SAML avec Azure Active Directory
Ce guide vous accompagne dans la configuration de votre Azure Active Directory (Azure AD) en tant que fournisseur d'identité (IdP) SSO SAML pour Ostorlab.
Prérequis
Configuration d'Azure AD
Ajouter une application à votre locataire Azure AD (Azure AD tenant)
- Dans le portail Azure, sur le panneau de navigation de gauche, sélectionnez Azure Active Directory.
-
Sélectionnez Enterprise applications. Cela affichera certaines des applications existantes dans votre locataire Azure AD.
-
Sélectionnez New application.
-
Sélectionnez la tuile Non-gallery application et dans le panneau Add your own application, entrez Ostorlab comme nom de l'application, puis sélectionnez Add.
-
Dans la nouvelle application Ostorlab, naviguez jusqu'à la section Single sign-on, et sélectionnez SAML.
-
Sélectionnez l'icône Edit sur le panneau Basic SAML Configuration.
Saisir la configuration d'Ostorlab dans votre application Azure AD
Les valeurs que vous devez utiliser dépendent de votre préfixe d'organisation Ostorlab. Assurez-vous de remplacer
<os>par votre préfixe d'organisation réel.
| Paramètre SAML | Valeur |
|---|---|
| Identifier (Entity ID) | https://api.ostorlab.co/saml/metadata/ |
| Reply URL | https://api.ostorlab.co/saml/acs/?org=<organisation_prefix> |
| Relay State | Vide |
Configurer le Name identifier format
-
Sélectionnez l'icône Edit sur le panneau User Attributes & Claims.
-
Ensuite, sélectionnez l'icône Edit à côté de Name identifier value.
-
Dans le panneau Manage User Claims, développez Choose name identifier format et sélectionnez Email address.
-
Enfin, sélectionnez Save en bas du panneau Manage User Claims.
Important : Ne modifiez pas la valeur du Name ID Format une fois que vos utilisateurs ont commencé à utiliser Ostorlab — pas même pour alterner sa valeur entre Email ou Persistent
Remarque : Assurez-vous d'affecter des utilisateurs et des groupes pour utiliser votre nouvelle application SAML Ostorlab. C'est ainsi que vous pouvez contrôler l'accès des membres à votre organisation Ostorlab. Consultez la documentation d'Azure AD pour plus d'informations.
Maintenant que la configuration côté Azure AD du SSO SAML est terminée, vous devrez configurer Ostorlab pour recevoir les requêtes SSO SAML provenant de votre Azure AD.
Configuration de votre organisation Ostorlab
Pour configurer votre organisation Ostorlab afin d'accepter les requêtes SSO SAML provenant d'Azure AD, vous devrez fournir l'Identity Provider Entity ID et la Sign-On Service URL provenant d'Azure Active Directory.
Pour ce faire, allez sur le Portail Azure (Azure Portal), sélectionnez Enterprise applications et cliquez sur l'application que vous avez créée lors des étapes précédentes. Cliquez sur Get Started sous Set up single sign on.
- Faites défiler jusqu'à Set up test et copiez l'Azure AD Identifier. Il s'agit de l'Identity Provider Entity ID.
- Copiez la Login URL. Il s'agit de la Sign-On Service URL.
Ajout de la configuration sur Ostorlab
-
Allez sur la page d'intégration SAML https://report.ostorlab.co/integrations/saml et basculez vers l'onglet de configuration.
-
Entrez l'Identity Provider Entity ID et la Sign-On Service URL que vous avez copiées lors des étapes précédentes.
- Sélectionnez
urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POSTcomme Sign-On Service Binding. - Collez votre certificat dans le champ X.509 Certificate.
- Cliquez sur Save/Update.
Connexion à Ostorlab à l'aide d'Azure AD
Une fois votre application Azure AD créée et ses données de configuration transmises à Ostorlab, vous pouvez maintenant vous connecter à Ostorlab en utilisant vos identifiants SSO SAML.
Naviguez vers https://report.ostorlab.co/account/login, cliquez sur LOGIN VIA SSO et entrez le préfixe de votre organisation Ostorlab. Si tout est configuré correctement, vous devriez être invité à vous connecter à votre instance Azure AD, puis être immédiatement redirigé vers Ostorlab.