Configurer l'authentification JPlatform avec Azure AD

• Accédez à l'administration du tenant dans Azure AD
  https://aad.portal.azure.com/
• Naviguez vers "Enterprise applications"

• Créez une nouvelle application d'entreprise (si elle n'existe pas déjà)
  https://aad.portal.azure.com/#blade/Microsoft_AAD_IAM/AppGalleryApplicationsBlade/category/topapps
  de type "Non-gallery application"

• Saisissez un nom d'application, par exemple JPlatform
• Cliquez sur le bouton "Add"

Suivez l'étape 1. Assign users and groups pour définir les utilisateurs de Azure AD autorisés à se connecter à l'application JPlatform
(les actions associées à cette tâche ne sont pas présentées dans ce guide)

• Vous pouvez par exemple créer un groupe (qui peut être dynamique) :
  https://aad.portal.azure.com/#blade/Microsoft_AAD_IAM/GroupsManagementMenuBlade/AllGroups
• Ajoutez ce groupe (ou tout autre séléction de votre choix) : le role User lui sera assigné.
• Enregistrez votre sélection en choissant "Assign"

Ouvrez l'étape 2. Set up single sign on afin de paramétrer l'authentification entre Azure AD et JPlatform.

• Utilisez le bouton "Upload metadata file"
• Choisissez le fichier de meta-données généré automatiquement par JPlatform, disponible dans WEB-INF/data/saml2/sp-metadata.xml
  Cette opération nécessite au préalable la configuration des informations suivantes du module SAML de JPlatform :
  • Entity ID
  • Certificats.
    Au premier démarrage de JPlatform avec le module SAML des certificats sont générés pour la signature et l'encryption. Cependant, la génération de certificats dédiés à la production (distinct pour la signature et le chiffrement) est préférable.
    Pour plus d'informations à ce sujet référez vous à la documentation  Module SAML - Documentation
• Cliquez sur le bouton "Add"

• Optionnel : Passez en revue la configuration actuelle (pour information)
• Appuyez sur le bouton "Save"

• Azure AD vous propose de tester l'authentification, cliquez sur "No I'll test later"

Expotez les metadonnées Azure AD pour configuration dans JPlatform :

• Option 1 à partir de l'URL (nécéssite le module SAML 2.2) :
  Dans la section 3, "SAML Signing Certificate" :
  
  • Sur le champ "App Federation Metadata Url", Cliquez sur le bouton "Copy to clipboard"
    
    
• Option 2 à partir du fichier de métadonnées :
  
  • Sur le champ "Federation Metadata", cliquez sur le bouton "Download" et
  • Enregistrez le fichier sur disque dans le répertoire WEB-INF/data/saml2/
    Donnez lui un nom parlant pour vous (exemple mytenant.azure-ad-metadata.xml)

Passez à l'étape suivante pour configurer ces métadonnées dans JPlatform

• Sur JPlatform, accédez aux propriétés du module SAML depuis l'espace d'administration
• Remplissez le champ "IdP - Chemin de fichier ou URL des metadata"
  • Soit avec l'URL copiée à l'étape précédente
  • Soit avec le chemin d'accès au fichier téléchargé à l'étape précédente

• Effacez la valeur du champ Nom de l'attribut (aka type de revendication) du login.
  De cette façon le module SAML utilisera la valeur du Name ID renvoyé par Azure AD comme login, par défaut il s'agit d'UPN de l'utilisateur.

• Saisissez la valeur suivante pour le champ "Format du NameID" :
  urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
  Cette valeur indique à Azure AD de renvoyer un NameID au format adresse e-mail (ce que Azure AD fait par défaut en renvoyant l'UPN de l'utilisateur).
• Enregistrez les réglages.

Si vous souhaitez synchroniser les utilisateurs à partir de Azure AD (disponible uniquement à partir du module SAML 2.2).

• Choisissez "Oui" sur l'option "Synchroniser les membres avec l'IdP"
  
• Remplissez les champs comme suit :
  • Attribut - E-mail : http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
  • Attribut - Nom : http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
  • Attribut - Prénom :  http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname
    Note : La capture d'écran omet volontairement d'autres champs présent dans l'interface par soucis de concision.
• Enregistrez les réglages.

Autrement, avec le module SAML 2.1, les membres doivent être :

• soit synchronisés à partir de l'annuaire LDAP (Active Directory). Dans ce cas, vous devez configurer l'annuaire LDAP (Azure Active Directory) dans JPlatform. Le mapping du login des Membre JPlatform doit utiliser le champ userPrincipalName de l'annuaire LDAP.
• soit pré-alimentés dans JPlatform en utilisant l'UPN comme login

La configuration est terminée, vous pouvez procédez à un test de connexion.