Ajouter l'application SNS dans votre tenant Microsoft Entra ID

Connectez-vous au centre d'administration Microsoft Entra ID puis accédez au menu Identité > Applications > Inscriptions d'applications.

Créer l'application SNS au sein du tenant Microsoft Entra ID

  1. Accédez au menu Identité > Applications > Inscriptions d'applications.
  2. Cliquez sur Nouvelle inscription.
  3. Nommez l'application (exemple : SNS Connector).
  4. Dans la rubrique Types de comptes pris en charge, sélectionnez impérativement Comptes dans cet annuaire d'organisation uniquement.
  5. Pour l'URI de redirection, sélectionnez le type Web ainsi qu'une première URI de redirection sous l'une des formes suivantes :
    • Portail captif : https://<firewall_fqdn>/auth/v1/oidc/token/portal
    • VPN SSL : https://<firewall_fqdn>/auth/v1/oidc/token/sslvpn
    • Interface Web d'administration : https://<firewall_fqdn>/auth/v1/oidc/token/webadmin
      • NOTE
      Vous devez saisir une première URI de redirection pour toute nouvelle application.
  6. Cliquez sur S'inscrire.

Ajouter des URI de redirection supplémentaires à votre application (optionnel)

Si vous souhaitez ajouter à votre application d'autres URI de redirection pour accéder à des services supplémentaires :

  1. Dans le cadre Bases, cliquez sur le lien vers les URI de redirection de type Web.
  2. Dans le cadre Web, saisissez l'URI sous l'une des formes suivantes :
    • Portail captif : https://<firewall_fqdn>/auth/v1/oidc/token/portal
    • VPN SSL : https://<firewall_fqdn>/auth/v1/oidc/token/sslvpn
    • Interface Web d'administration : https://<firewall_fqdn>/auth/v1/oidc/token/webadmin
  3. Cliquez sur Ajouter une URI pour définir une URI supplémentaire.
  4. Cliquez sur Enregistrer pour valider votre configuration.

Créer un secret client pour l'application

Cette opération consiste à générer un secret qui sera renseigné sur le firewall SNS pour l'autoriser à accéder à l'application.

  1. Dans le menu Certificats & secrets > onglet Secrets client, cliquez sur Nouveau secret client.
  2. Saisissez une description et sélectionnez une Date d'expiration du secret.
    La valeur proposée par défaut est de 6 mois (180 jours).
  3. Validez.
    Le secret apparaît dans la liste.
    4. IMPORTANT
    Cliquez sur l’icône Copier dans le Presse-papier à côté de la valeur du secret et conservez cette dernière en attendant de l'ajouter dans la configuration Entra ID du firewall.
    En effet, ce secret n'est plus affichable dès lors que vous quittez ce module Microsoft Entra ID.
    Si vous avez oublié de copier le secret avant de quitter ce module, vous devrez en recréer un nouveau.

Créer un jeton d'application contenant les revendications nécessaires

Lorsque l'utilisateur s'authentifie sur Microsoft Entra ID, le firewall reçoit un jeton comprenant le nom de l'utilisateur, les groupes auxquels il appartient ainsi que les rôles applicatifs qui lui ont été attribués (optionnel) afin de déterminer les autorisations des utilisateurs.

  1. Dans le menu Configuration du jeton, cliquez sur Ajouter une revendication facultative.
  2. Sélectionnez le jeton ID.
    La liste des revendications apparaît.
  3. Cochez la case preferred_username.
    Cela permet d'inclure dans le jeton les informations d'identité (Nom - Prénom) de l'utilisateur.
  4. Cliquez sur Ajouter.
  5. Cliquez sur Ajouter une revendication de groupe.
  6. Cochez la case Groupes de sécurité.
  7. Vérifiez que l'ID associée à ce jeton est positionnée sur ID de groupe.
    Cela permet d'inclure dans le jeton la liste des groupes auxquels appartient l'utilisateur. Notez que pour les licences gratuites, cette option se limite aux 200 premiers groupes auxquels l'utilisateur appartient.
    8. NOTE
    Il est possible de limiter le nombre de groupes à inclure dans le jeton aux groupes concernés par l'application en cochant l'option Groupes affectés à l'application (recommandé pour les grandes entreprises pour ne pas dépasser la limite du nombre de groupes qu'un jeton peut émettre). Cette option n'est présente que pour une licence payante de type P1.

Accorder à l'application un consentement d'administrateur pour l'ensemble du tenant

Lorsqu'un utilisateur se connecte pour la première fois à Microsoft Entra ID, il lui est demandé de consentir à partager les informations de type <preferred_username> à l'application. L'administrateur du tenant peut donner un consentement général pour l'ensemble des utilisateurs de ce tenant.

  1. Dans le menu Sécurité > Autorisations, cliquez sur Accorder un consentement d'administrateur pour (Grant admin consent for) <nom_de_l_application>.
    Une fenêtre demandant d'accepter les autorisations est affichée.
  2. Cliquez sur Accepter.

Créer des rôles applicatifs et les attribuer aux utilisateurs du tenant Microsoft Entra ID (optionnel)

Il est possible de définir des rôles applicatifs pour accorder des droits d'accès spécifiques aux utilisateurs. Par exemple : autoriser un utilisateur à accéder à la configuration du firewall en lecture seule ou en lecture / écriture, autoriser un utilisateur à parrainer ( plus d'informations sur la fonctionnalité de parrainage dans le Manuel Utilisateur SNS), accorder à un utilisateur le droit d'établir un tunnel VPN SSL ...

Quatre rôles applicatifs existent par défaut dans le firewall :

  • Administrators : accès en lecture / écriture à l'interface Web d'administration du firewall.
  • Auditors : accès en lecture seule à l'interface Web d'administration du firewall.
  • Sponsors : droit à parrainer des utilisateurs temporaires.
  • VPNSSL users : droit à établir un tunnel VPN SSL avec le firewall.

IMPORTANT
Si vous choisissez d'utiliser des rôles applicatifs pour les autorisations, ils doivent disposer d'un UID identique dans le tenant Microsoft Entra ID et sur le firewall SNS utilisant l'authentification OIDC / Microsoft Entra ID (exemple : SNS.Config.All.Write ou SNS.VPNSSL).
La configuration des rôles applicatifs sur le firewall est abordée dans la section Configurer le firewall pour l'authentification OIDC / Microsoft Entra ID.

  1. Précisez le Nom d'affichage du rôle.
  2. Cochez la case Utilisateurs/Groupes.
  3. Dans le champ Valeur, indiquez les droits attribués au travers de ce rôle sous la forme d'une suite de droits SNS (exemple : SNS.Config.All.Write ou SNS.VPNSSL).
  4. Cochez la case Voulez-vous activer ce rôle d'application ? si vous souhaitez pouvoir utiliser ce rôle dans votre application Microsoft Entra ID.
  5. Répétez les étapes 2 à 7 pour créer l'ensemble des rôles souhaités.