Réserver une Démo
Pré. Proc.

Procédure pas à pas : OpenID avec Azure

Cette procédure pas à pas vous aide à configurer Enterprise Architect pour log aux modèles avec Single-Sign-On (SSO) à l’aide d’utilisateurs Azure via OpenID.

La procédure pas à pas détaille la configuration minimale requise pour obtenir un exemple fonctionnel. De nombreuses options supplémentaires sont disponibles dans Azure et peuvent être personnalisées pour répondre aux besoins de votre organisation.

Ce guide nécessite Enterprise Architect version 16 ou ultérieure pour fonctionner avec les revendications dans le jeton ID et pour permettre la création automatique de nouveaux utilisateurs en fonction de leur appartenance à un groupe.

Ajouter une inscription d'application pour Enterprise Architect

  1. Connectez-vous au portail Azure : https://portal.azure.com/.
  2. Cliquez sur le menu déroulant du menu latéral et cliquez sur « Azure Actif Directory ».
    Shows the selection of Azure Active Directory menu
  3. Cliquez sur « Inscriptions d'applications » et sur le bouton Nouvelle inscription.
    Shows how to create a new App Registration in Azure
  4. Remplissez le formulaire.
  5. Donnez un nom à l'application : celui-ci sera visible pour les utilisateurs finaux lorsqu'ils consentiront à l'application (le cas échéant, l'application peut recevoir un consentement global de la part d'un administrateur).
  6. Sélectionnez le bouton radio « Locataire unique » (sauf si vous comprenez l’utilisation de « Multilocataire »).
  7. URI de redirection :
    - Sélectionnez l'option « Client public/natif (mobile et ordinateur de bureau) » dans l'option déroulante
    - Type « http://localhost:8888/openid/callback »
    - Cliquez sur le bouton S'inscrire.
    Shows details to be entered when creating a new 'app registration' in Azure for use with OpenID

Détails de l'application : URL, ID client

Une fois l'enregistrement de la nouvelle application créé, vous devriez voir les détails de l'application. Copiez l' ID d'application (client). Celui-ci sera collé dans Enterprise Architect (étape 6 de cette procédure).

Details of the App Registration in Azure

  1. Ouvrez Enterprise Architect et ouvrez le modèle ; il est supposé que le modèle a déjà été configuré pour utiliser la sécurité du modèle.
  2. Connectez-vous avec un compte disposant des autorisations nécessaires pour modifier les utilisateurs et les groupes (par exemple, « admin »).
  3. Cliquez sur l'option du ruban « Paramètres > Sécurité > Utilisateurs ».
  4. Dans le panneau « Options globales », cochez la case « Accepter l’authentification OpenID ».
  5. Cliquez sur le bouton Configurer OpenID.
    Configure Enterprise Architect model to use OpenID
  6. Collez l'« ID d'application (client) » copié dans le champ « ID client » champ.
    The OpenID configuration settings for Azure
  7. Ajouter « profil » à la « portée » champ permettant de transmettre le nom complet de l'utilisateur.
  8. Ajoutez « offline_access » à la « Portée » champ permettant aux utilisateurs d'actualiser automatiquement leurs jetons d'authentification à l'aide de « jetons d'actualisation ».
  9. Pour cette procédure pas à pas, nous allons effectuer une correspondance avec « upn » ; saisissez « upn » dans le champ « Réclamer une correspondance avec l'utilisateur local ».
  10. (Facultatif) Ajoutez « groupes » au champ « Demander une correspondance avec les groupes locaux ». Consultez la section « Créer ou modifier automatiquement des utilisateurs Windows ou OpenID » plus loin dans cette rubrique pour savoir comment utiliser les groupes pour créer ou modifier automatiquement des utilisateurs en fonction de leur appartenance à un groupe OpenID.
  11. Cochez la case « Utiliser le jeton ID pour les réclamations ». Décochez la case « Utiliser les informations utilisateur pour les réclamations ».

    ( Note : dans la version 16 ou ultérieure, il est maintenant possible d'obtenir des revendications directement à partir du jeton ID plutôt que via le point de terminaison User Info. Cela présente de nombreux avantages, notamment une meilleure conformité avec la norme (les revendications dans le point de terminaison User Info sont facultatives et ne sont pas personnalisables dans Azure ) ainsi qu'une réduction du nombre d'appels Internet vers le fournisseur OpenID.)
  12. Dans Azure , cliquez sur « Points de terminaison » . Cette option répertorie les « points de terminaison » d'URL avec lesquels les applications peuvent se connecter à Azure .
  13. Copiez l'URL du « document de métadonnées OpenID Connect », mais excluez la partie « .well-known/openid-configuration ».
  14. Dans Enterprise Architect , collez l'URL dans le champ « URL OpenID ».
    Shows the endpoints for an Azure App Registration

Ajouter des autorisations API

  1. Cliquez sur « Autorisations API ».
  2. Cliquez sur « Ajouter une autorisation ».
    Select 'API permissions', 'Add a permission'
  3. Cliquez sur « Microsoft Graph ».
    Select 'Microsoft Graph'
  4. Cliquez sur « Autorisations déléguées ».
    Select 'Delegated permissions'
  5. Sélectionnez toutes les autorisations sous « Autorisations OpenId » : « e-mail », « accès_hors_ligne », « openid » et « profil ».
    Select all OpenID API permissions

Prétention à correspondre à un utilisateur local

Enterprise Architect log un utilisateur si la revendication renvoyée par le fournisseur OpenID correspond à la connexion de l'utilisateur dans le modèle Enterprise Architect . Il convient de veiller à utiliser une revendication sécurisée, c'est-à-dire une revendication qui ne peut pas être modifiée par un utilisateur final, mais uniquement par un administrateur du système Azure . Par défaut, les UPN ne peuvent pas être modifiés par un utilisateur normal.

Il convient de déterminer quelle revendication sera utilisée pour correspondre à la connexion de l'utilisateur local dans Enterprise Architect . Microsoft recommande d'utiliser un GUID stable (tel que « sub » ou « oid ») pour éviter tout problème lié aux changements de nom qui pourraient affecter une adresse e-mail, un nom d'utilisateur ou un UPN. Cependant, un UPN permet une connexion utilisateur lisible par l'homme, ce qui peut être préférable.

Sans configuration supplémentaire, vous pouvez établir une correspondance avec les revendications « oid » ou « sub » (comme recommandé par Microsoft), car elles sont toujours renvoyées dans le jeton ID . Pour activer la correspondance avec l'UPN ou l'adresse e-mail de l'utilisateur, une configuration supplémentaire est requise.

Si l'option permettant la création automatique d'utilisateurs dans Enterprise Architect doit être utilisée, il est également nécessaire qu'un utilisateur ait un prénom et un nom, et que ceux-ci soient transmis à Enterprise Architect dans le jeton. Il s'agit de revendications facultatives qui doivent également être sélectionnées manuellement.

  1. Cliquez sur « Configuration du jeton ».
  2. Cliquez sur « Ajouter une réclamation facultative ».
    Select 'Token configuration', 'Add optional claim'
  3. Sélectionnez « ID ».
  4. Sélectionnez « nom_de_famille, prénom ».
  5. Vous pouvez également sélectionner une autre revendication qui sera utilisée pour correspondre à la connexion de l'utilisateur dans Enterprise Architect . Les choix courants sont « upn », « email », « verified_primary_email ».
    Pour cette procédure pas à pas, sélectionnez « upn ».
  6. Cliquez sur « Ajouter ».
    Select the required additional claims to be added to the ID token

Ajouter un utilisateur à Azure

Cette procédure pas à pas permet d'ajouter un utilisateur unique pour démontrer l'authentification OpenID. La configuration complète de l'utilisateur n'entre pas dans le cadre de ce guide.

  1. De retour dans la section principale « Actif Directory », cliquez sur « Utilisateurs ».
  2. Cliquez sur « Nouvel utilisateur ».
    Select 'Users', click 'New user'
  3. Renseignez les informations du nouvel utilisateur. Nous créons ici un utilisateur de test simple :
    - note le mot de passe
    - Cliquez sur « Créer »
    Fill in the details for the new user

Test la configuration dans Enterprise Architect

Cela suffit pour obtenir un exemple simple fonctionnant dans Enterprise Architect .

  1. De retour dans Enterprise Architect , cliquez sur le bouton Test dans la fenêtre Configurer OpenID....
  2. Cliquez sur « Connexion avec OpenID ».
    Test the connection in Entperprise Architect
    Cela fera apparaître votre navigateur Internet et vous demandera de vous log à votre compte Microsoft (pour Azure ).
  3. Connectez-vous en tant qu'utilisateur nouvellement créé. ( Note que vos informations d'identification ont peut-être été mises en cache par le navigateur ; log -vous de tous les services Microsoft et fermez votre navigateur avant d'effectuer ce test.)
  4. Vous serez peut-être invité à créer un nouveau mot de passe. Encore une fois, note -le pour les connexions ultérieures.
  5. Vous serez invité à consentir à ce que la nouvelle application Azure accède à votre profil.
    ( Note qu'il est possible pour un administrateur dans Azure de consentir à l'application au nom de tous les utilisateurs.)
    The Azure consent screen to allow the Azure App access to your profile
  6. Le navigateur affiche maintenant un message de réussite. Vous pouvez fermer le navigateur et revenir à Enterprise Architect .
  7. Enterprise Architect affichera un message de réussite avec les détails correspondants dans les revendications.
    Success message in the browser after logging in to Azure
  8. Cliquez sur le bouton OK dans le message de réussite.
  9. Cliquez sur le bouton OK dans la fenêtre Configurer OpenID... pour enregistrer les paramètres.

Ajouter l'utilisateur correspondant à Enterprise Architect

Ajoutez un nouvel utilisateur à Enterprise Architect avec un champ « Connexion » correspondant.

  1. Sélectionnez l'option de ruban « Paramètres > Sécurité > Utilisateurs ».
  2. Copiez le nom d’utilisateur principal (UPN) de l’utilisateur Azure et collez-le dans le champ « Connexion ».
  3. Type un nom (il ne doit pas nécessairement correspondre au nom de l’utilisateur Azure ).
  4. Cliquez sur le bouton Enregistrer.
    Add a matching user to Enterprise Architect

Test de connexion à Modèle

  1. Fermez et rouvrez Enterprise Architect .
  2. Ouvrir le modèle.
  3. Le même écran d'authentification OpenID s'affiche ; cliquez sur « Se connecter avec OpenID ».
    Login screen for OpenID in Enterprise Architect
    Nb : Si la boîte dialogue standard Connexion à EA Référentiel apparaît plutôt que la dialogue Authentification OpenID , décochez l'option Masquer la fenêtre de connexion OpenID dans :
  4. Si nécessaire, log -vous à Azure dans le navigateur Internet, puis fermez le navigateur et revenez à Enterprise Architect où vous êtes maintenant connecté en tant que nouvel utilisateur.
  5. Vous pouvez également confirmer l'utilisateur connecté en haut à droite d' Enterprise Architect . Le nom de l'utilisateur connecté apparaît avec un menu déroulant d'options de sécurité utilisateur.
    The logged in user is displayed top-right of Enterprise Architect
  6. La fenêtre de sortie système détaille vos tentatives de connexion. Note que les « groupes » ne correspondent pas, car cela n'a pas été configuré à ce stade de la procédure pas à pas.
    System Output after successful login with Azure OpenID
À ce stade, si vous souhaitez ajouter manuellement des utilisateurs à Enterprise Architect , aucune étape supplémentaire n'est nécessaire.

Si vous souhaitez activer l'option « Créer ou modifier automatiquement les utilisateurs Windows ou OpenID », passez à l'étape suivante. section.

Option « Créer ou modifier automatiquement les utilisateurs Windows ou OpenID »

Cette option vous permet de configurer des groupes dans Azure et de lier les groupes à des groupes locaux dans Enterprise Architect . Les utilisateurs peuvent ensuite être créés automatiquement lors de leur première tentative de log . L'appartenance des utilisateurs nouveaux et existants aux groupes est mise à jour à chaque log , pour correspondre aux groupes liés dans Azure .

Ajouter une revendication de groupe au jeton ID

De la même manière que les revendications UPN et les noms ont été ajoutées, ajoutez une revendication de groupe au jeton ID .

  1. Cliquez sur l'option « Azure > Azure Actif Directory > Enregistrements d'applications ».
  2. Cliquez sur votre nouvelle application.
  3. Sélectionnez « Configuration du jeton » dans la barre latérale.
  4. Cliquez sur « Ajouter une revendication de groupe ».
  5. Sélectionnez « Groupes de sécurité ».
  6. Développez la section ID .
  7. [Facultatif] Comme pour le choix d'une revendication à associer au nom de connexion Enterprise Architect , il convient de prendre en compte la revendication utilisée pour associer les groupes aux groupes locaux dans Enterprise Architect . La sélection par défaut ici est « ID de groupe ». Il s'agit d'une string GUID qui peut être facilement copiée et qui restera la même même si le nom du groupe change. Cependant, il est moins évident de savoir quel groupe correspond lors de l'affichage du lien dans Enterprise Architect . L'un des paramètres sAMAccountName peut donc être plus approprié. Dans ce guide, nous utiliserons la sélection par défaut de « ID de groupe » .
  8. Cliquez sur le bouton Ajouter.
    Add the group claim to the ID Token

Ajouter un nouveau groupe Azure

Dans le « Répertoire Azure Actif » :

  1. Sélectionnez « Groupes » dans le menu latéral.
    Select the 'Group' menu from the sidebar
  2. Cliquez sur « Nouveau groupe ».
    Click 'New group' to add a new group
  3. Laissez le « Type de groupe » défini sur « Sécurité ».
  4. Type un nom pour le groupe, tel que « Utilisateurs EA », « Administrateurs EA » ou « EA en lecture seule ».
  5. Cliquez sur « Aucun membre sélectionné » pour ajouter l'utilisateur test au groupe.
    Fill in the details of the new group
  6. Sélectionnez l'utilisateur test et cliquez sur « Sélectionner ».
    Select the users to be added to the group
  7. Cliquez sur « Créer » pour terminer la création du nouveau groupe.
  8. Rafraîchir la liste des groupes (cela peut prendre jusqu'à 30 secondes).
  9. Copiez l'« ID Object » du groupe pour l'utiliser à l'étape suivante.
    Copy the Object ID of the new group
  10. Voir la section Détails de l'application précédente : URL, ID client .

Groupe de liens dans Enterprise Architect

  1. Enterprise Architect ouvert.
  2. Ouvrez le modèle ; annulez la connexion OpenID et connectez-vous en tant qu'administrateur.
  3. Sélectionnez l’option de ruban « Paramètres > Sécurité > Groupes ».
  4. Créez un nouveau groupe. Le nom et la description ne doivent pas nécessairement correspondre au nom dans Azure .
  5. Collez l’« ID Object » du groupe Azure dans le champ « Groupe OpenID ».
  6. Cliquez sur le bouton Enregistrer pour créer le nouveau groupe.
    Link the Azure group to a new Enterprise Architect group

Activez l'option « Créer ou modifier automatiquement les utilisateurs Windows ou OpenID » :

  1. Fermez l'onglet « Groupes ».
  2. Sélectionnez l'option de ruban « Paramètres > Sécurité > Utilisateurs ».
  3. Sélectionnez l'option « Créer ou modifier automatiquement les utilisateurs Windows ou OpenID ».
    Tick the option to 'Automatically create or modify Windows or OpenID users'

C'est maintenant le bon moment pour retester la configuration OpenID pour vérifier que les revendications des groupes sont présentes dans le jeton ID et que le lien du groupe est correct.

  1. Cliquez sur l'option « Configurer OpenID... ».
  2. Si « groupes » n'est pas déjà affiché dans le champ « Revendiquer une correspondance avec les groupes locaux », saisissez-le.
  3. Cliquez sur le bouton Test .
  4. Cliquez sur « Connexion avec OpenID ».
  5. Connectez-vous à Azure , si requis par le navigateur.
Le résultat s'affichera dans Enterprise Architect , indiquant le nom de l'utilisateur ainsi que le groupe Azure et le groupe Enterprise Architect local auquel il est lié

Results of OpenID test

Test final

Pour tester « Créer ou modifier automatiquement des utilisateurs Windows ou OpenID » option:

  1. Fermez et rouvrez Enterprise Architect .
  2. Connectez-vous au modèle à l'aide d'OpenID. La fenêtre de sortie du système indiquera toute création automatique d'utilisateurs et toute affectation de groupe basée sur des groupes OpenID liés.
    The System Output window showing automatica group assignment from linked OpenID groups
Pré. Proc.