Pour configurer Azure Active Directory (AAD) en tant que Fournisseur d'identité, vous devrez d'abord enregistrer votre application dans la console Azure.
Enregistrer votre application
Allez dans le panneau "Azure Active Directory", puis choisissez "Inscriptions d'applications" dans le panneau latéral. Cliquez ensuite sur "Nouvelle inscription" :
Sur l'écran "Inscrire une application", choisissez un nom pour cette application. Nous vous recommandons d'utiliser un nom d'application qui la distingue de la version d'ActivityInfo basée sur le cloud et hébergée sur www.activityinfo.org.
Ensuite, dans la section URI de redirection, ajoutez l'URL suivante, en remplaçant "activityinfo.example.gov" par le domaine que vous avez choisi pour votre serveur :
https://activityinfo.example.gov/login/auth
Cliquez ensuite sur le bouton "Inscrire".
Votre application devrait maintenant être créée. Localisez l'"ID d'application (client)" et conservez-le pour plus tard.
Ensuite, cliquez sur le lien "Ajouter un certificat ou un secret".
Sur l'écran "Certificats et secrets", cliquez sur le bouton "Nouveau secret client". Fournissez une description et choisissez une date d'expiration.
Après avoir cliqué sur "Ajouter", le nouveau Secret apparaîtra dans la liste. Copiez la Valeur du secret et conservez-la pour l'étape suivante.
Maintenant que vous disposez de l'ID Client et du Secret du client, vous êtes prêt à configurer ActivityInfo.
Ajouter le fournisseur dans ActivityInfo
Allez à l'interface des Paramètres du serveur, puis à la section "Authentification unique".
Dans le menu "Ajouter un fournisseur", choisissez "Ajouter Azure Active Directory"
Collez l'ID Client et le Secret du client des étapes précédentes dans l'éditeur.
Dans le champ "Domaines", saisissez les domaines d'e-mail qui seront authentifiés à l'aide d'Azure Active Directory. S'il y en a plusieurs, séparez-les par des virgules.
Par exemple, si vous saisissez "http://outlook.com" et "example.gov", les utilisateurs avec les adresses e-mail "alice@outlook.com" et "bob@example.gov" seront dirigés vers la connexion via Azure Active Directory. Une personne ayant un domaine d'e-mail différent, tel que "user@bedatadriven.com", sera invitée à choisir un mot de passe afin de pouvoir se connecter sans SSO.