Planifier un déploiement de l’authentification unique

  • Article

Cet article fournit des informations que vous pouvez utiliser pour planifier votre déploiement de l’authentification unique (SSO) dans Microsoft Entra ID. Lorsque vous planifiez votre déploiement de l’authentification unique avec vos applications dans Microsoft Entra ID, vous devez prendre en compte les questions suivantes :

  • Quels sont les rôles d’administration requis pour la gestion de l’application ?
  • Doit-on renouveler le certificat d’application SAML (Security Assertion Markup Language) ?
  • Qui doit être informé des changements liés à l’implémentation de l’authentification unique ?
  • Quelles sont les licences nécessaires pour garantir une gestion efficace de l’application ?
  • Les comptes d’utilisateur partagés et invités sont-ils utilisés pour accéder à l’application ?
  • Ai-je compris les options de déploiement de l’authentification unique ?

Rôles d’administrateur

Utilisez toujours le rôle ayant le moins de privilèges possible pour accomplir une tâche dans Microsoft Entra ID. Passez en revue les différents rôles disponibles et choisissez celui qui répond le mieux aux besoins de chaque personnage de l’application. Certains rôles devront peut-être être appliqués temporairement, puis supprimés une fois le déploiement terminé.

Personnage Rôles Rôle Microsoft Entra (si nécessaire)
Administrateur du support technique La prise en charge du niveau 1 affiche les journaux de connexion pour résoudre les problèmes. None
Administrateur d’identité Configuration et débogage lorsque les problèmes concernent Microsoft Entra ID Administrateur d'applications cloud
Administrateur d’application Attestation de l’utilisateur dans l’application, configuration des utilisateurs disposant d’autorisations None
Administrateurs de l’infrastructure Propriétaire de la substitution de certificat Administrateur d'applications cloud
Chef d’entreprise/Partie prenante Attestation de l’utilisateur dans l’application, configuration des utilisateurs disposant d’autorisations Aucun

Pour en savoir plus sur les rôles administratifs Microsoft Entra, consultez Rôles intégrés Microsoft Entra.

Certificats

Lorsque vous activez la fédération pour une application SAML, Microsoft Entra ID crée un certificat par défaut valide pendant trois ans. Vous pouvez personnaliser la date d’expiration de ce certificat si nécessaire. Vérifiez que vous avez des processus en place pour renouveler les certificats avant leur expiration.

Vous changez la durée de ce certificat dans le Centre d’administration Microsoft Entra. Veillez à documenter l’expiration et à savoir comment gérer le renouvellement de vos certificats. Il est important d’identifier les rôles et les groupes de distribution d’e-mails appropriés qui sont impliqués dans la gestion du cycle de vie du certificat de signature. Les rôles suivants sont recommandés :

  • Un propriétaire pour mettre à jour les propriétés utilisateur dans l’application
  • Un propriétaire d’astreinte pour le dépannage de l’application
  • Une liste de distribution e-mail surveillée de près pour les notifications de modification des certificats

Configurez un processus vous permettant de gérer le changement des certificats entre Microsoft Entra ID et votre application. En mettant en place ce processus, vous pouvez éviter ou réduire au minimum une panne due à l’expiration d’un certificat ou à la substitution forcée d’un certificat. Pour plus d’informations, consultez Gérer les certificats pour l’authentification unique fédérée dans Microsoft Entra ID.

Communications

La communication est essentielle à la réussite de tout nouveau service. Communiquez de manière proactive avec vos utilisateurs sur le changement à venir de leur expérience. Indiquez-leur à quel moment ce changement va se produire et comment ils peuvent obtenir du support en cas de problème. Passez en revue les différentes façons dont les utilisateurs peuvent accéder à leurs applications avec authentification unique, et adaptez vos communications à chaque cas de figure.

Créez votre plan de communication. Veillez à ce que vos utilisateurs sachent qu’un changement est à venir, quand il aura lieu et ce qu’ils doivent faire maintenant. Veillez également à fournir des informations sur la manière de demander de l’aide.

Licences

Assurez-vous que l’application est couverte par les conditions de licence suivantes :

  • Gestion des licences Microsoft Entra ID : pour les applications d’entreprise pré-intégrées, l’authentification unique est gratuite. Cependant, le nombre d’objets contenus dans votre annuaire et les fonctionnalités que vous souhaitez déployer peuvent nécessiter plus de licences. Pour obtenir la liste complète des conditions de licence, consultez la page Tarification Microsoft Entra.

  • Gestion des licences d’application : vous devez disposer des licences appropriées pour vos applications afin de répondre aux besoins de votre entreprise.. Contactez le propriétaire de l’application pour déterminer si les utilisateurs affectés à l’application disposent de licences adaptées à leurs rôles dans l’application. Si Microsoft Entra ID gère l’attribution automatique d’utilisateurs en fonction des rôles, les rôles attribués dans Microsoft Entra ID doivent être alignés sur le nombre de licences détenues au sein de l’application. Si le nombre de licences détenues dans l’application est incorrect, cela peut entraîner des erreurs lors du provisionnement ou de la mise à jour d’un compte d’utilisateur.

Comptes partagés

Du point de vue de la connexion, les applications avec comptes partagés ne sont pas différentes des applications d’entreprise qui utilisent l’authentification unique par mot de passe pour les utilisateurs individuels. Toutefois, davantage d’étapes sont nécessaires lorsque vous planifiez et configurez une application conçue pour utiliser des comptes partagés.

  • Collaborez avec les utilisateurs pour documenter les informations suivantes :
    • Les ensembles d’utilisateurs de l’organisation qui vont utiliser l’application.
    • Les informations d’identification existantes de l’application qui sont associées à chaque groupe d’utilisateur.
  • Pour chaque combinaison groupe d’utilisateurs-informations d’identification, créez un groupe de sécurité localement ou dans le cloud, selon vos besoins.
  • Réinitialisez les informations d’identification partagées. Une fois que l’application est déployée dans Microsoft Entra ID, les utilisateurs n’ont plus besoin du mot de passe du compte partagé. Microsoft Entra ID stocke le mot de passe, et vous devriez envisager de le configurer pour qu’il soit long et complexe.
  • Si l’application le prend en charge, configurez la substitution automatique du mot de passe. De cette façon, même l’administrateur qui a effectué la configuration initiale ne connaît pas le mot de passe du compte partagé.

Options d’authentification unique

Vous pouvez configurer une application pour l’authentification unique de plusieurs façons. Le choix d’une méthode d’authentification unique dépend de la façon dont l’application est configurée pour l’authentification.

  • Pour l’authentification unique, les applications cloud peuvent utiliser les méthodes suivantes : OpenID Connect, OAuth, SAML, par mot de passe ou liée. L’authentification unique peut également être désactivée.
  • Pour l’authentification unique, les applications locales peuvent utiliser les méthodes suivantes : par mot de passe, Authentification Windows intégrée, par en-tête ou liée. Les choix pour les applications locales fonctionnent quand les applications sont configurées pour le Proxy d’application.

Cet organigramme vous permet de décider quelle méthode d’authentification unique est la plus adaptée à votre situation.

Organigramme de décision pour la méthode d’authentification unique

Les protocoles d’authentification unique suivants peuvent être utilisés :

  • OpenID Connect et OAuth : Choisissez OpenID Connect et OAuth 2.0 si l’application à laquelle vous vous connectez les prend en charge. Pour plus d’informations, consultez Protocoles OAuth 2.0 et OpenID Connect sur la plateforme d’identités Microsoft. Pour connaître les étapes à suivre pour implémenter l’authentification unique OpenID Connect, consultez Configurer l’authentification unique OIDC pour une application dans Microsoft Entra ID.

  • SAML : Choisissez SAML dans la mesure du possible pour les applications existantes qui n’utilisent pas ni OpenID Connect ni OAuth. Pour plus d’informations, consultez Protocole SAML d’authentification unique.

  • Par mot de passe : choisissez l’option par mot de passe lorsque l’application dispose d’une page de connexion HTML. L’authentification unique par mot de passe est également connue sous le nom d’archivage des mots de passe. L’authentification unique par mot de passe vous permet de gérer l’accès utilisateur et les mots de passe pour les applications web qui ne prennent pas en charge la fédération d’identité. Elle est également utile lorsque plusieurs utilisateurs doivent partager un seul compte, par exemple les comptes d’applications de réseaux sociaux de votre organisation.

    L’authentification unique par mot de passe prend en charge les applications qui requièrent plusieurs champs de connexion et qui demandent d’autres champs en plus du nom d’utilisateur et du mot de passe pour la connexion. Vous pouvez personnaliser les étiquettes des champs de nom d’utilisateur et de mot de passe que vos utilisateurs voient dans Mes applications quand ils entrent leurs informations d’identification. Pour plus d’instructions sur l’implémentation de l’authentification unique par mot de passe, consultez Authentification unique par mot de passe.

  • Liée : Choisissez l’authentification liée quand l’application est configurée pour l’authentification unique dans un autre service de fournisseur d’identité. L’option liée vous permet de configurer l’emplacement cible lorsqu’un utilisateur sélectionne l’application dans les portails utilisateur final de votre organisation. Vous pouvez ajouter un lien vers une application web personnalisée qui utilise actuellement la fédération, par exemple les services de fédération Active Directory (AD FS).

    Vous pouvez également ajouter des liens vers des pages web spécifiques que vous souhaitez voir apparaître dans les panneaux d’accès de l’utilisateur et vers une application qui ne requiert pas d’authentification. L’option Authentification liée ne fournit pas de fonctionnalité d’authentification via des informations d’identification Microsoft Entra. Pour connaître les étapes à suivre pour implémenter l’authentification unique liée, consultez Authentification unique liée.

  • Désactivée : Choisissez l’authentification unique désactivée lorsque l’application n’est pas prête à être configurée pour l’authentification unique.

  • Authentification Windows intégrée (IWA) : Choisissez l’authentification unique IWA pour les applications qui utilisent IWA ou pour les applications prenant en charge les revendications. Pour plus d’informations, consultez Délégation contrainte Kerberos pour l’authentification unique à vos applications avec Proxy d’application.

  • Par en-tête : Choisissez l’authentification unique par en-tête quand l’application utilise des en-têtes pour l’authentification. Pour plus d’informations, consultez Authentification unique par en-tête.

Étapes suivantes