Les cours du BTS SIO

Outils pour utilisateurs

Outils du site

Piste : certificatazurte
reseau:cloud:azure:syncroazure:certificatazurte

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
reseau:cloud:azure:syncroazure:certificatazurte [2026/05/02 22:16] – [Créer un application d'entreprise pour utiliser SAML dans l’application inscrite] techer.charles_educ-valadon-limoges.frreseau:cloud:azure:syncroazure:certificatazurte [2026/05/08 19:55] (Version actuelle) – [Export du certificat] techer.charles_educ-valadon-limoges.fr
Ligne 11: Ligne 11:
 <code> <code>
 App Registration App Registration
- ├─ Certificat (Key Vault) + ├─ Certificats OAuth 
- ├─ Rotation automatique du certificat (GitHub Actions) + ├─ GitHub Actions (OIDC) 
- └─ Identité technique+ ├─ Key Vault 
 + └─ Microsoft Graph
  
-        │ certificat public 
-        ▼ 
- 
-Enterprise Application 
- ├─ SAML 
- ├─ Utilisateurs / Groupes 
- ├─ Conditional Access 
- └─ Logs SAML 
  
 +GitHub Actions
 +   │
 +   ▼ (OIDC, sans secret)
 +Azure Entra ID
 +   │
 +   ▼
 +Azure Key Vault  ←─── Génération / rotation du certificat
 +   │
 +   ▼
 +App Registration (SAML)
 </code> </code>
  
Ligne 29: Ligne 32:
   * Authentification par OIDC Federated Credentials   * Authentification par OIDC Federated Credentials
   * Conformité Microsoft / Zero Trust   * Conformité Microsoft / Zero Trust
 +
 +Cas standard Microsoft OAuth :
 +  * Protocole : OAuth 2.0 / OpenID Connect
 +  * Méthode d’authentification : client\_secret\_post ou client\_secret\_basic
 +  * Objet Entra ID utilisé : Inscription d’application
 +  * SAML : NON => Application d’entreprise NON requise
 +
 +
  
 <WRAP center round info> <WRAP center round info>
Ligne 61: Ligne 72:
   * Choisir **Inscription d'applications**.   * Choisir **Inscription d'applications**.
   * Puis **Nouvelle inscription** :    * Puis **Nouvelle inscription** : 
-    * Nom : signature-saml,+    * Nom : signature-Valadon,
     * Type de compte : Locataire uniquement,     * Type de compte : Locataire uniquement,
-    * URI de redirection : laisser vide,+    * URI de redirection Web https://your-domain/api/auth/callback/microsoft
     * Cliquer sur **S'inscrire**.      * Cliquer sur **S'inscrire**. 
 +
  
 Noter :  Noter : 
Ligne 70: Ligne 82:
   * ID du Tenant   * ID du Tenant
  
 +Définir les autorisations d'API suivantes : 
 +  * openid
 +  * profile
 +  * email
 +  * User.Read
 +==== Créer le secret client ====
  
 +  * dans **Certificats et secrets**
 +  * Choisir **Nouveau secret client**
 +  * Description : **app-secret**
 +  * Date d'expiration : 24 mois
 +  * Puis **Ajouter**
  
-===== Créer un application d'entreprise pour utiliser SAML dans l’application inscrite =====+Noter le secret client  
 +==== Vérification ==== 
 +  * Dans Authentification : l'URI de redirection Web doit être  https://your-domain/api/auth/callback/microsoft 
 +  * Dans Authentification puis l'onglet **Paramètres** :  
 +    * ne pas cocher **Jetons daccès (utilisés pour les flux implicites)** ni. **Jetons d’ID (utilisés pour les flux implicites et hybrides)** 
 +    * ne pas activer les flux clients publics 
 +    * ne pas configurer de verrou de propriété d'instance d'application 
  
-  * Accéder à Application d'entreprise 
-  * Choisir **Nouvelle application**. 
-  * Dans la galerie, choisir **Créer votre propre application** : 
-    * Nom : Signature Valadon 
-    * cocher **Intégrer une autre application qu vous ne trouvez pas dans la galerie (non galerie)** 
-    * Cliquer sur le bouton **Créer**. 
  
-===== Activer SAML dans la nouvelle application ===== 
-  * Dans la nouvelle application, accéder à **Authentification unique**. 
-  * Sélectionner **SAML**. 
-  * Configurer SAML 
  
-  * Inscription d'applications puis Gérer puis App Registration → Single sign-on 
-➡️ Choisir SAML 
-👉 Azure crée automatiquement : 
  
-une Enterprise Application 
-une config SAML liée 
 ===== Créer un certificat ===== ===== Créer un certificat =====
     * accéder au coffre de clé     * accéder au coffre de clé
     * dans la rubrique **Objets**, choisir **Certificats**     * dans la rubrique **Objets**, choisir **Certificats**
     * Cliquer sur **+ Générer / Importer**     * Cliquer sur **+ Générer / Importer**
 +    * Définir les paramètres suivants :
 +      * Method : Generate
 +      * Name : documenso-cert
 +      * Type : Self-signed
 +      * Subject : CN=sign.educ-valadon-limoges.fr
 +      * Validité : 24 mois
 +      * Type de contenu : PCKS#12
 +      * Type d'actions de la durée de vie : Renouveller en fonction d'un pourcentage de la durée de vie
 +      * pourcentage de la durée de vie : 80%
 +
 +Cliquer sur Créer
 +
 +jouter le rôle : Agent des secrets Key Vault
 +      
 +===== Export du certificat =====
 +
 +Une fois créé :
 +  * cliquer sur le certificat 
 +  * puis télécharger :
 +    * .PFX (nécessaire pour proxy / serveur)
 +    * .CER (public uniquement)
 +
 +
 +===== Configurer Azure Application Proxy =====
 +
 +  * Dasn le Portail Azure accéder à l'application d'entreprise
 +Étape A — Installer le connecteur
 +👉 Sur ton serveur interne :
 +
 +Azure → Application Proxy
 +Télécharger le connector
 +L’installer
 +
 +✅ Le serveur devient un point d’accès interne sécurisé
 +===== Automatisation GitHub (rotation du secret) =====
 +  * App Registration => Certificates & secrets => Informations d'identité fédérées
 +  * Choisir **Ajouter un justificatif** avec les paramètres suivants :
 +    * Scenario : Actions GitHub déployant des ressources Azure
 +    * epo : ORG/REPO
 +Branch : main 
reseau/cloud/azure/syncroazure/certificatazurte.1777753010.txt.gz · Dernière modification : 2026/05/02 22:16 de techer.charles_educ-valadon-limoges.fr