette application PagerDuty dans Azure, individuellement ou par groupe pour que la connexion fonctionne.)
7. Revenez au Aperçu en haut de la colonne de menu de gauche, passez à l'étape 2 Configurer l'authentification unique , et sélectionnez le SAML tuile.
8. Modifiez la première section, Configuration SAML de base :
   • Ensemble Identifiant (ID d'entité) au format suivant en utilisant votre sous-domaine :

      https://VOTRE_SOUS-DOMAINE.pagerduty.com 

   • Ensemble URL de connexion à:

      https://VOTRE_SOUS-DOMAINE.pagerduty.com/sso/saml/sign-in 

   • Ensemble URL de réponse à:

      https://VOTRE_SOUS-DOMAINE.pagerduty.com/sso/saml/consume 

   • Cliquez sur Sauvegarder en haut à gauche.
   • Cliquez hors de Configuration SAML de base avec le X encadré tout en haut à droite.
9. Modifiez la deuxième section, Attributs et revendications des utilisateurs :
   • Cliquez sur la réclamation requise Identifiant d'utilisateur unique (ID de nom) .
   • Sélectionner Adresse e-mail du Choisir le format d'identifiant du nom liste déroulante, définissez le Attribut source valeur à utilisateur.mail , puis clique Sauvegarder .
     
   • Cliquez sur Ajouter une nouvelle revendication :
     • Met le Nom champ à nom .
     • Sois sûr que Espace de noms est vide .
     • Ensemble Attribut source à utilisateur.displayname .
     • Répétez le Ajouter une nouvelle revendication étape pour chacun des éléments suivants facultatif attributs que vous souhaitez voir provisionnés dans PagerDuty:
       1. Nom : adresse e-mail , Attribut source : utilisateur.mail .
       2. Nom : responsabilités professionnelles , Attribut source : utilisateur.jobtitle .
       3. Nom : rôle , Attribut source : Il peut s'agir d'une valeur codée en dur, par exemple utilisateur_limité (un Répondeur rôle), si vous souhaitez que tous les utilisateurs disposent du même rôle, ou vous pouvez utiliser Conditions de réclamation déterminer le rôle en fonction de l'appartenance au groupe ; dans les deux cas, la valeur envoyée doit être l'une des valeurs de PagerDuty. Valeurs du rôle utilisateur de l'API REST .
   • Cliquez hors de Attributs et revendications des utilisateurs avec le X encadré tout en haut à droite.
10. Dans la troisième section, Certificat de signature SAML , télécharger Certificat (base64) .
11. Prenez note de la quatrième section, Configurer PagerDuty , et laissez la page ici ; vous aurez bientôt besoin de ces valeurs du côté de PagerDuty :
    • URL de connexion
    • URL de déconnexion

Dans PagerDuty

1. Connectez-vous à PagerDuty dans une nouvelle fenêtre en tant que Propriétaire du compte .
2. Clique sur le Icône utilisateur dans le coin supérieur droit, puis sélectionnez Paramètres du compte .
3. Sélectionnez le Authentification unique en haut de l'écran.
4. Sélectionner SAML comme type d'authentification de connexion.
5. Ouvrez le certificat précédemment téléchargé, copiez tout son contenu et collez-le dans le Certificat X.509 champ.
6. Revenez à la fenêtre Azure pour copier les valeurs de URL de connexion et URL de déconnexion .
7. Assurez-vous que le Exiger une comparaison EXACTE du contexte d'authentification l'option est vérifié .
8. Si vous souhaitez désactiver l'authentification par nom d'utilisateur et mot de passe pour votre compte PagerDuty pour tous les utilisateurs, à l'exception du propriétaire du compte, vous pouvez décocher le Autoriser la connexion par nom d'utilisateur/mot de passe case à cocher.
9. Si vous souhaitez que PagerDuty crée automatiquement des comptes pour toute personne ayant accès via Azure SSO lors de sa première connexion, vérifier la case à côté Provisionner automatiquement les utilisateurs lors de la première connexion .

FAQ

Pourquoi les utilisateurs reçoivent-ils uniquement l'e-mail ?

Si les revendications d'attribut ne sont pas correctement configurées, des champs tels que nom et rôle ne sera pas transféré correctement lorsqu'un utilisateur est créé lors de la première connexion SSO. Généralement, cela se produit lorsque Espace de noms n’est pas vide de sens sur ces affirmations. Assurez-vous que sur chaque revendication d'attribut (sauf la Identifiant d'utilisateur unique ) le Espace de noms le champ est vide et chacun Nom la valeur du champ est orthographiée exactement comme indiqué à l’étape 9 de la section Azure ci-dessus.

Pourquoi est-ce que je reçois le message d'erreur « La méthode d'authentification 'WindowsIntegrated'… ne correspond pas à la méthode d'authentification demandée… » ?

Une partie de la requête SAML envoyée à Azure depuis PagerDuty lors de la première étape de l'authentification (lorsqu'un utilisateur clique sur Connectez-vous avec mon fournisseur d'identité et est redirigé vers Azure) est contexte d'authentification demandé (le RequestedAuthContext élément), qui est une préférence déclarée pour un certain niveau minimum de sécurité pour l'authentification de l'utilisateur dans le fournisseur d'identité. Notre service SAML inclut cela lors de l'envoi de requêtes à chaque fournisseur de services, Azure inclus.

Par Implémentation du protocole SAML d'Azure , seulement le mot de passe classe de type d'authentification ( urne: oasis: noms: tc: SAML: 2.0: ac: classes: mot de passe ) est pris en charge lors de la demande d'un contexte d'authentification :

Azure AD n'en prend en charge qu'un seul AuthnContextClassRef valeur: urne: oasis: noms: tc: SAML: 2.0: ac: classes: mot de passe .

De plus, le service SAML d'Azure exige que le fournisseur de services précise qu'il doit y avoir une correspondance exacte entre le contexte demandé et le contexte d'authentification pour correspondre exactement à celui demandé par le fournisseur de services (ceci est activé via l'option Exiger une comparaison EXACTE du contexte d'authentification option); une erreur différente indiquant que la comparaison du contexte doit être exacte en résultera autrement.

En résumé:

• PagerDuty inclut le RequestedAuthContext élément pour demander que le fournisseur d'identité utilise, au strict minimum, une authentification par mot de passe pour identifier les utilisateurs.
• Azure s'attend à ce que le fournisseur de services exige une correspondance exacte entre le type d'authentification fourni et celui demandé, chaque fois que RequestedAuthContext est fourni.
• Azure prend uniquement en charge la demande d'authentification par type de mot de passe lors de la spécification RequestedAuthContext .

Les utilisateurs peuvent contourner ce problème en utilisant un autre navigateur Web qui ne tente pas de s'authentifier auprès du fournisseur d'identité via le WindowsIntégré méthode d'authentification et en utilisant l'authentification par mot de passe pour accéder à leur identité.

Si votre organisation et votre flux de travail informatique nécessitent une authentification Windows intégrée et que vos utilisateurs finaux sont concernés par ce problème connu, veuillez nous faire part de vos commentaires dans le Communauté PagerDuty ou par en nous envoyant un email .

Pour référence ultérieure :

• Spécification de base du protocole SAML 2.0
• Protocole Azure SAML