Microsoft Entra ID

Il existe deux façons de gérer les utilisateurs dans Specops Authentication, l'environnement de votre organisation détermine lequel convient :

Specops Authentication Gatekeeper (composant sur site) : pour les environnements Active Directory.
Microsoft Entra ID (basé sur le cloud) : pour les environnements non-Active Directory.

Cette section explique comment intégrer Specops Authentication avec Microsoft Entra ID.

Remarque

Entra ID fonctionne également comme un service d'identité, permettant au produit de s'intégrer aux bibliothèques d'authentification Microsoft. Grâce à ce service, Microsoft Authenticator peut être utilisé pour une authentification sans mot de passe. Pour plus de détails, voir Service d'identité Entra ID.

Intégration de Specops Authentication avec Entra ID

En intégrant Specops Authentication avec Entra ID, vous pouvez authentifier et gérer en toute sécurité les utilisateurs dans des environnements Cloud où aucun Active Directory (AD) traditionnel n'est disponible.

Avec cette intégration, les utilisateurs d'Entra ID peuvent :

S'inscrire à uReset et réinitialiser en toute sécurité leurs mots de passe.
S'inscrire au Secure Service Desk et faire réinitialiser leurs mots de passe en toute sécurité par les agents du service desk.

Pour activer l'intégration de Specops Authentication avec Entra ID, vous devez configurer la connexion. Vous pouvez soit vous connecter en utilisant les applications fournies par Specops (voir Par défaut) ou configurer les vôtres (voir Personnalisé). Il existe également une option Authentification uniquement, où Entra ID est utilisé uniquement pour authentifier les utilisateurs synchronisés, sans activer la fonctionnalité complète de uReset. Cette option est décrite dans Entra ID.

Remarque

Vous devez vérifier votre domaine Entra ID dans Specops Authentication pour pouvoir compléter la configuration, veuillez vous référer à Vérification de domaine.

Voir Rôles et Scopes pour plus de détails sur la configuration de l'accès pour les groupes d'utilisateurs Entra ID.

Par défaut

La manière recommandée de configurer la connexion Entra ID est d'utiliser l'application par défaut pour se connecter à votre client. Cette alternative n'est disponible que si "Utilisateurs Entra ID" est activé.

Accédez à Microsoft Entra ID dans Specops Authentication et cliquez sur Connexion.
Dans la liste déroulante Détails de la connexion Microsoft Entra ID, sélectionnez Par défaut.
Entrez votre ID de client dans le champ, vous pouvez le trouver dans votre portail Entra ID.
(Optionnel) Si vous avez des utilisateurs synchronisés, entrez l'attribut AD personnalisé dans le champ Attribut utilisateur.
Cliquez sur Accorder le consentement. Cela vous redirigera vers l'invite de connexion Microsoft.
Une boîte de dialogue de consentement Microsoft s'affiche. Connectez-vous avec votre compte administrateur client Entra ID pour accepter les autorisations demandées. Ces autorisations permettront à l'application de :
- accéder au répertoire en tant qu'utilisateur connecté
- se connecter et lire le profil utilisateur
- lire les données du répertoire
- lire et écrire les profils complets de tous les utilisateurs
Remarque

En acceptant les autorisations, vous donnez à l'application accès aux ressources spécifiées pour tous les utilisateurs de votre organisation.

Pour accepter les autorisations, cliquez sur Accepter. Si vous cliquez sur Annuler, vous serez redirigé vers le portail d'administration Specops Authentication.
Cliquez sur Tester la connexion pour vous assurer que Specops Authentication peut accéder au client Entra ID. (si le test de connexion échoue, attendez un moment et réessayez.)
Cliquez sur Enregistrer la configuration.

L'application sera signée par Microsoft sous la société mère Outpost24.

Ensuite, vous devez configurer les Autorisations d'application.

Personnalisé

Utilisez cette option pour un contrôle plus détaillé de l'intégration. Pour configurer une intégration personnalisée, une nouvelle application doit être enregistrée dans le client de l'organisation.

Créer un enregistrement d'application dans le portail Azure (Portail Azure)

Allez à Microsoft Entra ID > Enregistrements d'application > Nouvel enregistrement.
Fournissez un nom, par exemple [Specops App].
Dans la section Types de comptes pris en charge, sélectionnez une option (par défaut est Compte dans ce répertoire organisationnel uniquement (Répertoire par défaut uniquement - Client unique)).
Dans la section URI de redirection, sélectionnez Web dans la liste déroulante et copiez l'URL de redirection de la page de configuration. Elle devrait ressembler à ceci https://login.specopssoft.com/Authentication/MicrosoftEntraId/Authentication/Callback>.
Cliquez sur Enregistrer.

Configurer l'enregistrement de l'application

Allez à Microsoft Entra ID > Enregistrements d'application > Onglet Toutes les applications > [Specops App] > Authentification.
Dans la section Autorisation implicite et flux hybrides :
- activez Jetons d'accès (utilisés pour les flux implicites).
- activez Jetons d'ID (utilisés pour les flux implicites et hybrides)
Allez à Microsoft Entra ID > Enregistrements d'application > Toutes les applications > [Specops App] > Certificats & secrets > Onglet Secrets client.
Cliquez sur Nouveau secret client.
Fournissez une description, par exemple Secret client Specops App.
Dans la liste déroulante Expire, sélectionnez le temps d'expiration du secret client, par exemple 730 jours (24 mois).
Cliquez sur Ajouter.
Copiez la valeur du secret client.

Configurer les autorisations API

Allez à Microsoft Entra ID > Enregistrements d'application > Toutes les applications > [Specops App] > Autorisations API.
Ajoutez les autorisations déléguées suivantes pour Microsoft Graph :
```
Directory.AccessAsUser.All
User.Read
```
Ajoutez les autorisations d'application suivantes pour Microsoft Graph :
```
Directory.Read.All
User.ReadWrite.All
Application.ReadWrite.All**
```
** L'autorisation Application.ReadWrite.All est utilisée pour créer une propriété d'extension que Specops Authentication utilisera et elle peut être supprimée après la fin de la configuration initiale, voir Configurer la connexion dans Specops Authentication.
Après avoir ajouté les autorisations, cliquez sur Accorder le consentement administrateur pour [Nom de l'entreprise].

Configurer dans Specops Authentication Web

Accédez à Microsoft Entra ID dans Specops Authentication et cliquez sur Connexion.
Dans la liste déroulante Détails de la connexion Microsoft Entra ID, sélectionnez Personnalisé.
Entrez les valeurs requises pour :
- ID de client
- ID client de l'application
- Secret client de l'application
Cliquez sur Tester la connexion pour vérifier que tout est correctement configuré.
Cliquez sur Enregistrer.

L'autorisation Application.ReadWrite.All peut maintenant être supprimée.

Rôles

Ici, vous pouvez configurer quels groupes EntraID correspondent aux rôles Specops Authentication correspondants. Recherchez un groupe dans chaque onglet et sélectionnez au moins un groupe pour chaque catégorie.

Admin - A un accès complet aux pages d'administration
Admin utilisateur - A un accès complet au Secure Service Desk**
Vérificateur utilisateur - Peut vérifier les utilisateurs dans le Secure Service Desk**
Lecteur de rapports - Peut accéder à la fonction de rapport des pages d'administration

** Disponible uniquement pour les clients avec un abonnement actif au Secure Service Desk.

Scopes

Ici, vous pouvez configurer quel groupe d'utilisateurs pourra utiliser Specops Authentication.

Sélectionnez le scope dans Entra ID, par défaut/vide définira le scope à tous les utilisateurs du client.
(Optionnel) Si vous avez des administrateurs en dehors du scope sélectionné, activez également l'option Autoriser les administrateurs et les gestionnaires à être en dehors des scopes sélectionnés.

Configurer les autorisations d'application

Afin d'activer les capacités de réinitialisation/changement de mot de passe, vous devez attribuer l'application en tant qu'administrateur du service d'assistance ou administrateur utilisateur.

Administrateur du service d'assistance - Peut réinitialiser les mots de passe pour les non-administrateurs.
Administrateur utilisateur - Peut réinitialiser les mots de passe pour tous les utilisateurs, y compris les administrateurs limités.

Allez à Rôles et administrateurs dans le portail Microsoft Entra.

Sélectionnez l'un des rôles ci-dessus.
Cliquez sur Ajouter une affectation.
Recherchez le nom de l'application [Specops App] ou votre application personnalisée. Remarque que la fenêtre de recherche n'affichera que les utilisateurs jusqu'à ce que le terme de recherche commence à correspondre à un nom d'application.
Ajoutez le rôle approprié à l'application.