Authentification unique Azure AD B2C SAML (SSO) est une méthode d'authentification qui permet aux utilisateurs d'Azure AD B2C d'accéder à plusieurs applications Joomla avec une seule connexion et un seul ensemble d'informations d'identification.
Qu’est-ce que l’authentification unique ?
Authentification unique (SSO) est unauthentificationméthode qui permet aux utilisateurs d'accéder à plusieurs applications avec connexion en un clic et un jeu d'informations d'identification. Par exemple, une fois que les utilisateurs se sont connectés à votre organisation, ils peuvent accéder automatiquement à toutes les applications à partir du lanceur d'applications. Lorsque vous configurez SSO, vous configurez un système pour qu'il en fasse confiance à un autre. authentifier les utilisateurs , éliminant ainsi le besoin des utilisateurs de se connecter séparément à chaque système. Le système qui authentifie les utilisateurs est appelé un Fournisseur d'identité. Le système qui fait confiance au fournisseur d'identité pour l'authentification est appelé le Fournisseur de services.
SAML permet l'échange d'informations entre le fournisseur de services et le fournisseur d'identité, SAML estl'intégration
entre SP et IDP. Lorsqu'un utilisateur tente de se connecter, votre fournisseur d'identité envoie des assertions SAML contenant des informations sur l'utilisateur au fournisseur d'identité. Le fournisseur d'identité reçoit l'assertion, la valide par rapport à la configuration de votre fournisseur d'identité et permet à l'utilisateur d'accéder à votre organisation.
Notre plugin est compatible avec Joomla 4 ainsi qu'avec tous les fournisseurs d'identité compatibles SAML 2.0. Ici, nous allons passer en revue un guide étape par étape pour configurer la connexion SAML SSO entre le site Joomla et Azure AD B2C en considérant Azure AD B2C comme IdP (fournisseur d'identité) et Joomla comme SP (fournisseur de services).
Téléchargement du plugin
Assistance à la configuration et essai gratuit
Si vous souhaitez un accompagnement pour configurer le plugin, ou pour intégrer Azure AD B2C avec Joomla, cliquez sur
Configuration gratuite .
Nous proposons un essai complet de 7 jours dans lequel vous pouvez tester entièrement toutes les fonctionnalités du plugin, cliquez sur
Essai professionnel gratuit .
Étapes pour intégrer l’authentification unique (SSO) Azure AD B2C avec Joomla SAML SP
1. Configurez Azure AD B2C comme IdP
Suivez les étapes ci-dessous pour configurer Azure B2C en tant que fournisseur d'identité
Configurer Azure B2C en tant qu'IdP
- Dans le plugin Joomla SAML SP SSO, accédez à Métadonnées du fournisseur de services languette. Ici, vous pouvez trouver les métadonnées SP telles que l'ID d'entité SP et l'URL ACS ( AssertionConsumerService ) qui sont requises pour configurer Azure B2C en tant que fournisseur d'identité.
1.1. Enregistrer les applications Azure B2C
Enregistrez l’application Identity Experience Framework
- Connectez-vous au portail Azure B2C
- Dans le locataire Azure AD B2C, sélectionnez Inscriptions d'applications, puis sélectionnez Nouvelle inscription.
- Pour Nom, entrez IdentityExperienceFramework.
- Sous Types de compte pris en charge, sélectionnez Comptes dans ce répertoire organisationnel uniquement.
- Sous URI de redirection, sélectionnez Web, puis entrez https://your-tenant-name.b2clogin.com/your-tenant-name.onmicrosoft.com, où your-tenant-name est le nom de domaine de votre locataire Azure AD B2C.
REMARQUE:
À l'étape suivante, si le 'Autorisations' n’est pas visible, cela peut être la raison pour laquelle vous n’avez pas d’abonnement AzureAD B2C actif pour ce locataire. Vous pouvez trouver les détails concernant l'abonnement AzureAD B2C ici et vous pouvez créer un nouveau locataire en suivant les étapes ici.
- Sous Permissions, cochez la case Accorder le consentement de l'administrateur aux autorisations openid et offline_access.
- Sélectionnez Inscription.
- Enregistrez le ID de l'application (client) pour une utilisation ultérieure.
Enregistrez l’application Identity Experience Framework
- Sous Gérer, sélectionnez Exposer une API.
- Sélectionnez Ajouter une portée, puis sélectionnez Enregistrer et continuez à accepter l'URI de l'ID d'application par défaut.
- Entrez les valeurs suivantes pour créer une étendue qui permet l’exécution de stratégies personnalisées dans votre locataire Azure AD B2C :
- Nom de la portée : user_usurpation d'identité
- Nom d'affichage du consentement de l'administrateur : Accéder à IdentityExperienceFramework
- Description du consentement de l'administrateur : Autorisez l’application à accéder à IdentityExperienceFramework au nom de l’utilisateur connecté.
- Sélectionnez Ajouter une portée
Enregistrez l'application ProxyIdentityExperienceFramework
- Sélectionnez Inscriptions d'applications, Puis sélectionnez Nouvelle inscription.
- Pour Nom, saisissez ProxyIdentityExperienceFramework.
- Sous Types de compte pris en charge, sélectionnez Comptes dans ce répertoire organisationnel uniquement.
- Sous URI de redirection, utilisez le menu déroulant pour sélectionner Client public/natif (mobile et ordinateur).
- Pour URI de redirection, saisissez myapp://auth.
- Sous Permissions, cochez la case Accorder le consentement de l'administrateur aux autorisations openid et offline_access.
- Sélectionnez Inscription.
- Enregistrez le ID de l'application (client) pour une utilisation ultérieure.
Précisez ensuite que l'application doit être traitée comme un client public
- Sous Gérer, sélectionnez Authentification.
- Sous paramètres avancés, activer Autoriser les flux de clients publics (sélectionnez Oui).
- Sélectionnez Épargnez.
Maintenant, accordez des autorisations à la portée de l'API que vous avez exposée précédemment lors de l'enregistrement IdentityExperienceFramework.
- Sous Gérer, sélectionnez Autorisations API.
- Sous Autorisations configurées, sélectionnez Ajouter une autorisation.
- Sélectionnez le Mes API onglet, puis sélectionnez Cadre d'expérience d'identité
.
- Sous Autorisation, Sélectionnez l' user_usurpation d'identité portée que vous avez définie précédemment.
- Sélectionnez Ajouter des autorisations. Comme indiqué, attendez quelques minutes avant de passer à l'étape suivante.
- Sélectionnez Accordez le consentement de l'administrateur pour (nom de votre locataire).
- Sélectionnez votre compte d'administrateur actuellement connecté ou connectez-vous avec un compte dans votre locataire Azure AD B2C auquel a été attribué au moins le rôle d'administrateur d'application Cloud.
- Sélectionnez Oui.
- Sélectionnez Refresh, puis vérifiez que « Accordé pour... » apparaît sous Statut pour les étendues - offline_access, openid et user_impersonation. La propagation des autorisations peut prendre quelques minutes.
Enregistrez l'application Joomla
- Sélectionnez Inscriptions d'applications, Puis sélectionnez Nouvelle inscription.
- Entrez un nom pour l'application tel que : Joomla.
- Sous Types de compte pris en charge, sélectionnez Comptes dans n’importe quel annuaire d’organisation ou n’importe quel fournisseur d’identité. Pour authentifier les utilisateurs avec Azure AD B2C.
- Sous URI de redirection, sélectionnez Web, puis entrez l'URL ACS à partir du Métadonnées du fournisseur de services
onglet du plugin miniOrange SAML.
- Sélectionnez Inscription.
- Sous Gérer, cliquer sur Exposer une API.
- Cliquez sur Ensemble pour l'URI de l'ID d'application, puis cliquez sur Épargnez, en acceptant la valeur par défaut.
- Une fois enregistré, copiez l'URI de l'ID d'application et accédez au Métadonnées du fournisseur de services onglet du plugin.
- Collez la valeur copiée sous le ID d'entité SP/émetteur champ prévu dans cet onglet.
- Cliquez sur Enregistrer.
1.2. Générer des politiques SSO
- Depuis notre portail Azure B2C, accédez à la section Présentation de votre locataire B2C et enregistrez le nom de votre locataire.
REMARQUE: Si votre domaine B2C est b2ctest.onmicrosoft.com, le nom de votre locataire est b2ctest.
- Entrez votre Nom du locataire Azure B2C ci-dessous, ainsi que l'ID d'application pour IdentityExperienceFramework et
Applications ProxyIdentityExperienceFramework telles qu’enregistrées dans les étapes ci-dessus.
Cliquez sur le Générer des stratégies Azure B2C bouton pour télécharger les politiques SSO.
Extrayez le fichier zip téléchargé. Il contient les fichiers de stratégie et le certificat (.pfx), dont vous aurez besoin dans les étapes suivantes.
1.3. Configurer les certificats
REMARQUE:
À l'étape suivante, si le « Cadre d'expérience d'identité » n'est pas cliquable, cela peut être la raison pour laquelle vous n'avez pas d'abonnement Azure AD B2C actif pour ce locataire. Vous pouvez trouver les détails concernant l’abonnement Azure AD B2C
ici et vous pouvez créer un nouveau locataire en suivant les étapes ici.
Téléchargez le certificat
- Connectez-vous à la Portail Azure et accédez à votre locataire Azure AD B2C.
- Sous Politiques internes, sélectionnez Cadre d'expérience d'identité et alors Clés de politique.
- Sélectionnez Ajouter, Puis sélectionnez Options > Télécharger
- Entrez le nom comme SamlIdpCert. Le préfixe B2C_1A_ est automatiquement ajouté au nom de votre clé.
- À l'aide du contrôle de téléchargement de fichiers, téléchargez votre certificat généré au cours des étapes ci-dessus avec les politiques SSO (tenantname-cert.pfx).
- Saisissez le mot de passe du certificat comme nom de locataire et cliquez sur Création. Par exemple, si le nom de votre locataire est xyzb2c.onmicrosoft.com, entrez le mot de passe sous la forme xyzb2c.
- Vous devriez pouvoir voir une nouvelle clé de stratégie portant le nom B2C_1A_SamlIdpCert.
Créer la clé de signature
- Sur la page de présentation de votre locataire Azure AD B2C, sous Politiques internes, sélectionnez Cadre d'expérience d'identité.
- Sélectionnez Clés de politique puis sélectionnez Ajouter.
- Pour Options, choisissez Générer.
- In Nom, saisissez TokenSigningKeyContainer.
- Pour Type de clé, sélectionnez RSA.
- Pour Utilisation des clés, sélectionnez Signature.
- Sélectionnez Création.
Créer la clé de chiffrement
- Sur la page de présentation de votre locataire Azure AD B2C, sous Politiques internes, sélectionnez Cadre d'expérience d'identité.
- Sélectionnez Clés de politique puis sélectionnez Ajouter.
- Pour Options, choisissez Générer.
- In Nom, saisissez TokenEncryptionKeyContainer.
- Pour Type de clé, sélectionnez RSA.
- Pour Utilisation des clés, sélectionnez Chiffrement.
- Sélectionnez Création.
1.4. Téléchargez les politiques
- Sélectionnez le Cadre d'expérience d'identité élément de menu dans votre locataire B2C dans le portail Azure.
- Sélectionnez Télécharger une stratégie personnalisée.
- Conformément à l'ordre suivant, téléchargez les fichiers de stratégie téléchargés lors des étapes ci-dessus :
- TrustFrameworkBase.xml
- TrustFrameworkExtensions.xml
- InscriptionOuSignin.xml
- ProfilEdit.xml
- Mot de passeRéinitialiser.xml
- InscriptionOuConnexionSAML.xml
- Au fur et à mesure que vous téléchargez les fichiers, Azure ajoute le préfixe B2C_1A_ à chacun.
Vous avez configuré avec succès Azure B2C en tant qu'IdP SAML (fournisseur d'identité) pour réaliser la connexion à authentification unique (SSO) Joomla Azure B2C, garantissant ainsi une connexion sécurisée au site Joomla.
2. Configurez Joomla en tant que fournisseur de services
Dans le plugin Joomla SAML, accédez à l'onglet Configuration du fournisseur de services. Il existe trois façons de configurer le plugin :
Par URL de métadonnées :
- Cliquez sur Télécharger les métadonnées IDP.
- Entrez l'URL des métadonnées (copier depuis l'application IDP) et cliquez sur Récupérer les métadonnées.
En téléchargeant le fichier de métadonnées :
- Cliquez sur choisir le fichier de métadonnées et cliquez sur Télécharger.
Configuration manuelle :
- Copiez l'ID d'entité SAML, l'URL du point de terminaison d'authentification unique SAML et le certificat x.509 à partir du document de métadonnées de fédération et collez-le dans les champs ID d'entité IdP ou émetteur, URL du service d'authentification unique et certificat x.509 respectivement dans le plug-in.
ID d'entité IdP ou émetteur |
ID d'entité SAML dans le document de métadonnées de fédération |
URL du service d'authentification unique |
URL du point de terminaison SAML Single-Sign-On dans le document de métadonnées de fédération |
Certificat X.509 |
Certificat x.509 dans le document de métadonnées de la fédération |
- Cliquez sur Tester la configuration.
3. Mappage d'attributs - Fonctionnalité Premium (incluse avec Essai commercial)
- Les attributs sont des détails utilisateur stockés dans votre fournisseur d'identité.
- Le mappage d'attributs vous aide à obtenir les attributs utilisateur de votre fournisseur d'identité (IdP) et à les mapper aux attributs utilisateur Joomla comme le prénom, le nom, etc.
- Lors de l'enregistrement automatique des utilisateurs sur votre site Joomla, ces attributs seront automatiquement mappés aux détails de votre utilisateur Joomla.
- Dans le plugin Joomla SAML, accédez à Cartographie d'attributs et remplissez tous les champs.
Pseudo |
Nom de l'attribut de nom d'utilisateur de l'IdP (Conserver NameID par défaut) |
Courriel : |
Nom de l'attribut email de l'IdP (Conserver NameID par défaut) |
Groupe/Rôle : |
Nom de l'attribut Rôle du fournisseur d'identité (IdP) |
- Vous pouvez vérifier la Configuration du test Résultats sous Configuration du fournisseur de services pour avoir une meilleure idée des valeurs à mapper ici.
4. Cartographie de groupe (il est facultatif de le remplir). Il s’agit d’une fonctionnalité Premium.
- Le mappage des rôles vous aide à attribuer des rôles spécifiques aux utilisateurs d'un certain groupe dans votre fournisseur d'identité (IdP).
- Lors de l'inscription automatique, les utilisateurs se voient attribuer des rôles en fonction du groupe auquel ils sont mappés.
5. Redirection et liens SSO
- Cliquez sur Paramètres de connexion languette. Il existe plusieurs fonctionnalités disponibles dans cet onglet comme Rediriger automatiquement l'utilisateur vers le fournisseur d'identité ainsi que Activer la connexion sauvegardée pour les super utilisateurs. Pour utiliser ces fonctionnalités, cliquez sur les cases à cocher respectives.
Vous avez terminé avec succès votre miniOrange SAML 2.0 SP configurations. Néanmoins, si vous rencontrez des difficultés, veuillez nous envoyer un e-mail à
joomlasupport@xecurify.com .
Compléments recommandés
Approvisionnement SCIM de synchronisation des utilisateurs
Synchronisez les utilisateurs, les groupes et l'annuaire avec les API SCIM et REST pour serveur.
En savoir plus
Restriction de pages
Le plugin de restriction de page restreint les pages Joomla (articles) en fonction des rôles des utilisateurs et du statut de connexion de l'utilisateur.
En savoir plus
Intégration avec le client Community Builder
En utilisant ce module complémentaire, vous mapperez les détails de l'utilisateur dans la table des champs de compilation du CB qui contient les valeurs.
En savoir plus
Ressources additionnelles.
L'authentification unique Miniorange Joomla SAML(Web SSO) prend en charge plusieurs IDP connus tels que WSO2, Azure AD, Salesforce,
Shibboleth, Onelogin, Okta, SimpleSamlPhp, applications Google, Bitium, OpenAM, miniorange IDP, Centrify et bien d'autres.
Essai commercial
Si vous souhaitez un essai Business GRATUIT Cliquez ici
Si vous ne trouvez pas ce que vous cherchez, veuillez nous contacter au joomlasupport@xecurify.com ou appelez-nous au +1 978 658 9387.