Guide d'intégration SSO Microsoft Entra ID

Identifiant Microsoft Entra Offre aux entreprises un moyen simple de gérer les identités et les accès, dans le cloud comme sur site. Vos utilisateurs peuvent utiliser le même compte professionnel ou scolaire pour une authentification unique sur n'importe quelle application web, cloud ou sur site. Ils peuvent utiliser leurs appareils préférés, notamment iOS, Mac OS X, Android et Windows. Votre organisation peut protéger ses données et applications sensibles, sur site comme dans le cloud, grâce à l'authentification multifacteur intégrée qui garantit un accès local et distant sécurisé. Microsoft Entra ID étend vos annuaires sur site afin que les professionnels de l'information puissent utiliser un compte organisationnel unique pour accéder de manière sécurisée et cohérente à leurs ressources. Microsoft Entra ID offre également des rapports complets, des analyses et des fonctionnalités en libre-service pour réduire les coûts et renforcer la sécurité. Le contrat de niveau de service (SLA) Microsoft Entra ID garantit le bon fonctionnement de votre entreprise en permanence et permet une évolutivité à grande échelle.

 

Note

Vous devez être le Propriétaire du compte de votre compte PagerDuty afin d'effectuer ces modifications. De plus, les fonctionnalités SSO de PagerDuty ne sont disponibles que sur notre Opérations professionnelles, commerciales et numériques plans . S'il te plaît contactez notre équipe commerciale si vous êtes intéressé à mettre à niveau votre plan.

 

Dans votre portail de gestion Azure

  1. Cliquez sur le Identifiant Microsoft Entra icône, puis dans la colonne de menu de gauche, cliquez Applications d'entreprise .
  2. Cliquez + Nouvelle application .
  3. Rechercher et sélectionner PagerDuty , puis cliquez sur Créer .
  4. Cliquez sur la tuile de l'étape 1 Affecter des utilisateurs et des groupes .
  5. Sélectionner Ajouter un utilisateur/groupe en haut à gauche.
  6. Sélectionnez tout ce que vous souhaitez utilisateurs et groupes , cliquez Sélectionner en bas, alors Attribuer .
    ( Note: Tous les utilisateurs qui utiliseront la connexion SSO pour PagerDuty devront être ajoutés à cette application PagerDuty dans Azure, individuellement ou par groupe, pour que la connexion fonctionne.)
  7. Revenir à la Aperçu en haut de la colonne de menu de gauche, passez à l'étape 2 Configurer l'authentification unique , et sélectionnez le SAML tuile.
  8. Modifier la première section, Configuration SAML de base :
    • Ensemble Identifiant (ID d'entité) au format suivant en utilisant votre sous-domaine : 
       https://YOUR_SUBDOMAIN.pagerduty.com
    • Ensemble URL de connexion à: 
       https://YOUR_SUBDOMAIN.pagerduty.com/sso/saml/sign-in
    • Ensemble URL de réponse à: 
       https://YOUR_SUBDOMAIN.pagerduty.com/sso/saml/consume
    • Cliquez Sauvegarder en haut à gauche.
    • Cliquez hors de Configuration SAML de base avec le X case tout en haut à droite.
  9. Modifier la deuxième section, Attributs et revendications de l'utilisateur :
    • Cliquez sur la réclamation requise Identifiant utilisateur unique (ID de nom) .
    • Sélectionner Adresse email de la Choisissez le format de l'identifiant du nom menu déroulant, définissez le Attribut source valeur à utilisateur.mail , puis cliquez sur Sauvegarder .
    • Cliquez Ajouter une nouvelle réclamation :
      • Régler le Nom champ à nom .
      • Assurez-vous que Espace de noms est vide .
      • Ensemble Attribut source à utilisateur.displayname .
      • Répétez le Ajouter une nouvelle réclamation étape pour chacune des suivantes facultatif attributs que vous souhaitez provisionner dans PagerDuty:
        1. Nom : adresse e-mail , Attribut source : utilisateur.mail .
        2. Nom : responsabilités professionnelles , Attribut source : utilisateur.jobtitle .
        3. Nom : rôle , Attribut source : Cela peut être une valeur codée en dur, par exemple utilisateur_limité (un Répondant rôle), si vous souhaitez que tous les utilisateurs soient dotés du même rôle, ou vous pouvez utiliser Conditions de réclamation pour déterminer le rôle en fonction de l'appartenance au groupe ; dans les deux cas, la valeur envoyée doit être l'une des valeurs de PagerDuty Valeurs des rôles d'utilisateur de l'API REST .
    • Cliquez hors de Attributs et revendications de l'utilisateur avec le X case tout en haut à droite.
  10. Dans la troisième section, Certificat de signature SAML , télécharger Certificat (base64) .
  11. Prenez note de la quatrième section, Configurer PagerDuty , et laissez la page ici ; vous aurez bientôt besoin de ces valeurs du côté de PagerDuty :
    • URL de connexion
    • URL de déconnexion

Dans PagerDuty

  1. Connectez-vous à PagerDuty dans une nouvelle fenêtre en tant que Propriétaire du compte .
  2. Cliquez sur le Icône d'utilisateur dans le coin supérieur droit et sélectionnez Paramètres du compte .
  3. Sélectionnez le Authentification unique onglet en haut de l'écran.
  4. Sélectionner SAML comme type d'authentification de connexion.
  5. Ouvrez le certificat précédemment téléchargé, copiez tout son contenu et collez-le dans le Certificat X.509 champ.
  6. Revenez à la fenêtre Azure pour copier les valeurs de URL de connexion et URL de déconnexion .
  7. Assurez-vous que le Exiger une comparaison de contexte d'authentification EXACTE l'option est à carreaux .
  8. Si vous souhaitez désactiver l'authentification par nom d'utilisateur et mot de passe pour votre compte PagerDuty pour tous les utilisateurs, à l'exception du propriétaire du compte, vous pouvez décocher le Autoriser la connexion par nom d'utilisateur/mot de passe case à cocher.
  9. Si vous souhaitez que PagerDuty crée automatiquement des comptes pour toute personne ayant accès via Azure SSO lors de sa première connexion, vérifier la case à côté de Provisionnement automatique des utilisateurs lors de la première connexion .

FAQ

Pourquoi les utilisateurs sont-ils approvisionnés uniquement avec l'e-mail ?

Si les revendications d'attribut ne sont pas correctement configurées, des champs tels que nom et rôle ne sera pas transféré correctement lors de la création d'un utilisateur lors de la première connexion SSO. Cela se produit généralement lorsque Espace de noms n'est pas vide sur ces revendications. Assurez-vous que sur chaque revendication d'attribut (à l'exception de Identifiant utilisateur unique ) le Espace de noms le champ est vide et chaque Nom la valeur du champ est orthographiée exactement comme indiqué à l’étape 9 de la section Azure ci-dessus.

Pourquoi est-ce que je reçois le message d'erreur « La méthode d'authentification 'WindowsIntegrated'... ne correspond pas à la méthode d'authentification demandée... » ?

Une partie de la requête SAML envoyée à Azure depuis PagerDuty lors de la première étape d'authentification (lorsqu'un utilisateur clique sur Se connecter avec mon fournisseur d'identité et est redirigé vers Azure) est contexte d'authentification demandé (le Contexte d'authentification demandé élément), qui correspond à une préférence affichée pour un niveau de sécurité minimal d'authentification des utilisateurs auprès du fournisseur d'identité. Notre service SAML inclut cette option lors de l'envoi de requêtes à chaque fournisseur de services, y compris Azure.

Par Implémentation du protocole SAML d'Azure , seulement le mot de passe classe de type d'authentification ( urne:oasis:noms:tc:SAML:2.0:ac:classes:Mot de passe ) est pris en charge lors de la demande d'un contexte d'authentification :

Microsoft Entra ID ne prend en charge qu'un seul Référence de classe de contexte d'authentification valeur: urne:oasis:noms:tc:SAML:2.0:ac:classes:Mot de passe .

De plus, le service SAML d'Azure exige que le fournisseur de services spécifie qu'il doit y avoir une correspondance exacte entre le contexte demandé et le contexte d'authentification pour correspondre exactement à celui demandé par le fournisseur de services (ceci est activé via le Exiger une comparaison de contexte d'authentification EXACTE option); une erreur différente indiquant que la comparaison de contexte doit être exacte se produira dans le cas contraire.

En résumé:

  • PagerDuty inclut le Contexte d'authentification demandé élément permettant de demander au fournisseur d’identité d’utiliser, au strict minimum, l’authentification par mot de passe pour identifier les utilisateurs.
  • Azure s'attend à ce que le fournisseur de services exige une correspondance exacte entre le type d'authentification fourni et celui demandé, chaque fois Contexte d'authentification demandé est fourni.
  • Azure prend uniquement en charge la demande d'authentification de type mot de passe lors de la spécification Contexte d'authentification demandé .

Les utilisateurs peuvent contourner ce problème en utilisant un autre navigateur Web qui ne tente pas de s'authentifier auprès du fournisseur d'identité via le Windows intégré méthode d'authentification et utilisation de l'authentification par mot de passe pour accéder à leur identité.

Si votre organisation et votre flux de travail informatique nécessitent une authentification Windows intégrée et que vos utilisateurs finaux sont concernés par ce problème connu, veuillez nous faire part de vos commentaires dans le Communauté PagerDuty ou par nous envoyer un e-mail .

Pour plus d'informations :

Prêt à commencer ?

Essayez gratuitement n’importe quel produit sur Operations Cloud . Aucune carte de crédit requise.

Essayer AIOps Essayez l'automatisation Essayez la gestion des incidents Essayez Customer Service Ops