Authentification basée sur l’en-tête pour une authentification unique avec le proxy d’application et PingAccess

Microsoft s’est associé à PingAccess pour fournir d’autres applications d’accès. PingAccess offre une autre option au-delà de l’authentification unique intégrée basée sur l’en-tête.

Qu’est-ce que PingAccess pour Microsoft Entra ID ?

Avec PingAccess pour Microsoft Entra ID, vous donnez aux utilisateurs l’accès aux applications qui utilisent des en-têtes pour l’authentification et ils peuvent s’y connecter avec l’authentification unique (SSO). Proxy d’application traite ces applications comme n’importe quelle autre application, en utilisant Microsoft Entra ID pour authentifier l’accès, puis faire transiter le trafic via le service de connecteur. PingAccess est situé devant les applications et convertit le jeton d’accès issu de Microsoft Entra ID en en-tête. L’application reçoit alors l’authentification dans le format qu’elle peut lire.

Les utilisateurs ne voient aucune différence quand ils se connectent pour utiliser vos applications d’entreprise. Les applications fonctionnent toujours depuis n’importe quel emplacement et sur n’importe quel appareil. Les connecteurs de proxy d’application dirigent le trafic distant vers toutes les applications, quel que soit leur type d’authentification, si bien qu’ils continuent à équilibrer automatiquement les charges.

Comment puis-je avoir accès ?

Vous devez avoir une licence pour PingAccess et Microsoft Entra ID. Toutefois, les abonnements Microsoft Entra ID P1 ou P2 incluent une licence PingAccess de base qui couvre jusqu’à 20 applications. Si vous devez publier plus de 20 applications basées sur un en-tête, vous pouvez acheter d’autres licences auprès de PingAccess.

Pour plus d’informations, consultez les éditions De Microsoft Entra.

Publier votre application dans Microsoft Entra

Cet article décrit les étapes pour publier une application pour la première fois. Cet article fournit des conseils pour Proxy d’application et PingAccess.

Installer un connecteur de réseau privé

Le connecteur de réseau privé est un service Windows Server qui dirige le trafic de vos employés distants vers vos applications publiées. Pour obtenir des instructions d’installation plus détaillées, consultez Tutoriel : Ajouter une application locale pour l’accès à distance via le proxy d’application dans l’ID Microsoft Entra.

1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur d’application au moins.
2. Accédez à Entra ID>applications d'entreprise>proxy d'application.
3. Sélectionnez Téléchargez le service de connecteur.
4. Suivez les instructions d'installation.

Le téléchargement du connecteur doit activer automatiquement le proxy d’application pour votre répertoire, mais si ce n’est pas le cas, vous pouvez sélectionner Activer le proxy d’application.

Ajouter votre application à Microsoft Entra ID avec Proxy d’application

Il existe deux étapes pour ajouter votre application à Microsoft Entra ID. Tout d’abord, vous devez publier votre application avec Proxy d’application. Ensuite, vous devez collecter certaines informations sur l’application que vous pouvez utiliser pendant les étapes PingAccess.

Publication de votre application

Publiez en premier votre application. Cette action implique :

• Ajout de votre application locale à Microsoft Entra ID.
• Affectation d’un utilisateur pour tester l’application et choisir l’authentification unique basée sur l’en-tête.
• Configuration de l’URL de redirection de l’application.
• Octroi d’autorisations pour les utilisateurs et d’autres applications pour qu’ils utilisent votre application locale.

Pour publier votre propre application en local :

1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur d’application.

2. Accédez aux applications >Nouvelle application>Ajouter une application locale. La page Ajouter votre propre application locale s’affiche.

   

3. Remplissez les champs requis avec les informations relatives à votre nouvelle application. Utilisez les conseils pour les paramètres.

   Remarque

   Pour obtenir une procédure pas à pas plus détaillée de cette étape, consultez Ajouter une application locale à l’ID Microsoft Entra.

   1. URL interne : Normalement, vous fournissez l’URL qui vous dirige vers la page de connexion de l’application lorsque vous êtes sur le réseau d’entreprise. Pour ce scénario, le connecteur doit traiter le proxy PingAccess en tant que première page de l’application. Utilisez le format suivant : https://<host name of your PingAccess server>:<port>. Le port par défaut est 3000, mais vous pouvez le configurer dans PingAccess.

      Avertissement

      Pour ce type d’authentification unique, l’URL interne doit utiliser https et non http. En outre, deux applications ne doivent pas avoir la même URL interne afin que Proxy d’application puisse maintenir une distinction entre les deux.

   2. Méthode de pré-authentification : choisissez l’ID Microsoft Entra.

   3. Traduire l’URL dans les en-têtes : choisissez Non.

   Remarque

   Pour la première application, utilisez le port 3000 pour démarrer et revenir à la mise à jour de ce paramètre si vous modifiez votre configuration PingAccess. Pour les applications suivantes, le port doit correspondre à l’écouteur configuré dans PingAccess.

4. Sélectionnez Ajouter. La page de vue d’ensemble de la nouvelle application s’affiche.

À présent, affectez un utilisateur pour le test de l’application et choisissez l’authentification unique basée sur l’en-tête :

1. Dans la barre latérale de l’application, sélectionnez Utilisateurs et groupes>Ajouter des utilisateurs>et des groupes (<Nombre> sélectionné). La liste des utilisateurs et des groupes apparaît pour que vous en choisissiez un membre.

   

2. Sélectionnez un utilisateur pour les tests d’application, puis sélectionnez Sélectionner. Vérifiez que le compte de test a accès à l’application locale.

3. Sélectionnez Affecter.

4. Dans la barre latérale de l’application, sélectionnez Authentification unique>Basé sur l'en-tête.

   Conseil

   Installez PingAccess la première fois que vous utilisez l’authentification unique basée sur l’en-tête. Pour vous assurer que votre abonnement Microsoft Entra est automatiquement associé à votre installation pingAccess, utilisez le lien sur la page d’authentification unique pour télécharger PingAccess. Vous pouvez ouvrir le site de téléchargement maintenant ou revenir sur cette page ultérieurement.

   

5. Sélectionnez Enregistrer.

Ensuite, vérifiez que votre URL de redirection est définie sur votre URL externe :

1. Accédez à Entra ID>Inscriptions d’application et sélectionnez votre application.
2. Sélectionnez le lien en regard des URI de redirection. Le lien montre le nombre d’Uniform Resource Identifiers (URI) de redirection configurés pour les clients web et publics. La page <Nom de l’application> - Authentification s’affiche.
3. Vérifiez si l’URL externe que vous avez affectée à votre application précédemment figure dans la liste des URI de redirection . Si ce n’est pas le cas, ajoutez l’URL externe maintenant, à l’aide d’un type d’URI de redirection web, puis sélectionnez Enregistrer.

En plus de l’URL externe, un point de terminaison d’autorisation de Microsoft Entra ID sur l’URL externe doit être ajouté à la liste des URI de redirection.

https://*.msappproxy.net/pa/oidc/cb https://*.msappproxy.net/

Enfin, configurez l’application locale afin que les utilisateurs aient un accès read et les autres applications un accès read/write :

1. Dans la barre latérale inscriptions d’applications pour votre application, sélectionnez Autorisations d’API>Ajouter une autorisation>Microsoft API>Microsoft Graph. La page Demander des autorisations d’API pour Microsoft Graph s’affiche, qui contient les autorisations pour Microsoft Graph.

   

2. Sélectionnez Autorisations déléguées>Utilisateur>User.Read.

3. Sélectionnez permissions de l'application>Application>Application.ReadWrite.All.

4. Sélectionnez Ajouter des autorisations.

5. Dans la page Autorisations de l’API, sélectionnez Accorder le consentement de l’administrateur pour <votre nom> d’annuaire.

Collecter les informations pour la procédure PingAccess

Collectez trois identificateurs uniques (GUID) globalement. Utilisez les GUID pour configurer votre application avec PingAccess.

Pour collecter ces informations :

1. Accédez à Entra ID>Inscriptions d’application et sélectionnez votre application.

2. À côté de la valeur ID d’application (client), sélectionnez l’icône Copier dans le Presse-papiers, puis copiez et enregistrez-le. Vous allez spécifier cette valeur ultérieurement en tant qu’ID client de PingAccess.

3. Ensuite, à côté de la valeur ID d'annuaire (locataire), sélectionnez Copier dans le presse-papiers, puis copiez-la et enregistrez-la. Vous allez spécifier cette valeur ultérieurement en tant qu’émetteur de PingAccess.

4. Dans la barre latérale des inscriptions d’application pour votre application, sélectionnez Certificats et secrets>Nouveau secret client. La page Ajouter un secret client s’affiche.

   

5. Dans Description, tapez PingAccess key.

6. Sous Expire, choisissez comment définir la clé PingAccess : En 1 an, En 2 ans ou Jamais.

7. Sélectionnez Ajouter. La clé PingAccess apparaît dans la table des secrets clients, avec une chaîne aléatoire qui se remplit automatiquement dans le champ VALUE .

8. En regard du champ VALEUR de la clé PingAccess, sélectionnez l’icône Copier dans le Presse-papiers , puis copiez et enregistrez-la. Vous allez spécifier cette valeur ultérieurement en tant que secret client de PingAccess.

Mettez à jour le acceptMappedClaims champ :

1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur d’application au moins.
2. Sélectionnez votre nom d’utilisateur en haut à droite. Vérifiez que vous êtes connecté à un répertoire qui utilise le service Proxy d’application. Si vous devez modifier des répertoires , sélectionnez Changer de répertoire et choisissez un répertoire qui utilise le proxy d’application.
3. Accédez à Entra ID>Inscriptions d’application et sélectionnez votre application.
4. Dans la barre latérale de la page Inscriptions d’applications pour votre application, sélectionnez Manifeste. Le code JSON de manifeste pour l’inscription de votre application s’affiche.
5. Recherchez le champ acceptMappedClaims et remplacez la valeur par True.
6. Sélectionnez Enregistrer.

Utilisation de revendications facultatives (facultatif)

Les revendications facultatives vous permettent d’ajouter des revendications standard mais non incluses par défaut qu’ont tous les utilisateurs et locataires. Vous pouvez configurer des revendications facultatives pour votre application en modifiant le manifeste de l’application. Pour plus d’informations, consultez l’article Présentation du manifeste de l’application Microsoft Entra.

Exemple d’insertion d’adresse e-mail dans l’élément access_token que PingAccess consomme :

    "optionalClaims": {
        "idToken": [],
        "accessToken": [
            {
                "name": "email",
                "source": null,
                "essential": false,
                "additionalProperties": []
            }
        ],
        "saml2Token": []
    },

Utilisation d’une stratégie de mappage de revendications (facultatif)

Le mappage des revendications vous permet de migrer d’anciennes applications locales vers le cloud en ajoutant d’autres revendications personnalisées qui appuient vos objets utilisateur ou services de fédération Active Directory (AD FS). Pour plus d’informations, consultez Personnalisation des revendications.

Pour utiliser une revendication personnalisée et inclure d’autres champs dans votre application. Crée une stratégie de mappage de revendications personnalisée et l’affecte à l’application.

Exemple :

$pol = New-AzureADPolicy -Definition @('{"ClaimsMappingPolicy":{"Version":1,"IncludeBasicClaimSet":"true", "ClaimsSchema": [{"Source":"user","ID":"employeeid","JwtClaimType":"employeeid"}]}}') -DisplayName "AdditionalClaims" -Type "ClaimsMappingPolicy"

Add-AzureADServicePrincipalPolicy -Id "<<The object Id of the Enterprise Application you published in the previous step, which requires this claim>>" -RefObjectId $pol.Id

Activer PingAccess pour utiliser les revendications personnalisées

L’activation de PingAccess pour utiliser des revendications personnalisées est facultative, mais requise si vous pensez que l’application va consommer d’autres revendications.

Lorsque vous configurez PingAccess à l’étape suivante, la session web que vous créez (sessions Settings-Access-Web>>) doit avoir le profil de demande désélectionné et actualiser les attributs utilisateur définis sur Non.

Télécharger PingAccess et configurer votre application

La procédure détaillée concernant la partie PingAccess de ce scénario continue dans la documentation de Ping Identity.

Pour créer une connexion OpenID Connect (OIDC) avec l'ID de tenant Microsoft Entra, configurez un fournisseur de jetons avec la valeur d’ID de tenant (locataire) que vous avez copiée à partir du Centre d'administration de Microsoft Entra. Créez une session web sur PingAccess. Utilisez les valeurs de Application (client) ID et PingAccess key. Configurez le mappage d’identité et créer un hôte virtuel, le site et l’application.

Tester votre application

L’application fonctionne. Pour la tester, ouvrez un navigateur et accédez à l’URL externe que vous avez créée lors de la publication de l’application dans Microsoft Entra. Connectez-vous au compte test que vous avez attribué à l’application.

Étapes suivantes

• Authentification unique aux applications dans l’ID Microsoft Entra
• Résoudre les problèmes de proxy d’application et les messages d’erreur