Azure Active Directory (Azure AD) est le service cloud de gestion des identités et des accès (IAM) de Microsoft, qui aide vos employés à se connecter à votre site Joomla et à accéder à ses ressources. miniOrange Joomla LDAP fournit une solution où les identités existantes dans Azure Active Directory Services peuvent être exploitées pour l'authentification unique (SSO) sur votre site Joomla. Pour interagir avec votre domaine géré Azure Active Directory Domain Services (Azure AD DS), le protocole LDAP (Lightweight Directory Access Protocol) est principalement utilisé. Par défaut, le trafic LDAP n'est pas codé, ce qui constitue un problème de sécurité pour de nombreux environnements. Avec Azure Active Directory Domain Services, vous pouvez configurer le domaine géré pour utiliser le protocole LDAPS (Lightweight Directory Access Protocol) sécurisé. Lorsque vous utilisez LDAP sécurisé, le trafic est crypté. Secure LDAP est également connu sous le nom de LDAP sur Secure Sockets Layer (SSL).

Suivez le guide étape par étape ci-dessous pour configurer une connexion LDAP sécurisée entre Azure Active Directory et miniOrange Joomla LDAP pour Intranet.

1. Créez et configurez une instance Azure Active Directory Domain Services

(Ignorez ceci si vous avez déjà configuré une instance AADDS pour un abonnement)

1. Pré-requis

• Un abonnement Azure actif.
• Vous devez administrateur global privilèges dans votre locataire Azure AD pour activer les services de domaine Azure Active Directory synchronisés avec un annuaire sur site ou un annuaire cloud uniquement.
• Vous devez Contributeur privilèges dans votre abonnement Azure pour créer les ressources Azure Active Directory Domain Services requises.

1.1 Créer une instance et configurer les paramètres de base

• Dans le coin supérieur gauche du portail Azure, cliquez sur + Créer une ressource.
• Entrez Services de domaine dans la barre de recherche, puis choisissez Services de domaine Azure AD à partir des suggestions de recherche.



• Sur la page Azure AD Domain Services, cliquez sur Création. L’assistant Activer les services de domaine Azure AD est lancé.



• Remplissez les champs de la fenêtre Bases du portail Azure pour créer une instance Azure AD DS :
  • Saisissez un nom de domaine DNS pour votre domaine géré, en tenant compte des points précédents.
  • Sélectionnez l'abonnement Azure dans lequel vous souhaitez créer le domaine géré.
  • Sélectionnez le groupe de ressources auquel le domaine géré doit appartenir. Choisissez de créer un nouveau groupe de ressources ou de sélectionner un groupe de ressources existant.
  • Choisissez l'emplacement Azure dans lequel le domaine géré doit être créé.
  • Cliquez sur OK pour passer à la section Réseau.

1.2 Créer et configurer le réseau virtuel

• Remplissez les champs de la fenêtre Réseau comme suit :
  • Dans la fenêtre Réseau, choisissez Sélectionner un réseau virtuel.
  • Pour ce didacticiel, choisissez Créer un nouveau réseau virtuel dans lequel déployer Azure AD DS.
  • Entrez un nom pour le réseau virtuel, tel que myVnet, puis fournissez une plage d'adresses, telle que 10.1.0.0/16.
  • Créez un sous-réseau dédié avec un nom clair, tel que DomainServices. Fournissez une plage d’adresses, telle que 10.1.0.0/24.
• Une fois le réseau virtuel et le sous-réseau créés, le sous-réseau doit être automatiquement sélectionné, tel que DomainServices. Vous pouvez à la place choisir un autre sous-réseau existant faisant partie du réseau virtuel sélectionné.
• Cliquez sur OK pour confirmer la configuration du réseau virtuel.

1.3 Configurer un groupe administratif

• L'assistant crée automatiquement le Administrateurs de DC AAD groupe dans votre annuaire Azure AD. Si vous disposez d’un groupe existant portant ce nom dans votre annuaire Azure AD, l’assistant sélectionne ce groupe. Vous pouvez éventuellement choisir d'ajouter des utilisateurs supplémentaires à ce Administrateurs de DC AAD groupe pendant le processus de déploiement.
  
  REMARQUE: Nous avons inclus les membres du groupe des administrateurs plus loin dans ce document.

1.4 Configurer la synchronisation

• Azure Active Directory Domain Services vous permet de synchroniser tous les utilisateurs et groupes disponibles dans Azure AD, ou une synchronisation étendue de groupes spécifiques uniquement.
• Sélectionnez la portée, puis cliquez sur OK.
  
  REMARQUE: La portée ne peut pas être modifiée ultérieurement. Si le besoin s’en fait sentir, la création d’un nouveau domaine sera alors nécessaire.

1.5 Déployez votre domaine géré

• Sur la page Résumé de l'assistant, vérifiez les paramètres de configuration du domaine géré. Vous pouvez revenir à n'importe quelle étape de l'assistant pour apporter des modifications
• Pour créer le domaine géré, cliquez sur OK.
• Le processus de provisionnement de votre domaine géré peut prendre jusqu'à une heure. Une notification s'affiche sur le portail qui indique la progression de votre déploiement Azure AD DS. Sélectionnez la notification pour voir la progression détaillée du déploiement.
• Lorsque le domaine géré est entièrement provisionné, l'onglet Présentation affiche l'état du domaine comme En cours d'exécution.



REMARQUE: Au cours du processus de provisionnement, Azure AD DS crée deux applications d'entreprise nommées Domain Controller Services et AzureActiveDirectoryDomainControllerServices dans votre annuaire. Ces applications d'entreprise sont nécessaires pour gérer votre domaine géré. Il est impératif que ces applications ne soient supprimées à aucun moment.

2. Créez et déléguez des certificats pour un LDAP sécurisé

2.1 Créer un certificat auto-signé

• Utiliser LDAP sécurisé, un certificat numérique est utilisé pour crypter la communication. Ce certificat numérique est appliqué à votre domaine géré Azure AD DS.
• Ouvrez un PowerShell fenêtre comme Administrateur et exécutez les commandes suivantes.
  
  REMARQUE: Remplacez la variable $dnsName par le nom DNS utilisé par votre propre domaine géré, tel que exampledomain.com. Ce domaine doit être le même que votre domaine géré ADDS.
Faites l'entrée suivante dans votre fichier hosts <Define your own DNS name used by your Azure AD DS managed domain
$dnsName="exampledomain.com"
# Get the current date to set a one-year expiration
$lifetime=Get-Date
# Create a self-signed certificate for use with Azure AD DS New-SelfSignedCertificate -Subject *.$dnsName `

-NotAfter $lifetime.AddDays(365) -KeyUsage DigitalSignature, KeyEncipherment `
-Type SSLServerAuthentication -DnsName *.$dnsName, $dnsName
2.2 Exporter un certificat pour Azure AD DS
Avant de pouvoir utiliser le certificat numérique créé à l’étape précédente avec votre domaine managé Azure AD DS, exportez le certificat vers un fichier de certificat .PFX qui inclut la clé privée.


• Pour ouvrir la boîte de dialogue Exécuter, appuyez sur les touches Windows et R.
• Ouvrez le Console de gestion Microsoft (MMC) en entrant MMC dans la boîte de dialogue Exécuter, puis sélectionnez OK.
• À l'invite Contrôle de compte d'utilisateur, cliquez sur Oui pour lancer MMC en tant qu'administrateur.
• Dans le menu Fichier, cliquez sur Ajouter/Supprimer un composant logiciel enfichable…
• Dans le Assistant du composant logiciel enfichable Certificats, choisissez Compte d'ordinateur, Puis sélectionnez > Suivant
• Sur la page Sélectionner un ordinateur, choisissez Ordinateur local : (l'ordinateur sur lequel cette console s'exécute), puis sélectionnez Terminer.
• Dans le Ajouter ou supprimer des composants logiciels enfichables dialogue, cliquez sur OK pour ajouter le composant logiciel enfichable des certificats à MMC.
• Dans la fenêtre MMC, développez Racine de console. Sélectionnez Certificats (ordinateur local), puis développez le Nœud personnel, suivi par le Nœud Certificats.



• Le certificat auto-signé créé à l'étape précédente s'affiche, tel que exampledomain.com. Cliquez avec le bouton droit sur ce certificat, puis choisissez Toutes les tâches > Exporter.



• Dans le Assistant d'exportation de certificat, sélectionnez Suivant.
• La clé privée du certificat doit être exportée. Si la clé privée n'est pas incluse dans le certificat exporté, l'action visant à activer LDAP sécurisé pour votre domaine géré échoue.
  Sur la page Exporter la clé privée, choisissez Oui, exportez la clé privée, puis sélectionnez Suivant.



• Les domaines managés Azure AD DS prennent uniquement en charge le Format de fichier de certificat .PFX qui inclut la clé privée. N'exportez pas le certificat au format de fichier de certificat .CER sans la clé privée.
• Sur la page Format de fichier d'exportation, sélectionnez Échange d'informations personnelles - PKCS #12 (.PFX) comme format de fichier pour le certificat exporté. Cochez la case Inclure tous les certificats dans le chemin de certification si possible et cliquez sur Suivant.



• Sur la page Sécurité, choisissez l'option pour Mot de passe pour protéger le fichier de certificat .PFX. Saisissez et confirmez un mot de passe, puis sélectionnez Suivant. Ce mot de passe est utilisé dans la section suivante pour activer LDAP sécurisé pour votre domaine managé Azure AD DS.



• Sur la page Fichier à exporter, spécifiez le nom du fichier et l'emplacement où vous souhaitez exporter le certificat, par exemple C:\Utilisateurs\nom du compte\azure-ad-ds.pfx.
• Sur la page de révision, cliquez sur Terminer pour exporter le certificat vers un fichier de certificat .PFX. Une boîte de dialogue de confirmation s'affiche lorsque le certificat a été exporté avec succès
• Laissez la MMC ouverte pour utilisation dans la section suivante.
2.3 Exporter un certificat pour les ordinateurs clients
Les ordinateurs clients doivent faire confiance à l'émetteur du certificat LDAP sécurisé pour pouvoir se connecter correctement au domaine géré à l'aide de LDAPS. Les ordinateurs clients ont besoin d’un certificat pour chiffrer correctement les données déchiffrées par Azure AD DS. Suivez les étapes suivantes pour exporter, puis installer le certificat auto-signé dans le magasin de certificats approuvés sur l'ordinateur client :

• Revenez à la MMC pour Certificats (ordinateur local) > Personnel > Magasin de certificats. Le certificat auto-signé créé à l'étape précédente s'affiche, par exemple exampledomain.com. Cliquez avec le bouton droit sur ce certificat, puis choisissez Toutes les tâches > Exporter…
• Dans l'assistant d'exportation de certificat, sélectionnez Suivant.
• Comme vous n'avez pas besoin de la clé privée pour les clients, sur le Page Exporter la clé privée, choisissez Non, n'exportez pas la clé privée, puis sélectionnez Suivant.



• Sur la page Format de fichier d'exportation, sélectionnez X.64 (.CER) codé en base 509 comme format de fichier pour le certificat exporté :



• Sur la page Fichier à exporter, spécifiez le nom du fichier et l'emplacement où vous souhaitez exporter le certificat, par exemple C:\Users\accountname\client.cer.



• Sur la page de révision, sélectionnez Terminer pour exporter le certificat vers un fichier de certificat .CER. Une boîte de dialogue de confirmation s'affiche lorsque le certificat a été exporté avec succès.

3. Activez LDAP sécurisé pour Azure AD DS

• Dans le Portail Azure, recherchez les services de domaine dans la zone Rechercher des ressources. Sélectionner Services de domaine Azure AD à partir du résultat de la recherche.



• Choisissez votre domaine géré, tel que exampledomain.com.



• Sur le côté gauche de la fenêtre Azure AD DS, choisissez LDAP sécurisé.



• Par défaut, l'accès LDAP sécurisé à votre domaine géré est désactivé. Basculez LDAP sécurisé pour activer.
• cabillot Autoriser l'accès LDAP sécurisé sur Internet autoriser.
• Sélectionnez l'icône du dossier à côté de Fichier .PFX avec un certificat LDAP sécurisé. Accédez au chemin du fichier .PFX, puis sélectionnez le certificat créé à une étape précédente qui inclut la clé privée.
• Entrez le mot de passe pour déchiffrer le fichier .PFX défini lors d'une étape précédente lorsque le certificat a été exporté vers un fichier .PFX.
• Cliquez sur Épargnez pour activer LDAP sécurisé.
  
  REMARQUE: Une notification s'affiche indiquant que LDAP sécurisé est en cours de configuration pour le domaine géré. Vous ne pouvez pas modifier d'autres paramètres du domaine géré tant que cette opération n'est pas terminée. L'activation de LDAP sécurisé pour votre domaine géré prend quelques minutes.



• Une notification s'affiche indiquant que LDAP sécurisé est en cours de configuration pour le domaine géré. Vous ne pouvez pas modifier d'autres paramètres du domaine géré tant que cette opération n'est pas terminée. Il faut un quelques minutes pour activer LDAP sécurisé pour votre domaine géré.



4. Ajout de règles de sécurité

• Sur le côté gauche de la fenêtre Azure AD DS, choisissez Propriétés.
• Sélectionnez ensuite le Groupe de réseau associé avec ce domaine sous le groupe de sécurité réseau associé au sous-réseau.



• La liste des règles de sécurité entrantes et sortantes existantes s'affiche. Sur le côté gauche des fenêtres du groupe de sécurité réseau, choisissez Sécurité > Règles de sécurité entrantes.
• Sélectionnez Ajouter, puis créez une règle pour autoriser le port TCP 636.
• Option A: ajoutez une règle de sécurité entrante pour autoriser toutes les requêtes TCP entrantes.

Paramètres	Valeur
Identifier	Toutes
Plages de ports sources	*
dentaire	Toutes
Plages de ports de destination	636
Passerelle	TCP
Action	Autoriser
Priorité	401
Nom	AutoriserLDAPS

• Option B: ajoutez une règle de sécurité entrante pour autoriser les requêtes TCP entrantes provenant d'un ensemble spécifié d'adresses IP.(Recommandé)

Paramètres	Valeur
Identifier	Adresses IP
Adresses IP sources/plages CIDR	Adresse IP ou plage valide pour votre environnement.
Plages de ports sources	*
dentaire	Toutes
Plages de ports de destination	636
Passerelle	TCP
Action	Autoriser
Priorité	401
Nom	AutoriserLDAPS





• Lorsque vous êtes prêt, cliquez sur Ajouter pour enregistrer et appliquer la règle.

5. Configurez DNS pour l'accès externe

• Avec l'accès LDAP sécurisé activé sur Internet, mettez à jour la zone DNS afin que les ordinateurs clients puissent trouver ce domaine géré. L’adresse IP externe LDAP sécurisée est répertoriée dans l’onglet Propriétés de votre domaine managé Azure AD DS :



• Faites l'entrée suivante dans votre fichier hosts <Secure LDAP external IP address>ldaps.<domainname>
Replace <Secure LDAP external IP address> with the IP we get from azure portal and replace
&l;tdomainname> with the domain name for which the certificate was created.(Value used in $dnsName)
Eg: 99.129.99.939 ldaps.exampledomain.com

6. Permettre à un utilisateur de se lier avec succès

• Sur le côté gauche de la fenêtre Azure AD DS, choisissez Propriétés.
• Sélectionnez ensuite le Groupe d'administrateurs associé avec ce domaine.



• Ensuite, sélectionnez Membres sous l'onglet Gérer dans le panneau latéral gauche.



• Cliquez sur Ajouter des membres et sélectionnez le membre que vous utiliseriez pour effectuer l’opération de liaison. Connectez-vous ensuite au portail Azure en utilisant le même utilisateur qui est désormais administrateur. (S'il n'est pas déjà connecté)
• Sélectionnez le paramètre utilisateur dans le coin supérieur droit et cliquez sur voir le compte.



• Sélectionnez ensuite Configurer la réinitialisation du mot de passe en libre-service et poursuivez sa configuration.



• Après une configuration réussie, sélectionnez Azure Portal dans la liste des applications.



• Ensuite, accédez à nouveau au profil utilisateur et sélectionnez Modifier le mot de passe.



• Une fois le mot de passe modifié avec succès, cet utilisateur est éligible pour l'opération de liaison.

7. Configurez Joomla LDAP à l'aide d'Azure Active Directory

• Téléchargez le fichier zip du plugin miniOrange LDAP pour Joomla à partir du lien ici.
• Connectez-vous à votre site Joomla Administrateur console.
• Dans le menu bascule de gauche, cliquez sur Système, puis sous la section Installer, cliquez sur Extensions.

• Cliquez ici sur Rechercher un fichier pour localiser et installer le fichier du plugin téléchargé précédemment.

• Une fois l'installation du plugin réussie. Cliquez maintenant sur Commencez à utiliser le plugin miniOrange LDAP.

• Vous serez redirigé vers l'onglet Configurer LDAP. Pour connecter votre site Joomla à Microsoft Azure Active Directory, vous devrez configurer les paramètres suivants :

Champ	Valeur
Serveur d'annuaire	Microsoft Active Directory
URL du serveur LDAP	URL du serveur LDAP - Il s'agit du nom de domaine que nous avons ajouté dans la configuration du fichier hôte des systèmes de noms de domaine. Vous pouvez obtenir l'URL du serveur LDAP à partir de ici.
Domaine du compte de service	Vous pouvez obtenir le nom de domaine du compte de service auprès de ici.
Mot de passe du compte de service	Mot de passe du compte utilisé pour la liaison ici.
Base de recherche	Fournissez le nom distinctif de l'objet de base de recherche, par exemple : cn=User,dc=domain,dc=com. Vous pouvez sélectionner la base de recherche comme indiqué dans la liste déroulante
Filtre de recherche	Les filtres de recherche vous permettent de définir des critères de recherche et de fournir des recherches plus efficaces. Par exemple : nom d'utilisateur principal


• Sous les configurations de mappage LDAP utilisateur, sélectionnez votre Base de recherche (l'arborescence LDAP dans laquelle vos utilisateurs seront recherchés) et votre Attribut de nom d'utilisateur (la valeur avec laquelle votre utilisateur sera recherché dans l'AD). Cliquez sur Enregistrer Mappage de l'utilisateur pour enregistrer vos paramètres.

• En vertu des Normes sur l’information et les communications, les organismes doivent rendre leurs sites et applications Web accessibles. Ils y parviennent en conformant leurs sites Web au niveau AA des Web Content Accessibility Guidelines (WCAG). Section Test d'authentification, vous pouvez saisir celui de votre utilisateur Nom d'utilisateur ainsi que Mot de passe pour tester votre connexion et votre authentification avec le serveur LDAP.

• Dans le Cartographie d'attributs onglet, entrez le Nom d'utilisateur de l'utilisateur présent dans votre AD et cliquez sur Vérifier les attributs de réception pour obtenir une liste des attributs reçus de l'AD.

• Extrait du Paramètres de connexion , sélectionnez l'onglet ,Activer la connexion LDAP case à cocher pour activer la connexion via LDAP. Cliquez sur le bouton Enregistrer pour enregistrer cette option. Vous ne pouvez l'activer qu'après avoir configuré la configuration du plugin.

• Félicitations, vous avez configuré avec succès le miniOrange LDAP plugin avec votre active Directory.

Assistance active 24h/7 et XNUMXj/XNUMX

Si vous rencontrez des problèmes ou si vous avez des questions, n'hésitez pas à nous contacter à joomlasupport@xecurify.com. Si vous souhaitez que des fonctionnalités supplémentaires soient incluses dans le plugin, veuillez nous contacter et nous pourrons les personnaliser sur mesure pour vous. De plus, si vous le souhaitez, nous pouvons également planifier une réunion en ligne pour vous aider à configurer le Joomla LDAP Plugin