Introduction

Octopus peut se connecter à Microsoft Entra ID pour faciliter l'accès à l'application.

L'utilisation d'un fédérateur d'identité permet d'offrir une expérience intégrée de connexion à votre environnement Octopus. Vos utilisateurs et techniciens n'auront pas besoin de se créer un nouveau mot de passe pour utiliser les applications Octopus.

Prérequis

Cet article est un complément de l'article principal de la configuration d'Octopus pour Microsoft Entra ID. Assurez-vous d'avoir effectué les étapes indiqués dans l'article Fédération d'identité - Microsoft Entra ID.

Si votre environnement Octopus n'est pas configuré pour l'utilisation d'Octopus Web, vous pouvez ingorer ces étapes, et vous concentrer sur l'article principal.

Fonctionnement

Octopus Web / REST API

Ces applications utilisent le mode d'authentification OAuth2 avec jeton JWT qui n'est pas compatible avec l'application d'entreprise SAML (qui est nécessaire pour le client Windows et le portail Web). C'est pour cette raison que vous devez configurer une deuxième application d'entreprise dans Entra ID.

Configuration de Microsoft Entra ID

Afin de connecter Octopus Web (ou les REST API) et Microsoft Entra ID, il faut utiliser une Applications d'entreprise proprement configurée pour l'authentification intégrée.

Création d'une application d'entreprise

• Ouvrir le portail d'administration de Microsoft Entra ID et naviguer vers le panneau des Applications d'entreprise
  • https://entra.microsoft.com/#view/Microsoft_AAD_IAM/AppGalleryBladeV2
• Cliquer sur + Créer votre propre application
• Saisir un nom qui vous convient
• Sélectionner l'option Intégrer une autre application que vous ne trouvez pas dans la galerie (non galerie)
• Appuyer sur le bouton Créer

Autorisation des utilisateurs

Il faut ajouter chaque utilisateur de votre Microsoft Entra ID à utiliser l'application d'entreprise qui vient d'être créée. Deux choix sont possibles :

1. Autorisation de tous les utilisateurs de votre entreprise
2. Sélection manuelle des utilisateurs

Autorisation de tous les utilisateurs de votre entreprise

Pour rendre cette application disponible à tous vos utilisateurs, vous pouvez désactiver l'affectation requise d'utilisateurs pour cette application

• Accéder à la configuration de l'application d'entreprise (Voir la procédure en Annexe)
• Cliquer sur l'item Propriétés de la section Gérer
• Changer la valeur de la propriété Affectation requise ? pour Non

​Quelques minutes sont parfois nécessaires avant que la configuration soit prise en compte par le système d'authentification.

Sélection manuelle des utilisateurs

• Accéder à la configuration de l'application d'entreprise (Voir la procédure en Annexe)
• Cliquer sur l'item Utilisateurs et groupes de la section Gérer
• Ajouter les utilisateurs / groupes désirés en fonction de vos besoins

Quelques minutes sont parfois nécessaires avant que la configuration soit prise en compte par le système d'authentification.

Configuration de l'inscription de l'application

Ces configurations sont nécessaires afin de faire fonctionner l'application Octopus Web (ou REST API) correctement.

Les étapes suivantes s'effectuent depuis la page de configuration de l'inscription de l'application. Vous devez donc accéder à l'inscription de l'application (Voir la procédure en Annexe)

Authentification

1. Cliquer sur l'item Authentification de la section Gérer
2. Cliquer sur le bouton + Ajouter une plateforme
3. Cliquer sur le bouton Web
4. Saisir l'URL de votre Octopus Web dans le champ URI de redirection
   • Cette valeur prend la forme suivante : https://[nomdevotreenvironnement].octopus-itsm.com/octopus/
     IMPORTANT :
     Assurez-vous de suffixer le URI de redirection avec / à la fin 
5. Cliquer sur le bouton Configurer

Certificats & secrets

1. Cliquer sur l'item Certificats & secrets de la section Gérer
2. Cliquer sur l'onglet Secrets client (0)
3. Cliquer sur le bouton + Nouveau secret client
4. Saisir une description qui est significative pour vous
5. Saisir la période désirée selon votre politique de renouvellement des certificats et secrets
   • Un secret client expiré empêchera l'authentification de tous les utilisateurs à l'application Octopus 5 / REST API.
   • Assurez-vous de prendre en note la date d'expiration et renouvellez le secret avant son expiration pour éviter une interruption de service
6. Cliquer sur le bouton Ajouter
7. Conserver la valeur du secret client dans un lieu sécurisé. Cette valeur devra être saisie dans Octopus dans une étape subséquente

API Autorisés

Ajout de l'autorisation

1. Cliquer sur l'item API autorisées de la section Gérer
2. Cliquer sur le bouton + Ajouter une autorisation

3. Cliquer sur l'onglet API Microsoft Graph

4. Cliquer sur le bouton Microsoft Graph

5. Cliquer sur Autorisations déléguées

6. Inscrire user.read dans la zone de recherche

7. Dans la zone de résultats

   • Ouvrir la section User

   • Cocher User.Read

8. Cliquer sur le bouton Ajouter des autorisations

Consentement administrateur

1. Cliquer sur le bouton Accorder un constement d'administrateur pour [Votre nom de locataire Entra ID]
2. Confirmer le consentement

Exposer une API

1. Cliquer sur l'item Exposer une API de la section Gérer
2. Cliquer sur le lien Ajouter
3. Valider que le champ URI ID d'application ressemble à 
   • api://[Identifiant de l'application d'entreprise]
   • Cette valeur est la valeur par défaut proposée par Entra ID
4. Cliquer le bouton Enregistrer

Configurer Octopus

Prérequis

Seul un administrateur Octopus ayant les accès suivants pourra compléter la configuration Octopus:

• Général - Administrer Octopus.
• Général - Modifier les données communes à toutes les équipes.
• Applications - Accéder à Octopus.
• Applications - Accéder à WebTech.
• Applications - Accéder au portail Web.

Configuration de la fédération d'identité

Validation

Pour lancer la configuration, utilisez le menu Outils > Configuration de fédération d’identité

1. Renseigner l'identifiant de votre locataire Entra ID dans le champ ID de l'annuaire (locataire)
2. Renseigner l'identifiant de l'application qui a été créée dans l'article précédent dans le champ ID de l'application (client) de la première section
   • Cette application est pour WinUI et le portail Web et utilise l'authentification SAML / OpenID
3. Renseigner l'identifiant de l'application (qui a été notée plus haut) dans le champ ID de l'application (client) de la deuxième section
   • Cette application est pour Octopus Web / API Rest
4. Renseigner la valeur du secret qui a été noté plus haut dans le champ ID secret 
5. Cliquer sur Vérifier la compatibilité

Il se peut que la fenêtre d'authentification Microsoft Entra ID de votre entreprise apparaisse. Si cela est le cas, sélectionner votre compte (ce dernier doit avoir accès à Octopus)

Portée de l'authentification 

Choisir la portée désirée de l'authentification fédéré :

• Mode d'authentification Portail Web
  • Pour que vos utilisateurs finaux s'authentifient automatiquement, sélectionner "Identité fédérée"
  • Vous pourrez revenir au mode d'authentification précédent à tout moment en sélectionnant "Revenir au mode 2 : Nom d'utilisateur; Mot de passe"
• Mode d'authentification intervenants
  • Pour que vos techniciens (utilisant l'application Windows) et les outils Batchs (MailIntegration, ADSIReader, DataImporter, etc...) s'authentifient automatiquement, sélectionner  "Identité fédérée"
  • Vous pourrez revenir au mode d'authentification précédent à tout moment en sélectionnant "Revenir au mode 0 : Nom d'utilisateur; Mot de passe"

Annexe

Comment trouver l'application d'entreprise

1. Ouvrir la console d'adminsitration principale de Microsoft Entra ID
   • Centre d'administration Microsoft Entra (https://entra.microsoft.com)
2. Cliquer l'item Inscriptions d'applications dans la section Entra ID
3. Cliquer sur Toutes les applications
4. Dans la zone de recherche, saisir le nom utilisé pour créer l'application d'entreprise
5. Sélectionner l'application d'entreprise créée