Pour configurer Azure Active Directory (AAD) en tant que fournisseur d'identité, vous devrez d'abord enregistrer votre application dans la console Azure.
Enregistrer votre application
Naviguez jusqu'au panneau "Azure Active Directory", puis choisissez "App Registrations" dans le panneau latéral. Ensuite, cliquez sur "Nouvelle inscription" :
Dans l'écran "Enregistrer une application", choisissez un nom pour cette application. Nous vous recommandons d'utiliser un nom d'application qui distingue l'application de la version cloud d'ActivityInfo hébergée sur www.activityinfo.org.
Ensuite, dans la section URI de redirection, ajoutez l'URL suivante, en remplaçant "activityinfo.example.gov" par le domaine que vous avez choisi pour votre serveur :
https://activityinfo.example.gov/login/auth
Cliquez ensuite sur le bouton "Enregistrer".
Votre application devrait maintenant être créée. Localisez l'"Application (client) ID" et enregistrez-le pour plus tard.
Ensuite, cliquez sur le lien "Ajouter un certificat ou un secret".
Dans l'écran "Certificats et secrets", cliquez sur le bouton "Nouveau secret client". Fournissez une description et choisissez une date d'expiration.
Après avoir cliqué sur "Ajouter", le nouveau secret apparaîtra dans la liste. Copiez la valeur du secret et enregistrez-la pour l'étape suivante.
Maintenant que vous avez l'ID client et le secret client, vous êtes prêt à configurer ActivityInfo.
Ajout du fournisseur dans ActivityInfo
Naviguez vers l'interface Paramètres du serveur puis vers la section "Single Sign On".
Dans le menu "Ajouter un fournisseur", choisissez "Ajouter Azure Active Directory".
Collez l'ID client et le secret des étapes précédentes dans l'éditeur.
Dans le champ "Domaines", saisissez les domaines d'e-mail qui seront authentifiés à l'aide d'Azure Active Directory. S'il y en a plus d'un, séparez-les par des virgules.
Par exemple, si vous entrez "http://outlook.com" et "example.gov", les utilisateurs avec les adresses e-mail "alice@outlook.com" et "bob@example.gov" seront dirigés pour se connecter via Azure Active Directory. Une personne avec un domaine d'e-mail différent, tel que "user@bedatadriven.com", sera invitée à choisir un mot de passe afin de pouvoir se connecter sans SSO.