Documentation SSO

Il va y avoir deux applications distinctes à créer, une qui va gérer le frontend et une qui va gérer le backend.
Tecsoft doit vous fournir l’url de redirection avant la création de ces applications par exemple : https://prod8.tvtools.eu/monentreprise/

Etape 1 : application front end

Ajoutez une nouvelle application et dans URI de redirection sélectionnez « Application à page unique » et collez l’url de redirection fournie par tecsoft.

Par exemple : https://prod8.tvtools.eu/monentreprise/

⚠ Cette étape est critique. Une configuration en « Web » au lieu de « Application à page uniqe » » empêche MSAL.js de fonctionner correctement et peut faire revenir l’utilisateur sur l’écran de login sans message d’erreur explicite.

Notez les éléments ID d’application (client) et ID de l’annuaire (locataire) qui se sont le clientid du front end et le tenantid (commun aux deux applications).

Ces informations seront à fournir à Tecsoft.

Rendez-vous dans « Authentication (preview) ». Puis : Paramètres, et cochez « Jetons d’accès » et « Jetons d’ID »

Etape 2 : application back end

Ajoutez une nouvelle application

Notez les éléments ID d’application (client) et id de l’annuaire (locataire) qui se sont le clientid du front end et le tenantid (commun aux deux applications)

Ces informations seront à fournir à Tecsoft

Rendez-vous sur « Exposer une API » faites « ajouter » laissez par défaut et cliquer sur « enregistrer »

Cliquez ensuite sur « Ajouter une étendue »

• « Nom de l’étendue » -> api-access.
• « Qui peut accepter ? » -> Administrateurs et utilisateurs
• « Nom d’affichage du consentement administrateur » -> Accès api tvtools
• « Description du consentement administrateur » -> Autoriser l’accès à l’api tvtools
• « Etat » -> activé

Et cliquez sur « enregistrer »

Toujours dans « Exposer une api » -> applications clientes autorisées -> Ajouter une application cliente

Id client : collez le client id de l’application front end précédemment créé

Cochez votre api dans « étendues autorisée »

Cliquez sur « Ajouter une application »

Rendez-vous à présent sur « Api autorisées » pour ajoutez la permission User.read.all

« Ajouter une autorisation » -> « Microsoft Graph »

« Autorisations déléguées »

users -> cochez User.read.all

Cliquez ensuite sur « Accorder un consentement administrateur » pour validez la nouvelle autorisation

Rendez-vous ensuite dans le manifeste et modifier « GroupMembershipClaims ». Il est conseillé d’utiliser « Securitygroup » mais vous avez un tableau contenant les valeurs possibles après le screen

Rendez-vous enfin dans «Certificats et secrets », ajoutez un nouveau secret et copiez celle valeur qui sera également à être transmise à Tecsoft

⚠ Attention : c’est bien la valeur dont nous avons besoin ici pas l’ID

⚠ Le Back End Secret sera à renouveler avant son expiration. Prévoir un rappel calendaire. Une rotation doit être coordonnée avec Tecsoft pour éviter une coupure.

A ce stade vous devriez avoir toutes les informations à transmettre à Tecsoft :

Le cliendID du backend et le secret du backend que nous venons de récupérer dans cette partie. Le clientID du frontend et le tenant (commun aux deux applications) que nous avons récupérer sur la première partie de la documentation.

Etape 3 : application front end

De nouveau dans l’application de front END pour la dernière étape

Rendez-vous dans « API autorisées » (de nouveau sur l’application front end plus la backend)

FRONT END APP : Mes API ou API utilisées par mon organisation et cherchez l’api que nous avons créé à l’étape précédente « api-access » et faites ajouter une autorisation

Cliquez ensuite sur « Accorder un consentement d’administrateur pour… »

Transmettez ensuite les informations à Tecsoft pour la suite dont voici un rappel :

Frontend app :

• Client id
• Tennant id

Backend app :

• Clientid
• Secret