Passer au contenu principal

Activer le SSO (Azure AD / ADFS / SAML / OIDC)

Intégrer l’authentification SSO d’entreprise à Hamilton Apps via SAML 2.0 ou OpenID Connect (OIDC). Cette fiche couvre les pré‑requis, le paramétrage IdP (Azure AD, ADFS, IdP SAML générique), le paramétrage applicatif, la sécurité et les tests.

Mis à jour il y a plus de 2 mois

1) Choisir le mode SSO

  • Azure AD (recommandé) : OIDC ou SAML via login.microsoftonline.com.

  • ADFS on‑prem : SAML 2.0 (Relying Party Trust).

  • IdP SAML générique : compatible SAML 2.0 (Okta/OneLogin/Keycloak, etc.).

L’authentification LDAP/LDAPS peut être utilisée pour des besoins internes mais n’est pas du SSO fédéré.

2) Pré‑requis

  • Un compte admin IdP (Azure AD / ADFS / autre IdP SAML).

  • Les informations de confiance de l’application Hamilton Apps : EntityID / ACS (SAML) ou Redirect URI/Client ID (OIDC), fournis lors du cadrage.

  • Un certificat de signature (SAML) émis par votre IdP.

  • Un compte de test dans votre annuaire (UPN/e‑mail valide).

  • Ouvertures réseau : HTTPS 443 vers l’IdP (voir Matrice des flux réseau / Connexions sortantes).

3) Paramétrage côté IdP

Azure AD (OIDC)

  1. Créer une App Registration (type application web).

  2. Renseigner la Redirect URI fournie par Hamilton Apps.

  3. Relever Tenant ID et Client ID ; créer un secret client et planifier sa rotation.

  4. Exposer les claims standards : email, given_name, family_name (ou équivalents) ; groups si vous pilotez l’éligibilité par groupes.

ADFS (SAML 2.0)

  1. Créer un Relying Party Trust : importer les metadata applicatives (EntityID/ACS) si disponibles.

  2. Signature des assertions activée.

  3. Règles de revendications : émettre NameID (format emailAddress ou UPN) et les attributs Email, GivenName, Surname (et Group optionnel).

IdP SAML générique

  • Importer les metadata applicatives, activer la signature, publier les claims : identifiant, e‑mail, prénom, nom (+ groupes facultatifs).

4) Paramétrage côté Hamilton Apps

  • Saisir les valeurs IdP (URL d’auth, metadata, certificat SAML ou Issuer/Client ID/Secret OIDC, Redirect URI).

  • Définir la revendication d’identifiant : e‑mail ou UPN (recommandé : e‑mail/UPN unique).

  • Mapper les attributs (e‑mail, prénom, nom).

  • Option : utiliser les groupes pour restreindre l’accès à des populations (si pris en charge par votre politique interne).

  • Conserver un compte admin local de secours (hors SSO) pour l’exploitation.

5) Sécurité & bonnes pratiques

  • TLS 1.2+ partout ; certificats valides (chaîne complète).

  • Horloge NTP synchronisée (sinon erreurs de jeton/horodatage).

  • Rotations : secrets OIDC et certificats SAML (inventaire + alertes d’expiration).

  • Moindre privilège : accès d’administration restreint (VPN/IP autorisées).

  • Journaux : activer la journalisation des échecs/réussites d’auth (sans exposer de secrets).

6) Tests & validation (checklist)

  • Redirection vers l’IdP fonctionne (pas d’erreur 404/redirect URI).

  • Authentification réussie avec un compte de test.

  • Attributs reçus conformes (e‑mail, prénom, nom, groupes si utilisés).

  • Accès à l’application attribué selon la politique interne.

  • Scénario d’échec contrôlé (compte non autorisé).

  • Compte admin local vérifié (porte de secours).

7) Dépannage rapide

  • invalid_client / unauthorized_client : vérifier Client ID/Secret (OIDC) et la Redirect URI.

  • invalid_audience / issuer : EntityID/Issuer non correspondants entre IdP et appli.

  • signature invalid : certificat SAML expiré ou metadata non à jour.

  • Aucun e‑mail/UPN : ajouter la revendication côté IdP.

  • Horloge décalée : synchroniser NTP sur les serveurs.

Liens croisés

  • Microsoft 365 / Exchange Online → intégration Graph & consentements.

  • Chiffrement & secrets → gestion des certificats et secrets OIDC.

  • Matrice des flux réseau / Connexions sortanteslogin.microsoftonline.com/IdP en 443.

  • Observabilité & administration → journaux d’auth, supervision.

Articles connexes
Authentification & SSO (Paramétrage Admin)
Intégrations transverses
FAQ Administrateur
Avez-vous trouvé la réponse à votre question ?