Configurer une authentification unique confidentielle et un provisionnement avec Azure (identifiant Entra)

Étape 1 : Enregistrer une nouvelle application dans Azure

1. Ouvrez Azure Portal et connectez-vous à l'aide de vos informations d'administrateur.
2. Dans la section Services Azure, recherchez et sélectionnez Applications d'entreprise. Si les applications d'entreprise ne sont pas répertoriées, vous pouvez utiliser la recherche.

   

3. Sélectionnez + Nouvelle application en haut de la page.

   

4. Sélectionnez Créer votre propre application et donnez-lui un nom pertinent, comme « Arrow SSO ». Sélectionnez ensuite l'option : Intégrez toute autre application que vous ne trouvez pas dans la galerie.
5. Sélectionnez Créer.

   

Étape 2 : Configurer Azure pour le SSO SAML

1. Dans la nouvelle application créée à l'étape 1, sélectionnez Authentification unique dans le menu de gauche, puis sélectionnez SAML.

   

2. Sélectionnez Modifier la configuration SAML de base.

   

3. Saisissez ces deux éléments, puis enregistrez :
   • Identifiant (identifiant de l'entité) : dashlane-nitro-sso
   • URL de réponse (URL du service aux consommateurs d'assertion) : https://sso.nitro.dashlane.com/saml/callback

   

Étape 3 : Téléchargez les métadonnées Azure

1. Téléchargez le fichier XML des métadonnées de la fédération dans la section des certificats SAML.

   

2. Ouvrez le code XML des métadonnées de la fédération dans le Bloc-notes ou dans un éditeur de texte brut et copiez l'intégralité du fichier XML dans votre presse-papiers. N'ouvrez pas le XML dans Safari, car cela pourrait altérer le format du XML lors de la copie.

   

Étape 4 : Configurer Arrow avec les métadonnées Azure

1. Connectez-vous à la console d'administration
2. Dans la section Intégrations du menu de gauche, sélectionnez Authentification unique. Si vous avez déjà commencé la configuration, sélectionnez Modifier. Sinon, sélectionnez Configurer un SSO confidentiel.

   

3. Passez à l'étape 2 : enregistrez les métadonnées de votre IdP et collez celles que vous avez copiées précédemment.
4. Sélectionnez Enregistrer.

   

Étape 5 : Vérifiez votre domaine auprès de DNS Provider

1. À l'étape 3 : Vérifiez vos domaines dans l'Admin Console, saisissez le domaine e-mail de votre entreprise et sélectionnez Vérifier le domaine. Notez les boutons de copie que vous utiliserez pour copier le nom d'hôte et les valeurs TXT sur votre fournisseur DNS public.

   

2. Dans un nouvel onglet de navigateur, accédez à votre fournisseur DNS public et ajoutez un enregistrement TXT. Les étapes exactes varient en fonction de votre fournisseur.

   

3. Collez le nom d'hôte et la valeur TXT de la console d'administration Arrow dans le nouvel enregistrement TXT, puis sélectionnez Enregistrer.

   

4. Après avoir saisi l'enregistrement, attendez quelques minutes, puis dans la console d'administration Arrow, sélectionnez Vérifier le domaine.

   

(Facultatif) Approvisionnement juste à temps

Vous pouvez activer Just In Time Provisioning pour ajouter automatiquement n'importe quel employé possédant vos domaines vérifiés lors de sa première tentative de connexion.

Avant d'activer le provisionnement juste à temps, assurez-vous que les membres de votre plan ont déjà été ajoutés à l'application Arrow SAML de votre IdP.

Une fois que vous l'avez activée, ils peuvent installer l'extension Arrow Smart et créer leur compte.

S'il n'y a plus de places dans votre forfait, les membres ne pourront pas se connecter tant que vous n'aurez pas acheté de places supplémentaires.

Si vous utilisez Just in Time Provisioning en même temps qu'une autre méthode de provisionnement automatique telle que SCIM ou AD Sync, assurez-vous d'ajouter tous les membres de votre plan à vos groupes synchronisés. Sinon, les membres du plan qui ne sont pas ajoutés aux groupes synchronisés seront supprimés lors de la prochaine synchronisation de l'annuaire.

En savoir plus sur Just in Time Provisioning

Étape 6 : Attribuer des utilisateurs et des groupes dans Azure

1. Ouvrez Azure Portal et connectez-vous à l'aide de vos informations d'administrateur.
2. Accédez à votre application Arrow Enterprise et sélectionnez Utilisateurs et groupes.

   

3. Pour attribuer des utilisateurs à votre application Arrow SAML, sélectionnez +Ajouter un utilisateur/un groupe.

Étape 7 : Testez votre configuration SSO

1. Retournez à la console d'administration Arrow et testez la connexion.
2. Un message de réussite s'affiche si le SSO a été configuré comme prévu.

   

Étape 8 : Activez le SSO pour tous les utilisateurs

1. Une fois les tests réussis, activez le SSO dans Arrow Étape 4 : Activer le SSO pour les domaines vérifiés.
2. Informer les utilisateurs de la nouvelle méthode de connexion SSO. Les utilisateurs dont le compte a été créé avec un mot de passe principal doivent se connecter une dernière fois avec ce mot de passe principal avant d'activer le SSO. Pour savoir comment fonctionne le processus pour les utilisateurs, consultez cet article :

   Migrez les membres existants de votre plan vers le SSO

3. Assurez-vous que les utilisateurs peuvent se connecter à l'aide de leurs informations d'identification Microsoft.

   

Étape 1 : Générez un jeton d'API SCIM dans Arrow

1. Connectez-vous à la console d'administration
2. Dans la section Intégrations, sélectionnez Approvisionnement puis Approvisionnement confidentiel.
3. Sélectionnez Configurer ou Modifier si vous avez déjà commencé la configuration.

   

   Si cette option est grisée et n'est pas disponible, soit vous devez d'abord configurer le SSO confidentiel, soit vous avez déjà configuré le SSO auto-hébergé, le SCIM ou Active Directory.

4. À l'étape 1 : Générer un jeton d'API SCIM, sélectionnez Générer un jeton.
5. Copiez le jeton de l'API SCIM à l'étape 2 : Copier le jeton.
6. Activez le bouton pour l'étape 3 : activer le provisionnement automatique des utilisateurs.

   

Étape 2 : Configurer le jeton d'API SCIM dans Azure

1. Dans la section Azure Serviced, recherchez et sélectionnez Applications d'entreprise. Si les applications d'entreprise ne sont pas répertoriées, vous pouvez utiliser la recherche.
2. Trouvez et ouvrez l'application Arrow.

   

3. Dans le menu de gauche, sélectionnez Provisioning, puis Commencer.

   

4. Réglez le mode d'approvisionnement sur Automatique.
5. Collez le jeton d'API SCIM sous le jeton secret.
6. Copiez la valeur du point de terminaison depuis l'Admin Console et collez-la sous l'URL de Tenent.
7. Testez la connexion pour vous assurer qu'elle fonctionne et sélectionnez Enregistrer.

   

8. Dans Attribute Mappings, passez en revue les paramètres par défaut.
9. Pour approvisionner les groupes Azure Active Directory, définissez Non pour Activé et enregistrez.

Étape 3 : Commencer l'approvisionnement

1. Sélectionnez Provisioning dans le menu de gauche.
2. Commencez à approvisionner.

Étape 1 : Configurer le provisionnement de groupe avec SAML dans Azure

1. Ouvrez l'application Arrow Enterprise sur Azure et sélectionnez Authentification unique.
2. Sélectionnez Modifier pour Attributs et réclamations.

   

3. Sélectionnez + Ajouter une réclamation collective.

   

4. Sélectionnez les groupes affectés à l'application.
5. Dans la liste déroulante de l'attribut Source, sélectionnez SamaAccountName.
6. Cochez la case : Émettre un nom de groupe pour les groupes réservés au cloud.

   

7. Développez les options avancées et sélectionnez Personnaliser le nom de la réclamation collective.
8. Dans le champ Nom, ajoutez « DashlaneSharingGroups » et sélectionnez Enregistrer.

   

Étape 2 : Configurer l'approvisionnement de groupe avec SAML dans Arrow

1. Connectez-vous à la console d'administration Arrow
2. Accédez à Intégration, sélectionnez Paramètres d'approvisionnement dans la section Intégrations, puis sélectionnez Approvisionnement confidentiel.
3. Sélectionnez Configurer ou Modifier si vous avez déjà commencé la configuration.

   

4. Accédez à la section Approvisionnement des groupes vers le bas.
5. Activez le provisionnement des groupes à l'étape 2 : activez la synchronisation des groupes.

   

(SSO) Renouveler un certificat de signature SAML pour l'application d'entreprise Arrow

1. Dans un nouvel onglet de navigateur, ouvrez le portail Azure et recherchez ou sélectionnez Applications d'entreprise.
2. Sélectionnez votre application Arrow dans la liste des applications.
3. Sélectionnez Authentification unique dans le menu.
4. Sélectionnez Modifier les certificats SAML, puis sélectionnez Nouveau certificat.
5. Un nouveau certificat apparaît dans la liste avec le statut.
6. Sélectionnez Enregistrer. Une notification apparaît indiquant que votre certificat a été mis à jour, et le statut du nouveau certificat passera à « Inactif ».
7. Sélectionnez le menu à 3 points pour le nouveau certificat « inactif », sélectionnez Rendre le certificat actif, puis sélectionnez Oui pour confirmer.
8. Sélectionnez le menu à 3 points pour le certificat « Inactif », sélectionnez Supprimer le certificat, puis sélectionnez Oui pour confirmer. Une notification apparaît indiquant que votre certificat a été supprimé.
9. Retournez à la page d'authentification unique et fermez les fenêtres contextuelles. Accédez aux certificats SAML et sélectionnez Télécharger pour le XML des métadonnées de la fédération.
10. Ouvrez le fichier téléchargé dans un éditeur de texte, sélectionnez tout le texte et copiez-le dans votre presse-papiers.
11. Sélectionnez l'icône Flèche D dans la barre d'outils de votre navigateur et saisissez votre mot de passe principal administrateur si vous y êtes invitée. Dans la fenêtre contextuelle de l'extension, sélectionnez Plus, puis ouvrez la console d'administration.
12. Dans la section Intégrations du menu latéral, sélectionnez Authentification unique, puis Modifier l'authentification unique confidentielle.
13. Sélectionnez Modifier pour les paramètres SSO.
14. Facultatif : copiez et enregistrez le texte dans la zone de texte Ajouter les métadonnées du fournisseur d'identité pour vos dossiers.
15. Supprimez ensuite tout ce texte et collez le texte que vous avez copié tout à l'heure.
16. Sélectionnez Enregistrer les modifications.

    Si les métadonnées contiennent plusieurs certificats, la console d'administration Arrow affiche un message d'erreur. Si une erreur apparaît lors de l'enregistrement des nouvelles métadonnées, vérifiez que vous avez supprimé le certificat inactif à l'étape 8.

17. Sélectionnez Tester la connexion SSO pour vérifier que la mise à jour a été effectuée avec succès.
18. Demandez à un membre de l'équipe de tester le login.

Après avoir renouvelé votre certificat, testez la connexion en demandant à un membre du forfait de se connecter.

(SSO) Message d'erreur : AADSTS700016

L'application portant l'identifiant https://domain-sso.azurewebsites.net/saml n'a pas été trouvée dans le domaine de l'annuaire. Cela peut se produire si l'application doit encore être installée par l'administrateur du locataire ou, par conséquent, par n'importe quel utilisateur du locataire. Vous avez peut-être envoyé votre demande d'authentification au mauvais locataire.

1. Ouvrez Azure Portal avec votre compte administrateur.
2. Consultez l'application Arrow Enterprise pour vous assurer que l'identifiant de l'entité et l'URL ACS sont identiques à ceux de la console d'administration Arrow.

(SSO) Message d'erreur : AADSTS50105

Votre administrateur a configuré l'application Arrow (code de l'application) pour bloquer les utilisateurs à moins que l'accès à l'application ne leur soit spécifiquement accordé (« assigné »). L'utilisateur connecté est bloqué parce qu'il n'est pas membre direct d'un groupe dont l'accès n'a pas été attribué directement par un administrateur. Veuillez contacter votre administrateur pour lui attribuer l'accès à cette application.

Comment y remédier

1. Connectez-vous à Azure Portal avec votre compte administrateur.
2. Consultez les utilisateurs et les groupes de l'application Arrow Enterprise : ajoutez les utilisateurs auxquels vous souhaitez accéder à Arrow par SSO.
3. Testez à nouveau la connexion.
4. Si cela ne fonctionne toujours pas, testez la connexion SSO depuis un autre profil de navigateur afin qu'elle ne soit pas synchronisée avec votre compte administrateur afin d'exclure tout problème de profil de navigateur.

(SCIM) Message d'erreur : une réponse HTTP/404 introuvable a été renvoyée au lieu de la réponse HTTP/200 OK attendue

Vous semblez avoir saisi des informations d'identification non valides. Veuillez confirmer que vous utilisez les bonnes informations pour un compte administratif.

Comment y remédier

1. Vérifiez que vous avez activé le bouton à bascule Activer le provisionnement automatique des utilisateurs dans Arrow Admin Console.
2. Retournez à l'application Azure Arrow Enterprise et testez à nouveau la connexion.

Si vous sélectionnez « régénérer le jeton », vous devrez le mettre à jour dans Azure.

(SSO) Message d'erreur : nous n'avons pas pu vérifier votre connexion SSO

Erreur lors du test de connexion avec Arrow dans la console d'administration. Cette erreur peut également s'afficher lorsque vous essayez d'enregistrer les métadonnées.

Comment y remédier

• Vérifiez que vous ouvrez la console d'administration et que vous vous y connectez depuis l'extension Arrow Smart.

  Installez l'extension Arrow Smart

• Si le portail d'administration de votre IdP est ouvert, déconnectez-vous de votre compte administrateur sur Azure et fermez l'onglet du navigateur avant de tester à nouveau la connexion avec Arrow.

(SSO) Changement de nom d'utilisateur (UPN) dans Arrow

Pour que les membres de votre équipe puissent se connecter à leurs comptes, leur UPN (nom d'utilisateur principal) auprès de votre fournisseur d'identité doit correspondre à leur identifiant Arrow (les adresses e-mail que vous voyez dans la console d'administration). Vous ne devriez mettre à jour leur UPN avec la nouvelle adresse e-mail qu'une fois qu'ils auront exporté leurs données depuis le compte Arrow d'origine.

Comment y remédier

1. Si l'UPN a déjà été remplacé par la nouvelle adresse e-mail, vous devrez le remplacer par l'ancienne adresse e-mail pour permettre aux membres concernés de se reconnecter à leurs anciens comptes.
2. Désactivez les options Smart Spaces dans la console d'administration, afin que les membres de votre équipe puissent exporter les données depuis Business Space. Si votre équipe n'utilise pas Spaces, activez la politique d'autorisation des exportations
3. Demandez aux membres de votre équipe d'exporter leurs données depuis les comptes existants, puis de se déconnecter d'Arrow : sélectionnez Mon compte, puis déconnectez-vous.
4. Mettez à jour les profils utilisateurs de l'IdP avec les nouvelles adresses e-mail.
5. Supprimez les anciens comptes de votre équipe Arrow.
6. Invitez les nouveaux comptes à rejoindre l'équipe Arrow en utilisant les nouvelles adresses e-mail. Pour plus d'informations sur la gestion des membres de l'équipe dans le cadre de votre plan, vous pouvez consulter cet article :

   Gérer les membres des plans professionnels

7. Demandez aux membres de votre équipe de créer leur nouveau compte en cliquant sur le lien figurant dans l'e-mail contenant l'invitation de l'équipe.
8. Demandez aux membres de votre équipe d'importer le fichier de sauvegarde pour récupérer leurs données.
9. Réactivez Smart Spaces ou désactivez la politique d'autorisation des exportations, selon les paramètres de votre équipe.
10. Si vous avez activé le provisionnement SCIM, contactez le support d'Arrow pour la dernière étape.

    Options de contact supplémentaires pour les administrateurs

(SSO) Message d'erreur : ValidationForResourceFailed. Cette région a un quota de 0 instances pour votre abonnement. Essayez de sélectionner une autre région ou un autre SKU.

Cette erreur, liée aux abonnements Microsoft, peut survenir lors du déploiement du service de cryptage avec un SSO auto-hébergé. Cela se produit lorsque les nouveaux locataires n'ont pas accès à l'application. Vérifiez qu'un quota d'applications suffisant est disponible.

Comment y remédier

• Faites une demande de quota d'applications auprès de Microsoft.
• Si le problème n'est toujours pas résolu, contactez le support Microsoft pour obtenir des précisions.