Dans l’article de la semaine dernière, je vous ai présenté l’authentification unique (SSO) sur la plate-forme Acumatica Cloud ERP , permettant une expérience d’authentification utilisateur plus transparente pour les utilisateurs. J’ai fourni un traitement superficiel de Microsoft Active Directory & Azure Active Directory, en me concentrant sur les solutions de fournisseurs externes de Google et Microsoft plus en profondeur. Je suis entré dans un peu de détails sur la mise en œuvre des implémentations OAuth 2.0 de chaque entreprise. Je pense qu’il vaut la peine d’un post de suivi, revisiter et fournir plus de détails sur Azure Active Directory pour l’exhaustivité.
Comme je l’ai mentionné précédemment, vous pouvez facilement activer Active Directory de Microsoft, Azure Active Directory ou Live ID de Microsoft - ou les ID client OAuth 2.0 de Google avec peu d’effort.
J’ai permis à Google et à Microsoft en tant que fournisseurs externes permettant aux utilisateurs de se connecter à mon instance Acumatica ci-dessous - et j’ai ajouté Azure Active Directory. Ces trois éléments étant ajoutés, les utilisateurs qui se connectent au système verraient l’écran de connexion suivant dans la figure 1 ci-dessous.
Lorsque les utilisateurs choisissent l’un des fournisseurs externes, ils sont automatiquement redirigés vers la page de connexion du fournisseur d’identité sélectionné lorsqu’ils naviguent vers votre instance ERP Acumatica. De plus, vous pouvez afficher des formulaires ERP Acumatica sur vos autres sites Web. Par exemple, vous pouvez incorporer un lien vers l’écran Tâches (EP.40.40.00) dans la page Office 365 de votre entreprise pour afficher et accéder à votre liste de tâches ERP Acumatica directement dans Office 365.
Pour plus de détails sur l’intégration de Google ou LiveID, voir moi post précédent ici.
Intégration avec Microsoft Active Directory
Acumatica prend en charge l’intégration avec Microsoft Active Directory (AD) et Microsoft Azure Active Directory (Azure AD) pour fournir une gestion centralisée des utilisateurs et des accès. Une fois ces produits intégrés à Acumatica, les utilisateurs du domaine peuvent utiliser leurs informations d’identification de domaine pour se connecter au système.
En intégrant Acumatica Cloud ERP et Azure Active Directory (Azure AD), vos utilisateurs disposent d’une authentification unique dans toutes les applications. Les utilisateurs peuvent accéder à l’instance Acumatica ERP en fonction de leur compte d’organisation dans Azure AD. Les droits d’accès utilisateur dans Acumatica ERP se sont appliqués automatiquement, en fonction des règles de mappage prédéfinies entre les groupes Azure AD et les rôles Acumatica ERP.
En outre, vous pouvez configurer l’ouverture de session silencieuse. Avec l’ouverture de session silencieuse, les utilisateurs sont automatiquement redirigés vers l’écran d’ouverture de session Azure lorsqu’ils tentent d’accéder à l’instance Acumatica ERP. Vous pouvez configurer l’intégration avec Azure Active Directory lorsque vous implémentez Acumatica ERP ou à tout moment par la suite. Lorsqu’un utilisateur de domaine se joint à Acumatica, un compte d’utilisateur approprié est créé automatiquement dans Acumatica avec les zones de nom d’utilisateur et de mot de passe indisponibles et avec des rôles d’utilisateur appariés aux groupes de domaines AD.
Activation de Microsoft Active Directory
La première chose que vous devez faire pour activer Active Directory est de créer un compte d’utilisateur Active Directory qui dispose de droits de lecture dans l’ensemble de la forêt AD. Ce compte d’utilisateur doit avoir au moins des droits de lecture sur les propriétés suivantes définies dans le schéma Active Directory :
objectSid, distinguishedName, sAMAccountName, displayName, description, lastLogon, pwdLastSet, primaryGroupID et memberOf
.
Ensuite, vous devrez apporter quelques modifications au fichier Web.config de l’instance d’application que vous souhaitez intégrer à Active Directory :
<system.web>
<activeDirectory enabled=”true” path=”domain_path” dc=”domain_name”
user=”user_name” password=”user_password” />
</system.web>
Le paramètre path="domain_path » est requis et devrait être votre chemin de serveur d’AD. Le paramètre dc="domain_name » est facultatif et requis uniquement dans le cas où vous avez plusieurs domaines dans la forêt. Les informations d’identification du compte d’utilisateur appartiennent au compte d’utilisateur que vous avez créé à l’étape ci-dessus.
En passant, si vous intégrez Acumatica aux services de fédération Active Directory, vous devez également configurer l’authentification sensible aux revendications.
Après avoir activé Active Directory, vous devrez mapper des groupes Active Directory aux rôles d’utilisateur définis dans Acumatica ERP à l’aide du formulaire Rôles d’utilisateur (SM.20.10.05) - reportez-vous au besoin à la documentation d’aide appropriée de votre instance d’application. Notez que l’activation de l’intégration Active Directory n’affecte PAS le mécanisme d’autorisation et d’authentification standard d’Acumatica. Une fois l’intégration Active Directory activée, vous pouvez toujours créer des utilisateurs réguliers (non-AD) dans Acumatica.
Une fois ces étapes terminées, les utilisateurs du domaine peuvent se connecter à Acumatica à l’aide de leurs informations d’identification de domaine.
Activation de Microsoft Azure Active Directory
Vous pouvez configurer l’intégration avec Azure Active Directory lorsque vous implémentez Acumatica Enterprise Resource Planning (ERP) ou à tout moment après. Lorsqu’un utilisateur de domaine se connectez à Acumatica ERP, un compte d’utilisateur approprié est créé automatiquement dans Acumatica ERP avec les boîtes de nom d’utilisateur et de mot de passe indisponibles et avec des rôles d’utilisateur appariés aux groupes de domaines AD.
Utilisateurs locaux et de domaine
Une fois l’intégration configurée, certains employés auront à la fois des comptes d’utilisateurs locaux dans Acumatica ERP et un compte créé automatiquement pour ces employés en tant qu’utilisateurs du domaine. Vous pouvez supprimer les comptes locaux des employés qui n’effectuent aucune tâche d’administration et de configuration dans Acumatica ERP. Les stratégies de mot de passe qui sont en vigueur pour les utilisateurs locaux créés dans Acumatica ERP n’affectent pas les utilisateurs du domaine. Par exemple, un utilisateur connecté à Acumatica ERP en tant qu’utilisateur de domaine Active Directory ne pourra pas modifier le mot de passe à l’aide d’Acumatica ERP. Seules les stratégies de mot de passe de domaine affectent les utilisateurs du domaine.
Les nouveaux utilisateurs du domaine auront automatiquement le droit de se connecter à Acumatica ERP une fois qu’ils auront rejoint un domaine Active Directory. Leur appartenance aux rôles ERP D’Acumatica sera automatiquement mise à jour pour se conformer à l’appartenance de ces utilisateurs dans les groupes de domaines Active Directory. Si nécessaire, vous pouvez affecter les utilisateurs aux différents rôles ERP Acumatica indépendamment des groupes de domaines Active Directory à l’aide du formulaire Rôles d’utilisateur (SM.20.10.05) comme mentionné ci-dessus.
Pour Azure Active Directory, vous allez d’abord inscrire votre instance Acumatica ERP dans le portail Azure et obtenir les informations d’identification OAuth 2.0 et inscrire l’ID client et le secret client (mot de passe) que vous avez obtenus pour activer l’authentification unique avec Azure Active Directory. Ensuite, vous devrez mapper les groupes Azure AD aux rôles ERP Acumatica de la même manière que mentionné précédemment.
Pour commencer, il vous suffit d’aller à https://azure.microsoft.com. Voir la figure 2 ci-dessous. Si vous n’avez pas de compte Azure, vous pouvez commencer par un essai gratuit (1) et effectuer des tests initiaux. C’est ce que j’ai fait pour pouvoir tester et travailler sur l’intégration d’Azure Directory moi-même afin d’écrire à ce sujet ici. Notez qu’en ce moment, ils sont en transition vers un nouveau portail (2). Certaines des fonctionnalités avancées d’Azure ne sont disponibles que sur le nouveau portail.
Après avoir obtenu un compte, vous pouvez enregistrer l’instance Acumatica, configurer votre répertoire, etc. Vous trouverez ci-dessous le tableau de bord du nouveau portail Azure où vous gérez divers services et ressources. Cliquez simplement sur Azure Active Directory dans le panneau de gauche vers le bas (Figure 3), et vous pouvez commencer votre activation d’Azure AD.
Enregistrement de l’instance Acumatica auprès d’Azure AD
Outre la gestion de votre domaine AD via le portail, vous devrez enregistrer votre instance Acumatica particulière. Après avoir sélectionné Azure Active Directory dans le portail, l’écran suivant doit maintenant s’afficher de la même manière, comme illustré ci-dessous à la figure 4.
Sélectionnez maintenant Enregistrements d’applications sous GÉRER dans le volet gauche, comme indiqué ci-dessus. Tout d’abord, notez que j’ai deux demandes déjà enregistrées - Figure 5. Ceux-ci que j’ai créés plus tôt lors des tests / expériences avec mon implémentation il y a quelques semaines (1). Mais ajoutons un nouvel enregistrement (2), nomment l’instance de l’application et spécifions le type d’application et l’URL de signe (3). Notez que l’URL d’authentification est mon instance Acumatica particulière s’exécutant dans le cloud - pas mon instance locale. Contrairement à l’affaire LiveID de la publication de la semaine dernière, vous devrez avoir une instance Acumatica en cours d’exécution dans le cloud et accessible afin d’activer Azure AD avec votre instance Acumatica.
Après avoir ajouté et rempli les champs obligatoires, ci-dessus - cliquez sur Créer et votre inscription est presque terminée. Vous remarquerez maintenant que vous devrez créer des clés pour l’instance d’application formant votre secret ou votre mot de passe qui est généré automatiquement. Voir ci-dessous dans la figure 6.
L’écran ci-dessus est présenté après que le portail s’inscrit et génère l’ID d’application unique. Ce qui est montré dans le panneau du milieu à gauche (1). Cliquez sur l’application nouvellement enregistrée et le détail de l’instance (2) s’affichera et le panneau Paramètres - à l’extrême droite. Vous devrez maintenant sélectionner les clés (3) afin de générer votre secret / mot de passe.
Remplissez la description de la clé, sélectionnez Expiration (1), puis cliquez sur Enregistrer (2). À ce stade, votre valeur Secret sera affichée et vous devrez la copier immédiatement car lorsque vous vous déplacez du panneau Clés, elle ne sera plus visible. Si vous ne le faites pas, vous devrez supprimer votre instance et recommencer. Vous ne voulez pas faire ça.
D’accord, maintenant les dernières étapes d’activation et vous aurez terminé - si tout est configuré correctement et que vous avez correctement toutes les pièces en place.
Configuration de votre instance ERP Acumatica
The matter remaining is adding the necessary web.config settings and testing. After you have obtained the required credentials from Azure AD portal, you have to register these credentials in your Acumatica ERP instance. Modify the Acumatica instance’s web.config by opening the file from the site’s instance location. The file is usually located in %Program Files%\ Acumatica ERP\<instance name>, where <instance name> is the name of the application instance website. Next, enable Azure AD integration byt adding the following parameters shown below in the ActiveDirectory section located under <system.web> of the web.config file:
<activeDirectory enabled=”true” protocol=”ADAL”
path=”tenant id@OnMicrosoft.com”
user=”application id”
password=”application secret“/>
Pour clarifier, votre identifiant de locataire est votre domaine (dans mon cas, il est acumatica@OnMicrosoft.com.) L’utilisateur et le mot de passe sont ce que vous avez enregistré dans le processus d’inscription que nous avons traversé ci-dessus.
Ensuite, dans la section System.identityModel du fichier web.config, ajoutez une référence à votre instance ERP Acumatica, comme indiqué ci-dessous.
<system.identityModel>
<identityConfiguration>…
…
<audienceUris>
<add value=”Acumatica instance URL” />
</audienceUris>
…
</identityConfiguration>
</system.identityModel>
Maintenant, ajoutez les références suivantes à la section System.identityModel.services du web.config, comme indiqué ci-dessous :
<system.identityModel.services>
<federationConfiguration>
<wsFederation passiveRedirectEnabled=”false”
issuer=”https://login.windows.net/tenant id.onmicrosoft.com/wsfed”
realm=”Acumatica instance URL”
requireHttps=”false” PersistentCookiesOnPassiveRedirects=”false” />
</federationConfiguration>
</system.identityModel.services>
Encore une fois, l’id de locataire est votre domaine comme mentionné ci-dessus. Après avoir terminé avec les configurations ci-dessus, sauvegardez le fichier web.config. Maintenant que vous avez terminé d’activer Azure Active Directory, vous devez mapper les groupes Azure AD aux rôles de votre instance Acumatica ERP. Cela a été décrit ci-dessus précédemment dans la section Microsoft Active Directory.
Enfin, vous pouvez exécuter votre instance d’Acumatica et vous verrez également que la page de connexion acumatica affichera une icône Azure AD comme indiqué ci-dessous dans la figure 8.
Après avoir cliqué sur l’icône Azure AD, ci-dessus... Dans Acumatica et heureux comme une palourde – Figure 9, ci-dessous.
Résumé
Alors que les systèmes logiciels continuent de proliférer pour prendre en charge les processus métier, les utilisateurs sont confrontés à devoir se souvenir d’un ensemble croissant d’informations d’identification. Les utilisateurs se connectent généralement à de nombreux systèmes, chacun impliquant souvent des noms d’utilisateur et des informations d’authentification différents. Les administrateurs sont confrontés à la gestion des comptes d’utilisateurs pour chaque système auquel accèdent leurs utilisateurs, qui doivent être coordonnés pour maintenir l’intégrité de l’application de la stratégie de sécurité d’une organisation.
Voici quelques-uns des avantages à prendre en compte pour la mise en œuvre de l’authentification unique :
- Amélioration de la sécurité grâce au fait que les utilisateurs n’ont pas à se souvenir de plusieurs ensembles d’informations d’identification.
- Réduire le temps de connexion aux systèmes à des domaines individuels , en tenant compte des connexions échouées en raison de trous de mémoire.
- Réduction des coûts informatiques en raison de la réduction du nombre d’appels au support technique informatique pour les réinitialisations de mot de passe.
- Commodité de l’utilisateur et utilisateurs satisfaits
Cela complète notre discussion sur le SSO pour l’instant. Au fur et à mesure que le paysage continue de se développer, nous reviendrons sur le sujet et aurons plus de connaissances à vous transmettre / transférer - que nous espérons que vous trouverez opportunes et informatives - vous aidant à utiliser notre plate-forme technologique pour résoudre vos défis commerciaux et réduire vos coûts d’exploitation - a gagné des inefficacités et des agilités.