Annuaires d'utilisateurs externes
Vous pouvez configurer des annuaires d'utilisateurs externes pour gérer les utilisateurs dans Therefore™. Les fonctions de gestion des utilisateurs comprennent l’authentification, l’autorisation, la gestion des comptes utilisateur et la gestion des groupes.
Configuration
Cliquez avec le bouton droit de la souris sur Annuaires d'utilisateurs externes pour ouvrir une boîte de dialogue dans laquelle l'administrateur peut ajouter, modifier ou supprimer des annuaires d'utilisateurs externes. Cliquez sur la flèche déroulante à côté d'« Ajouter » pour sélectionner l'un des fournisseurs pris en charge. Lorsque vous sélectionnez un fournisseur, une boîte de dialogue permettant de configurer l'annuaire d'utilisateurs externe s'ouvre.
Authentification auprès du fournisseur
Une fois les paramètres entrés, l'administrateur doit s'authentifier auprès du fournisseur de connexion externe dans une fenêtre de navigateur et autoriser Therefore™ à accéder à l'annuaire d'utilisateurs externe. Lorsque la connexion est établie, l'administrateur peut accéder au nouveau domaine dans les options Utilisateurs et groupes et assigner aux utilisateurs les permissions d'accès basé sur les rôles appropriées sur les objets Therefore™.
Configuration du client installé
Lorsque les utilisateurs issus d'un annuaire d'utilisateurs externe se connectent à Therefore™ à l'aide d'une application cliente installée, vous devez configurer les paramètres de connexion au serveur dans Therefore™ Solution Designer. Sélectionnez le fournisseur de connexion externe dans Fournisseur d'authentification et cliquez sur « MàJ depuis le serveur » pour renseigner les paramètres.
Synchronisation des utilisateurs/groupes
Pour que la synchronisation des utilisateurs/groupes fonctionne, vous devez installer le composant « Replication » lors de l'installation de Therefore™ et régler le service Therefore™ Replication sur le type de démarrage « Automatique ». Si les conditions prérequises sont configurées, vous pouvez synchroniser les utilisateurs et les groupes à partir du nœud « Synchronisation des utilisateurs/groupes » via Intégrations > Réplication/synchronisation.
Paramètres
Paramètres communs à tous les fournisseurs :
Connexion à l'aide du navigateur
Utilisez le navigateur système par défaut au lieu du navigateur chrome interne pour ouvrir la page d'ouverture de session de l'utilisateur du fournisseur de connexion externe.
Domaines supplémentaires
Si l'annuaire d'utilisateurs externe contient des utilisateurs issus de domaines externes, ajoutez ici ces domaines.
Exemple : un annuaire Microsoft Entra ID contient des utilisateurs dont le domaine principal est moyaware.onmicrosoft.com, mais aussi des utilisateurs issus du domaine moyaware.com. Dans ce cas de figure, entrez moyaware.com dans Domaines supplémentaires.
Azure Active Directory
ID du client Therefore™
ID d'une application Microsoft Entra ID utilisée pour la connexion au client Therefore™.
Domaine de connexion
Si SSO est configuré pour Microsoft Entra ID, entrez ici le domaine. Exemple :ontherefore.com
Utiliser une application personnalisée pour accéder à Microsoft Entra ID
Vous devez cocher cette case si l'authentification est configurée pour utiliser une application dans Microsoft Entra ID.
Nom du locataire Azure
Nom du locataire Entra ID dans lequel sont configurées les applications de connexion. Entrez les valeurs dans le format suivant : <company>.onmicrosoft.com
ID du client d'application
ID de l'application Microsoft Entra ID utilisée pour la connexion à Therefore™ Server.
Secret d'application
Valeur du secret client de l'application Microsoft Entra ID utilisée pour la connexion à Therefore™ Server.
Okta
Domaine
Domaine Okta utilisé dans la configuration. Exemple :
therefore.okta.com
Clé d'accès API
Valeur du jeton API créé dans le portail Okta.
ID du client Therefore™
ID client de l'application de connexion créée dans Okta.
ID du serveur d'autorisation
ID du serveur d'autorisation dans un paramètre propre à Okta, étant donné que plusieurs serveurs d'autorisation associés à des configurations différentes sont autorisés. Si vous avez défini plusieurs serveurs d'autorisation, vous devez indiquer à Therefore™ le serveur d'autorisation à utiliser. Renseignez à cet effet le champ ID du serveur d'autorisation.
OneLogin
Domaine
Domaine OneLogin utilisé dans la configuration. Exemple :
therefore.onelogin.com
ID du client Therefore™
ID client de l'application OIDC configurée dans le portail administratif de OneLogin.
Paramètres API
Domaine
L'URL de l'API varie selon la région. Exemple :api.us.onelogin.com
api.eu.onelogin.com
ID du client/Secret du client
ID du client/secret du client issus des informations d'identification API configurées dans le portail administratif de OneLogin.
ADFS (OIDC)
Nom du domaine/de l'annuaire
Domaine AD FS utilisé dans la configuration. Exemple :
adfs.ontherefore.com
Détection automatique
Cliquez sur ce bouton pour entrer l'URL de découverte OIDC et renseigner automatiquement la plupart des autres paramètres.
URL de découverte OIDC
La syntaxe de l'URL est la suivante :https://domain/.well-known/openid-configuration
Paramètres de connexion du client
Point de terminaison d'autorisation
Point de terminaison. La syntaxe de l'URL est la suivante :https://domain/adfs/oauth2/authorize/
ID du client Therefore™
ID client de l'application native configurée sur le serveur AD FS. Vous devez renseigner manuellement ce paramètre.
Étendues
Étendues du groupe d’applications définies sur le serveur AD FS.
Paramètres supplémentaires
Si vous devez spécifier d'autres paramètres de connexion, renseignez ce champ.
Paramètres du serveur
Autorité délivrance
URL dont la syntaxe est la suivante :https://domain/adfs
Point de terminaison JWKS
URL dont la syntaxe est la suivante :https://domain/adfs/discovery/keys
Revendication utilisateur
Type de revendication exprimé sous forme d'identifiant de ressource uniforme (URI).
Revendication de groupes
Si l'appartenance à un groupe est spécifiée sous forme de règle dans AD FS, vous pouvez renseigner ce champ.
OIDC générique
Cette option permet de configurer tout fournisseur qui propose le protocole OpenID/OIDC pour l'intégration à Therefore™. Les options de configuration varient selon le fournisseur. Les paramètres de cette boîte de dialogue sont identiques aux paramètres AD FS (OIDC).