Référence de l’orchestrateur
Référence de la configuration
Connecteurs
Microsoft Entra ID (Azure AD)

Microsoft Entra ID (Azure AD)

L’Orchestrateur d’Identité Maverics fournit un connecteur préconstruit, sans code, pour Microsoft Entra ID. Ce connecteur vous permet de créer des utilisateurs dans Entra ID en utilisant l’API Graph de Microsoft, il prend également en charge l’authentification des utilisateurs à l’aide d’OpenID Connect ou de SAML.

Bien qu’Azure AD ait été rebaptisé Entra ID par Microsoft, veuillez noter que l’orchestrateur ne reconnaît actuellement qu’Azure dans la configuration.

Options de configuration

Les valeurs suivantes peuvent être fournies au connecteur Entra ID via le fichier de configuration de Maverics.

Auth Type

authType définit le protocole utilisé pour s’authentifier sur Entra ID. Le connecteur Entra ID prend en charge à la fois les protocoles saml et oidc pour l’authentification des utilisateurs. Si elle n’est pas définie, la valeur par défaut est oidc.

OIDC Well-known URL

oidcWellKnownURL définit l’emplacement où le client demande la configuration auprès du fournisseur OpenID d’Azure AD. Cette option doit être définie (en même temps que graphURL) lorsque le connecteur est utilisé en tant que fournisseur d’attributs.

OAuth Client ID

oauthClientID définit l’identifiant du client utilisé pour identifier l’application Maverics sur Entra ID.

OAuth Client Secret

oauthClientSecret définit le secret client utilisé pour authentifier l’application Maverics sur Entra ID.

OAuth Redirect URL

oauthRedirectURL définit l’URL vers laquelle Entra ID redirigera le client après l’authentification. Le gestionnaire de rappel de Maverics sera servi sur cette URL.

ℹ️
Remarque : le chemin d’accès à oauthRedirectURL ne doit pas entrer en conflit avec le chemin d’accès aux ressources de l’application. Divers chemins d’accès peuvent être définis pour oauthRedirectURL2, par exemple : /maverics-oidc ou /oidc-handler.

OIDC Logout Callback URL

oidcLogoutCallbackURL définit l’URL vers laquelle Entra ID redirigera le client après la déconnexion.

Disable PKCE

disablePKCE est un champ facultatif utilisé pour désactiver l’extension OIDC Proof Key for Code Exchange (PKCE) (activée par défaut).

SAML Entity ID

samlEntityID correspond à l’identifiant unique d’entité d’application attribué à l’application.

SAML Metadata URL

samlMetadataURL correspond à l’URL des métadonnées de l’application configurée dans le fournisseur SAML. Le paramètre samlMetadataURL peut accepter un file:/// URI si le fichier de métadonnées est enregistré sur un système de fichiers accessible à l’utilisateur de l’orchestrateur.

SAML Consumer Service URL

samlConsumerServiceURL correspond à l’URL que le fournisseur SAML utilise pour POSTER la réponse SAML. Le gestionnaire SAML ACS de Maverics sera servi sur cette URL, elle ne devrait donc pas entrer en conflit avec les ressources de l’application. Il existe plusieurs possibilités pour le chemin d’accès samlConsumerServiceURL (par exemple, /maverics-saml ou /saml-handler), mais celui-ci doit correspondre à la configuration du fournisseur pour l’identifiant samlEntityID spécifié.

SAML Logout Callback URL

samlLogoutCallbackURL est un champ facultatif utilisé pour définir l’URL vers laquelle le fournisseur SAML renvoie une fois la déconnexion réussie. Ce champ permet d’initialiser un terminal sur Maverics permettant le rappel de l’URL. Le domaine de l’URL doit correspondre au domaine de Maverics. Il existe plusieurs possibilités pour le chemin d’accès samlLogoutCallbackURL (par exemple, /logout-maverics-saml ou /logout-saml-handler), mais celui-ci doit correspondre à la configuration du fournisseur pour l’identifiant samlEntityID spécifié.

SAML SP Cert Path

samlSPCertPath est une configuration facultative du chemin d’accès au certificat qui sera utilisé pour signer les requêtes d’authentification SAML. Elle doit être utilisée avec samlSPKeyPath.

SAML SP Key path

samlSPKeyPath est une configuration facultative du chemin d’accès à la clé privée qui sera utilisée pour signer les requêtes d’authentification SAML. Elle doit être utilisée avec samlSPCertPath.

IDP-Initiated Login

samlIDPInitiatedLogin est un champ facultatif utilisé pour définir les paramètres de connexion initiée par le fournisseur d’identité.

Enabled

enabled détermine si le connecteur accepte les réponses SAML non sollicitées provenant du fournisseur d’identité configuré. La connexion initiée par le fournisseur d’identité est désactivée par défaut, car elle est par nature moins sécurisée que le flux alternatif initié par le fournisseur de services.

Allowed Redirect URLs

allowedRedirectURLs constituent l’ensemble des URL vers lesquelles le connecteur peut rediriger les utilisateurs après avoir traité une réponse SAML initiée par le fournisseur d’identité. Le fournisseur d’identité doit transmettre l’une des URL listées par le biais d’un état de relais lorsqu’il initie une connexion. Pour plus d’informations sur la nécessité d’un ensemble d’URL, veuillez consulter le guide de OWASP concernant l’authentification unique initiée par le fournisseur d’identité (IdP Initiated SSO) et l’importance d’atténuer l’attaque Open Redirect.

Domain Hint

domainHint est un champ facultatif utilisé pour indiquer à Entra ID que cette requête doit être traitée par la page de connexion du fournisseur d’identité fédéré, ou par la page de connexion Entra ID pour le locataire.

Graph URL

graphURL est un champ facultatif qui définit le terminal Entra ID utilisé pour effectuer des appels vers l’API Microsoft Graph. L’option oidcWellKnownURL doit également être configurée.

Cache

cache est un champ facultatif qui définit les paramètres du cache pour le connecteur. S’il n’est pas défini, le connecteur utilisera le cache intégré à la mémoire par défaut.

ℹ️
Pour l’instant, le champ cache n’est pris en charge que pour les connecteurs SAML.

Health Check

healthCheck définit une vérification d’état facultative du connecteur. Cette option est requise lors de l’utilisation du connecteur en situation de maintien de la pérennité du fournisseur d’identité. Pour plus d’informations sur la façon de définir la vérification d’état, veuillez consulter la documentation.

Exemples

Configuration du connecteur SAML

Le connecteur SAML de l’Orchestrateur d’Identité Maverics pour Entra ID peut être configuré en tant qu’application de galerie ou en tant qu’application web sans galerie dans votre locataire Entra ID. Consultez le tutoriel sur les connecteurs pour ajouter votre connecteur SAML à partir de la galerie d’applications d’Entra ID.

connectors:
  - name: azure
    type: azure
    authType: saml
    samlMetadataURL: https://login.microsoftonline.com/<tenantID>/federationmetadata/2007-06/federationmetadata.xml?appid=<appid>
    samlConsumerServiceURL: https://example.com/acs
    samlLogoutCallbackURL: https://example.com/logout
    samlEntityID: https://example.com

Configuration du connecteur SAML avec le fichier de métadonnées SAML

Cet exemple suppose que les métadonnées SAML ont été téléchargées et enregistrées dans le fichier /etc/maverics/samlmetadata.xml.

connectors:
  - name: azure
    type: azure
    authType: saml
    samlMetadataURL: file:///etc/maverics/samlmetadata.xml
    samlConsumerServiceURL: https://example.com/acs
    samlLogoutCallbackURL: https://example.com/logout
    samlEntityID: https://example.com
    cache: redis

Configuration du connecteur OIDC 

connectors:
  - name: azure
    type: azure
    authType: oidc
    oidcWellKnownURL: https://login.microsoftonline.com/<tenantID>/v2.0/.well-known/openid-configuration
    oauthClientID: <client-id>
    oauthClientSecret: <client-secret>
    oauthRedirectURL: https://example.com/oidc
    oidcLogoutCallbackURL: https://example.com/oidc/logout
    disablePKCE: false
LDAP et Active DirectoryMySQL