Microsoft Entra SSO
Microsoft Entra SSO est le service de gestion des identités et des accès basé sur le cloud de Microsoft, qui aide vos employés à se connecter et à accéder aux ressources. Vous pouvez utiliser Entra SSO pour contrôler l’accès à vos applications et à vos ressources d’application, en fonction de vos exigences commerciales.
Exigences
Lors de la configuration, il vous sera demandé de fournir l’URL de l’Assertion Consumer Service (ACS).
| Exigence | Détails |
|---|---|
| URL du service consommateur d’assertions (ACS) | https://<SUBDOMAIN>.braze.com/auth/saml/callback Pour certains fournisseurs d’identité, il peut également s’agir de l’URL de réponse, de l’URL de l’audience ou de l’URI de l’audience. |
| ID de l’entité | braze_dashboard |
| Clé API de RelayState | Pour activer l’identifiant du fournisseur d’identité, allez dans Paramètres > Clés API et créez une clé API avec les autorisations sso.saml.login. |
Identifiant initié par le fournisseur de services (SP) dans le cadre de Microsoft Entra SSO
Étape 1 : Ajouter Braze à la galerie
- Dans votre centre d’administration Microsoft Entra, allez dans Identité > Applications > Applications d’entreprise, puis sélectionnez Nouvelle application.
- Recherchez Braze dans la zone de recherche, sélectionnez-le dans le panneau de résultats, puis sélectionnez Ajouter.
Étape 2 : Configurer Microsoft Entra SSO
- Dans votre centre d’administration Microsoft Entra, accédez à la page d’intégration de votre application Braze et sélectionnez Authentification unique.
- Sur la page Sélectionner une méthode d’authentification unique, sélectionnez SAML comme méthode.
- Sur la page Set up Single Sign-On with SAML, sélectionnez l’icône modifier pour Basic SAML Configuration.
- Configurez l’application en mode IdP-initiated en entrant une URL de réponse qui combine votre instance Braze avec le modèle suivant :
https://<SUBDOMAIN>.braze.com/auth/saml/callback. - Configurez éventuellement RelayState en saisissant votre clé API générée par Relay State dans le champ Relay State (Optional).
Ne définissez pas le champ Sign-On URL. Laissez ce champ vide pour éviter tout problème avec votre authentification SAML unique (SSO) initiée par l’IdP.
6. Formatez les assertions SAML dans le format spécifique attendu par Braze. Reportez-vous aux onglets suivants sur les attributs et les revendications de l’utilisateur pour comprendre comment ces attributs et valeurs doivent être formatés.
Vous pouvez gérer les valeurs de ces attributs à partir de la section Attributs de l’utilisateur de la page Intégration des applications.
Utilisez les combinaisons d’attributs suivantes :
givenname=user.givennamesurname=user.surnameemailaddress=user.mailname=user.userprincipalnameemail=user.userprincipalnamefirst_name=user.givennamelast_name=user.surnameUnique User Identifier=user.userprincipalname
Il est essentiel que le champ de l’e-mail corresponde à ce qui est configuré pour vos utilisateurs dans Braze. Dans la plupart des cas, ce sera la même chose que user.userprincipalname. Cependant, si vous avez une configuration différente, travaillez avec votre administrateur système pour vous assurer que ces champs correspondent exactement.
Sur la page Configurer l’authentification unique avec SAML, sélectionnez Modifier pour ouvrir la boîte de dialogue Attributs de l’utilisateur. Ensuite, modifiez les revendications des utilisateurs en respectant le format approprié.
Utilisez les paires de noms de revendications suivantes :
claims/givenname=user.givennameclaims/surname=user.surnameclaims/emailaddress=user.userprincipalnameclaims/name=user.userprincipalnameclaims/nameidentifier=user.userprincipalname
Il est essentiel que le champ de l’e-mail corresponde à ce qui est configuré pour vos utilisateurs dans Braze. Dans la plupart des cas, ce sera la même chose que user.userprincipalname. Cependant, si vous avez une configuration différente, travaillez avec votre administrateur système pour vous assurer que ces champs correspondent exactement.
Vous pouvez gérer ces réclamations et valeurs d’utilisateur à partir de la section Gérer les réclamations.
8. Allez à la page Configurer l’authentification unique avec SAML, puis faites défiler jusqu’à la section Certificat de signature SAML et téléchargez le certificat approprié (Base64) en fonction de vos besoins. 9. Allez à la section Configurer Braze et copiez les URL appropriées pour les utiliser dans la configuration de Braze.
Étape 3 : Configurer Microsoft Entra SSO dans Braze
Après avoir configuré Braze dans le centre d’administration de Microsoft Entra, Microsoft Entra vous fournira une URL cible (URL d’identification) et un certificat que vous devrez introduire dans votre compte Braze. x.509 que vous introduirez dans votre compte Braze.
Une fois que votre gestionnaire de compte a activé l’authentification unique SAML pour votre compte, procédez comme suit :
- Allez dans Paramètres > Paramètres d’administration > Paramètres de sécurité et basculez la section authentification unique SAML (SSO) sur ON.
- Sur la même page, ajoutez ce qui suit :
| Exigence | Détails |
|---|---|
SAML Name |
Le texte du bouton apparaîtra sur l’écran d’identification. Il s’agit généralement du nom de votre fournisseur d’identité, comme “Microsoft Entra”. |
Target URL |
Il s’agit de l’URL identifiant fournie par Microsoft Entra. |
Certificate |
Le certificat encodé x.509 PEM est fourni par votre fournisseur d’identité. |
Si vous souhaitez que les utilisateurs de votre compte Braze se connectent uniquement avec SAML SSO, vous pouvez restreindre l’authentification unique à partir de la page Paramètres de l’entreprise.
Modifier cette page sur GitHub