Configuration de la SSO avec AD FS

Introduction

Cet article explique comment configurer l’authentification unique (SSO) dans le Panneau d’administration de NordPass en utilisant Microsoft Active Directory Federation Services (AD FS) comme fournisseur d’identité.

La SSO AD FS n’est demandée que lorsque vous vous connectez sur de nouveaux navigateurs ou appareils, ou lorsque vous êtes déconnecté d’une session active de votre Compte Business NordPass. Une session active dure jusqu’à 30 jours sur le même navigateur ou le même appareil.

AVIS : dans un avenir proche, nous prévoyons de mettre fin à la prise en charge de la SSO via AD FS. Nous vous recommandons de migrer vers Entra ID. Consultez le Guide de mise hors service de Microsoft AD FS.

Avant de commencer :

• Vous devez disposer de l’autorisation d’ajouter des enregistrements DNS TXT pour la vérification du domaine
• Vous disposez d’un accès réseau permettant le protocole HTTPS (port TCP 443) vers votre service de fédération AD FS

Voici ce qu’il faut faire

1. Ouvrez la console de gestion AD FS et cliquez sur « Ajouter un Groupe d’applications… » dans le panneau Actions.
2. Saisissez un nom de Groupe d’applications, sélectionnez « Application serveur » dans la liste des modèles, puis cliquez sur « Suivant ».
3. Copiez et enregistrez la valeur de l’Identifiant client.
4. Saisissez l’URI de redirection appropriée et cliquez sur « Ajouter » :
   • Centre de données américain : https://api.nordbusinessaccount.com/v1/oauth/adfs/callback 
   • Centre de données de l’UE : https://business-auth.eu.nordpass.com/v1/oauth/adfs/callback
      
5. Cliquez sur « Suivant », sélectionnez « Générer un secret partagé », copiez et enregistrez la valeur générée, puis terminez la configuration du Groupe d’applications.
6. Ouvrez Groupes d’applications, sélectionnez le groupe nouvellement créé, cliquez sur « Propriétés », puis sur « Ajouter une application… ».
7. Sélectionnez « API Web », cliquez sur « Suivant », saisissez https://api.nordbusinessaccount.com comme identifiant, cliquez sur « Ajouter », puis continuez.
8. Sélectionnez « Autoriser tout le monde » comme stratégie de contrôle d’accès, assurez-vous que « OpenID » est sélectionné dans les étendues autorisées, puis terminez la configuration.
9. Dans la console de gestion AD FS, accédez à Service, cliquez sur « Modifier les propriétés du service de fédération… », puis copiez le nom du service de fédération (URL du domaine AD FS).
10. Assurez-vous que le point de terminaison suivant est accessible via HTTPS (port TCP 443) :
    {FEDERATION_SERVICE_DOMAIN_NAME}/adfs/oauth2/authorize/
     
11. Connectez-vous au Panneau d’administration NordPass et accédez à « Authentification ».
12. Sélectionnez « Microsoft Active Directory Federation Services (AD FS) ».
13. Cliquez sur « Ajouter un domaine », saisissez le nom de domaine de votre entreprise et cliquez sur « Continuer ».
14. Ajoutez l’enregistrement DNS TXT généré à votre domaine, puis cliquez sur « Vérifier » (la vérification peut prendre jusqu’à 72 heures).
15. Saisissez l’identifiant client, le secret client et l’URL du serveur d’authentification AD FS que vous avez enregistrés précédemment, puis cliquez sur « Tester la connexion ».
16. Une fois la connexion établie, cliquez sur « Activer » et, dans la fenêtre de confirmation, cliquez à nouveau sur « Activer ».

Conseils supplémentaires

• Si votre pare-feu restreint l’accès au point de terminaison d’autorisation AD FS, contactez le support NordPass en cliquant sur l’un des boutons situés sous cet article afin d’obtenir l’adresse IP requise.
• La SSO n’est à nouveau demandée que lorsque la session expire, que l’utilisateur se déconnecte ou qu’un nouveau navigateur ou appareil est utilisé.
• Conservez tous les identifiants et secrets générés en toute sécurité pour pouvoir les utiliser ultérieurement.