Introduction
Intégration Wazo SAML 2 pour Microsoft Entra ID
Objectif
Le but de ce document est d'aider un administrateur Wazo à créer et configurer une application SAML 2 pour Microsoft Entra ID et à configurer le tenant Wazo afin que les utilisateurs finaux puissent utiliser l'authentification SAML 2 au lieu des identifiants Wazo.
Configuration minimale
- E-UC Stack >= 24.09
- Application Desktop et Web >= 1.13.44
- Application mobile >= 2.13.0
Création de votre application SSO
Note : L'interface montrée dans la capture d'écran peut avoir changé depuis la création de ce document.
1- Ouvrez la console d'administration de Microsoft Entra ID :
2- En utilisant l'icône des paramètres (« icône Engrenage »), sélectionnez le « Répertoire » que vous souhaitez utiliser :
3- Créez une nouvelle application dans Identité > Applications > Applications d'entreprise puis sélectionnez l'onglet « Toutes les applications » et cliquez sur « Nouvelle application » :
Sélectionnez Microsoft Entra SAML Toolkit dans la liste des applications de la Galerie :
Entrez un nom pour votre application et cliquez sur « Créer ».
Activation des fonctionnalités de sécurité
Ouvrez les paramètres de votre nouvelle application, puis sélectionnez le menu « Connexion unique » :
Modifiez la « Configuration SAML de base ». Choisissez un « ID d'entité » unique à votre tenant Entra ID. Notez-le pour plus tard car il est nécessaire pour la configuration Wazo.
Entrez l'URL de réponse, elle DOIT être « https://<NOM_D'HÔTE_PUBLIC_DE_LA_STACK_WAZO>/api/auth/0.1/saml/acs »
Cliquez sur Modifier dans la section des certificats SAML - voir l'info-bulle ci-dessus.
Dans le menu latéral, changez les paramètres de l'« Option de signature » en « Signer la réponse SAML et l'assertion »
Depuis les paramètres de l'application/menu de connexion unique :
Téléchargez le fichier « Federation metadata XML », vous devrez le copier dans la stack plus tard, voir ci-dessous.
Configuration de la Stack
Configurer un nom de domaine sur votre tenant
Dans le portail Wazo lors de la gestion de votre stack, veuillez choisir le site souhaité si ce n'est pas déjà fait.
1- Visitez Paramètres > Mon Organisation
2- Configurez un nom de domaine pour ce site
Ce « Nom de domaine » sera utilisé par les utilisateurs finaux lors de l'authentification dans les applications utilisateur final Wazo.
2- Configuration de SAML
Une fois que vous avez configuré votre nom de domaine, vous pouvez ajouter une nouvelle configuration SAML depuis le menu de configuration de la pile : Paramètres -> Fournisseurs d'identité -> SAML -> CONFIGURER SAML
- Nom de domaine de l'organisation est le domaine configuré dans le tenant Wazo, assurez-vous de garder les deux points après (sans aucun préfixe, par exemple : example.com:)
- ID d'entité est l'ID d'entité configuré dans la configuration SSO SAML de Microsoft Entra, avec le préfixe http, par exemple : https://entity.com
- URL ACS est l'URL ACS configurée dans la configuration SSO SAML de Microsoft Entra, par exemple : https://STACK_DOMAIN/api/auth/0.1/saml/acs
- Ficher de métadonnées est le fichier « Federation metadata XML » téléchargé précédemment
Configuration des utilisateurs
L'utilisateur Wazo correspondant doit avoir une adresse email correspondant au « Nom principal de l'utilisateur » Microsoft Entra. Les adresses email des utilisateurs Wazo peuvent être gérées dans le portail Wazo sous Utilisateur > Compte > Adresses email > Email. Si l'adresse email actuelle ne correspond pas au « Nom principal de l'utilisateur » Microsoft Entra, vous pouvez ajouter une adresse email Wazo supplémentaire.
AVERTISSEMENT : Ne pas confondre avec Utilisateur Microsoft Entra > Email public. La connexion de l'utilisateur Wazo n'impacte pas la gestion de la connexion SAML.
Configuration de la méthode d'authentification
AVERTISSEMENT : Le non-respect de cette étape peut entraîner la perte de l'accès administratif à la stack.
Configurez vos comptes administratifs pour utiliser la méthode d'authentification « native ».
Ce changement garantira que le compte d'authentification utilisé par le portail continuera à utiliser la méthode d'authentification native. C'est important car le compte du portail n'est pas détenu par un utilisateur avec un compte Entra ID. Forcer cet utilisateur à utiliser SAML empêcherait l'administrateur de gérer la stack dans le portail.
À ce stade, vous pouvez changer la méthode d'authentification par défaut de votre tenant en SAML pour permettre à tous les utilisateurs d'utiliser SAML pour tous les utilisateurs configurés pour utiliser la méthode d'authentification par défaut de l'emplacement.
Utilisation de l'application
Sur la page de connexion, utilisez le bouton « Se connecter avec un compte d'entreprise » :
Entrez l'adresse de votre serveur (stack) et le domaine de l'organisation, à partir de la configuration du tenant.
Ensuite, vous serez redirigé vers la page de connexion Microsoft - si nécessaire, elle traitera la double authentification et vous serez connecté et redirigé vers l'application Wazo.