Procédure pas à pas : OpenID avec Azure

Cette procédure pas à pas vous aide à configurer Enterprise Architect pour vous log à des modèles avec Single-Sign-On (SSO) à l'aide d'utilisateurs Azure via OpenID.

La procédure pas à pas détaillera la configuration minimale requise pour obtenir un exemple fonctionnel. Il existe de nombreuses options supplémentaires disponibles dans Azure qui peuvent être personnalisées pour répondre aux exigences de votre organisation.

Ce guide nécessite Enterprise Architect version 16 ou ultérieure pour travailler avec les revendications dans le jeton ID et pour permettre la création automatique de nouveaux utilisateurs en fonction de leurs appartenances à des groupes.

Ajouter un enregistrement d'application pour Enterprise Architect

1. Connectez-vous au portail Azure : https://portal.azure.com/.
2. Cliquez sur le menu déroulant du menu latéral et cliquez sur 'Azure Actif Directory'.
   
3. Cliquez sur 'Inscriptions d'applications' et sur le bouton Nouvelle inscription.
   
4. Remplissez le formulaire.
5. Donnez un nom à l'application - cela sera visible pour les utilisateurs finaux lorsqu'ils consentent à l'application (le cas échéant, l'application peut recevoir un consentement global par un administrateur).
6. Sélectionnez le bouton radio « Mono-locataire » (sauf si vous comprenez l'utilisation de « Multi-locataire »).
7. URI de redirection :
   - Sélectionnez l'option "Client public/natif (mobile et ordinateur)" dans l'option déroulante
   - Type 'http://localhost:8888/openid/callback'
   - Cliquez sur le bouton S'inscrire.
   

Détails de l'application : URL, ID client

Une fois le nouvel enregistrement de l'application créé, vous devriez voir les détails de l'application. Copiez l'' ID de l'application (client)'. Cela sera collé dans Enterprise Architect (étape 6 de cette procédure).

1. Ouvrez Enterprise Architect et ouvrez le modèle ; on suppose que le modèle a déjà été configuré pour utiliser la sécurité du modèle.
2. Connectez-vous avec un compte disposant des autorisations nécessaires pour modifier les utilisateurs et les groupes (par exemple, "admin").
3. Cliquez sur l'option de ruban "Paramètres > Sécurité > Utilisateurs".
4. Dans le panneau "Options globales", cochez la case "Accepter l'authentification OpenID".
5. Cliquez sur le bouton Configurer OpenID.
   
6. Collez le 'Application (client) ID ' copié dans le 'Client ID ' champ.
   
7. Ajouter 'profil' à 'Portée' pour autoriser le retour du nom complet de l'utilisateur.
8. Ajouter 'offline_access' à 'Scope' pour permettre aux utilisateurs d'actualiser automatiquement leurs jetons d'authentification à l'aide de 'refresh tokens'.
9. Pour cette procédure pas à pas, nous allons comparer 'upn' ; tapez 'upn' dans le champ 'Demande de correspondance avec l'utilisateur local'.
10. (Facultatif) Ajoutez 'groupes' au champ 'Demande de correspondance avec les groupes locaux'. Consultez la section « Créer ou modifier automatiquement des utilisateurs Windows ou OpenID » plus loin dans cette rubrique pour savoir comment utiliser des groupes pour créer ou modifier automatiquement des utilisateurs en fonction de leur appartenance à un groupe OpenID.
11. Cochez la case "Utiliser le jeton d' ID pour les revendications". Décochez la case "Utiliser les informations utilisateur pour les réclamations".
    
    ( Note : dans la version 16 ou ultérieure, il est maintenant possible d'obtenir des revendications directement à partir du jeton d' ID plutôt que via le point de terminaison User Info. Cela présente de nombreux avantages, notamment le fait d'être plus conforme à la norme (les revendications dans le point de terminaison User Info sont facultatives et ne sont pas personnalisables dans Azure) ainsi que la réduction du nombre d'appels Internet vers le fournisseur OpenID.)
    
12. Dans Azure, cliquez sur 'Endpoints' . Cela répertorie les « points de terminaison » d'URL avec lesquels les applications peuvent se connecter à Azure.
13. Copiez l'URL pour 'OpenID Connect metadata document', mais excluez la partie '.well-known/openid-configuration'.
14. Dans Enterprise Architect , collez l'URL dans le champ 'OpenID URL'.
    

Ajouter des autorisations d'API

1. Cliquez sur 'Autorisations API'.
   
2. Cliquez sur 'Ajouter une autorisation'.
   
3. Cliquez sur 'Microsoft Graph'.
   
4. Cliquez sur 'Autorisations déléguées'.
   
5. Sélectionnez toutes les autorisations sous 'OpenId permissions' : 'email', 'offline_access', 'openid' et 'profile'.
   

Demander à correspondre à l'utilisateur local

Enterprise Architect log un utilisateur si la demande renvoyée par le fournisseur OpenID correspond à la connexion de l'utilisateur dans le modèle Enterprise Architect . Il faut veiller à utiliser une revendication sécurisée ; c'est-à-dire qui ne peut pas être modifié par un utilisateur final, mais uniquement par un administrateur du système Azure. Par défaut, les UPN ne peuvent pas être modifiés par un utilisateur régulier.

Il convient de prendre en compte la revendication qui sera utilisée pour correspondre à la connexion de l'utilisateur local dans Enterprise Architect . Microsoft recommande d'utiliser un GUID stable (tel que « sub » ou « oid ») pour éviter tout problème de changement de nom susceptible d'affecter un e-mail, un nom d'utilisateur ou un UPN. Cependant, un UPN permet une connexion utilisateur lisible par l'homme, ce qui peut être préférable.

Sans configuration supplémentaire, vous pouvez faire correspondre les revendications 'oid' ou 'sub' (comme recommandé par Microsoft) car elles sont toujours renvoyées dans le jeton ID . Pour activer la correspondance avec l'UPN ou l'adresse e-mail de l'utilisateur, une configuration supplémentaire est requise.

Si l'option permettant la création automatique d'utilisateurs dans Enterprise Architect doit être utilisée, il est également nécessaire qu'un utilisateur ait un prénom et un nom, et que ceux-ci soient renvoyés à Enterprise Architect dans le jeton. Ce sont des revendications facultatives qui doivent également être sélectionnées manuellement.

1. Cliquez sur 'Configuration du jeton'.
2. Cliquez sur "Ajouter une revendication facultative".
   
3. Sélectionnez ' ID '.
4. Sélectionnez 'nom_famille, nom_donné'.
5. Sélectionnez éventuellement une autre revendication qui sera utilisée pour correspondre à la connexion de l'utilisateur dans Enterprise Architect . Les choix courants sont 'upn', 'email', 'verified_primary_email'.
   Pour cette procédure pas à pas, sélectionnez "upn".
6. Cliquez sur ' Ajouter'.
   

Ajouter un utilisateur à Azure

Cette procédure pas à pas ajoutera un seul utilisateur pour démontrer l'authentification OpenID. La configuration complète de l'utilisateur sort du cadre de ce guide.

1. De retour dans la section principale ' Actif Directory', cliquez sur 'Utilisateurs'.
2. Cliquez sur 'Nouvel utilisateur'.
   
3. Remplissez les détails du nouvel utilisateur. Ici, nous créons un utilisateur de test simple :
   - note le mot de passe
   - Cliquez sur 'Créer'
   

Test la configuration dans Enterprise Architect

C'est suffisant pour obtenir un exemple simple fonctionnant depuis Enterprise Architect .

1. De retour dans Enterprise Architect , cliquez sur le bouton Test dans la fenêtre Configurer OpenID....
2. Cliquez sur 'Connexion avec OpenID'.
   
   Cela fera apparaître votre navigateur Internet et vous demandera de vous log à votre compte Microsoft (pour Azure).
3. Connectez-vous en tant qu'utilisateur nouvellement créé. ( Note que vos informations d'identification peuvent avoir été mises en cache par le navigateur ; log -vous de tous les services Microsoft et fermez votre navigateur avant d'effectuer ce test.)
4. Vous serez peut-être invité à créer un nouveau mot de passe. Encore une fois, note le nouveau mot de passe pour les connexions ultérieures.
5. Vous serez invité à consentir à autoriser la nouvelle application Azure à accéder à votre profil.
   ( Note qu'il est possible pour un administrateur dans Azure de consentir à l'application au nom de tous les utilisateurs.)
   
6. Le navigateur affichera maintenant un message de réussite. Vous pouvez fermer le navigateur et revenir à Enterprise Architect .
7. Enterprise Architect affichera un message de réussite avec les détails correspondant aux revendications.
   
8. Cliquez sur le bouton OK dans le message de réussite.
9. Cliquez sur le bouton OK dans la fenêtre Configurer OpenID... pour enregistrer les paramètres.

Ajouter un utilisateur correspondant à Enterprise Architect

Ajoutez un nouvel utilisateur à Enterprise Architect avec un champ 'Connexion' correspondant.

1. Sélectionnez l'option de ruban "Paramètres > Sécurité > Utilisateurs".
2. Copiez le nom d'utilisateur principal (UPN) de l'utilisateur Azure et collez-le dans le champ "Connexion".
3. Type un nom (il n'est pas nécessaire qu'il corresponde au nom de l'utilisateur Azure).
4. Cliquez sur le bouton Enregistrer.
   

Test la connexion à Modèle

1. Fermez et rouvrez Enterprise Architect .
2. Ouvrez le modèle.
3. Le même écran d'authentification OpenID s'affiche ; cliquez sur 'Connexion avec OpenID'.
   
   Nb : Si la boîte de dialogue standard Connexion à EA Référentiel s'affiche à la place de la boîte de dialogue Authentification OpenID , décochez l'option Masquer la fenêtre de connexion OpenID dans :
   
4. Si nécessaire, log -vous à Azure dans le navigateur Internet, puis fermez le navigateur et revenez à Enterprise Architect où vous êtes maintenant connecté en tant que nouvel utilisateur.
5. Vous pouvez également confirmer l'utilisateur connecté en haut à droite d' Enterprise Architect . Le nom de l'utilisateur connecté s'affiche avec un menu déroulant des options de sécurité de l'utilisateur.
   
6. La fenêtre de sortie du système détaillera vos tentatives de connexion. Note que les "groupes" ne correspondent pas, car cela n'a pas été configuré à ce stade de la procédure pas à pas.
   

À ce stade, si vous souhaitez ajouter manuellement des utilisateurs à Enterprise Architect , il n'est plus nécessaire de suivre d'autres étapes.

Si vous souhaitez activer l'option "Créer ou modifier automatiquement des utilisateurs Windows ou OpenID", passez à l'étape suivante section.

Option "Créer ou modifier automatiquement les utilisateurs Windows ou OpenID"

Cette option vous permet de configurer des groupes dans Azure et de lier les groupes à des groupes locaux dans Enterprise Architect . Les utilisateurs peuvent ensuite être créés automatiquement lorsqu'ils tentent de se log pour la première fois. Les utilisateurs nouveaux et existants verront leur appartenance au groupe mise à jour chaque fois qu'ils se log , pour correspondre aux groupes liés dans Azure.

Ajouter une revendication de groupe au jeton d' ID

De la même manière que les revendications d'UPN et de noms ont été ajoutées, ajoutez une revendication de groupes au jeton d' ID .

1. Cliquez sur l'option 'Azure > Azure Actif Directory > App registrations'.
2. Cliquez sur votre nouvelle application.
3. Sélectionnez "Configuration du jeton" dans la barre latérale.
4. Cliquez sur "Ajouter une revendication de groupe".
5. Sélectionnez 'Groupes de sécurité'.
6. Développez la section ID .
7. [Facultatif] Comme pour le choix d'une réclamation à faire correspondre au nom de connexion d' Enterprise Architect , une certaine considération doit être accordée à la réclamation utilisée pour faire correspondre les groupes aux groupes locaux dans Enterprise Architect . La sélection par défaut ici est 'Group ID '. Il s'agit d'une string GUID qui peut être facilement copiée et restera la même même si le nom du groupe change. Cependant, il est moins clair quel groupe correspond lors de la visualisation de la liaison dans Enterprise Architect , donc l'un des paramètres sAMAccountName pourrait être plus approprié. Dans ce guide, nous utiliserons la sélection par défaut de " ID de groupe" .
8. Cliquez sur le bouton Ajouter.
   

Ajouter un nouveau groupe Azure

Dans le 'Répertoire Azure Actif ' :

1. Sélectionnez « Groupes » dans le menu de la barre latérale.
   
2. Cliquez sur 'Nouveau groupe'.
   
3. Laissez le 'Type de groupe' défini sur 'Sécurité'.
4. Type un nom pour le groupe, tel que "Utilisateurs EA", "Administrateurs EA" ou "Lecture seule EA".
5. Cliquez sur "Aucun membre sélectionné" pour ajouter l'utilisateur test au groupe.
   
6. Sélectionnez l'utilisateur de test et cliquez sur 'Sélectionner'.
   
7. Cliquez sur 'Créer' pour terminer la création du nouveau groupe.
8. Actualisez la liste des groupes (cela peut prendre jusqu'à 30 secondes).
9. Copiez l'« ID d' Object » du groupe pour l'utiliser à l'étape suivante.
   
10. Consultez la section précédente Détails de l'application : URL, ID client .

Groupe de liens dans Enterprise Architect

1. Ouvrez Enterprise Architect .
2. Ouvrez le modèle ; annulez la connexion OpenID et connectez-vous en tant qu'administrateur.
3. Sélectionnez l'option de ruban "Paramètres > Sécurité > Groupes".
4. Créez un nouveau groupe. Le nom et la description ne doivent pas nécessairement correspondre au nom dans Azure.
5. Collez l'« ID d' Object » du groupe Azure dans le champ « Groupe OpenID ».
6. Cliquez sur le bouton Enregistrer pour créer le nouveau groupe.
   

Activez l'option "Créer ou modifier automatiquement les utilisateurs Windows ou OpenID" :

1. Fermez l'onglet "Groupes".
2. Sélectionnez l'option de ruban "Paramètres > Sécurité > Utilisateurs".
3. Sélectionnez l'option "Créer ou modifier automatiquement les utilisateurs Windows ou OpenID".
   

C'est maintenant le bon moment pour tester à nouveau la configuration OpenID pour vérifier que les revendications des groupes sont présentes dans le jeton ID et que la liaison de groupe est correcte.

1. Cliquez sur l'option 'Configurer OpenID...'.
2. Si 'groupes' n'est pas déjà affiché dans le champ 'Demande de correspondance avec les groupes locaux', saisissez-le.
3. Cliquez sur le bouton Test .
4. Cliquez sur 'Connexion avec OpenID'.
5. Connectez-vous à Azure, si requis par le navigateur.

Le résultat s'affichera dans Enterprise Architect , indiquant le nom de l'utilisateur ainsi que le groupe Azure et le groupe Enterprise Architect local auquel il est lié.

Test final

Pour tester le 'Créer ou modifier automatiquement les utilisateurs Windows ou OpenID' option:

1. Fermez et rouvrez Enterprise Architect .
2. Connectez-vous au modèle à l'aide d'OpenID. La fenêtre Sortie système indiquera toute création automatique d'utilisateurs et toute affectation de groupe basée sur des groupes OpenID liés.