Configuration du SSO SAML pour les utilisateurs Microsoft 365/Entra ID

Ces étapes vous guideront dans la configuration du SSO SAML pour les utilisateurs Microsoft 365/Entra ID (anciennement Azure AD), en utilisant ADSelfService Plus comme fournisseur d’identité (IdP) et Microsoft 365/Entra ID comme fournisseur de services (SP).

Remarque :
  • Le SSO peut être activé uniquement pour les domaines vérifiés dans Microsoft Entra ID.
  • Le SSO ne peut pas être activé pour les domaines "onmicrosoft.com" créés par Microsoft.
  • Le SSO ne peut pas être activé pour le domaine par défaut (le domaine principal dans lequel les utilisateurs sont créés). Il ne peut être configuré que pour les domaines personnalisés. Microsoft Entra ID interdit la configuration du SSO pour les domaines par défaut afin de garantir que les administrateurs peuvent se connecter à Office 365 quel que soit le problème avec l’IdP. Si votre organisation ne possède pas de domaine Office 365 personnalisé, vous devez en acheter un pour configurer le SSO.
  • Les domaines fédérés, c’est-à-dire les domaines pour lesquels le SSO a été activé, ne peuvent pas être configurés pour la synchronisation des mots de passe.

Étapes pour lier les comptes utilisateur Microsoft 365/Entra ID et AD local

  1. Utilisation de Microsoft Entra Connect
    • GUID comme sourceAnchor : Si vous disposez de Microsoft Entra Connect, utilisez-le pour mettre à jour l’attribut sourceAnchor dans Office 365 avec la valeur d’attribut GUID de AD.
    • Autre attribut AD unique comme sourceAnchor : Si vous avez déjà attribué une autre valeur d’attribut autre que GUID pour l’attribut sourceAnchor, utilisez l’option Liaison de compte dans ADSelfService Plus pour la mapper avec l’attribut correspondant dans AD.
  2. Utilisation d’un outil tiers de conversion GUID vers ImmutableID
    • Convertir GUID en ImmutableID : Si vous ne disposez pas de Microsoft Entra Connect, vous pouvez télécharger un outil tiers qui convertit GUID en ImmutableID. Utilisez cet outil pour convertir la valeur GUID de chaque utilisateur en valeurs ImmutableID et mettez-les à jour dans Microsoft Entra ID.
    • Mettre à jour la valeur ImmutableID dans Microsoft Entra ID : Une fois que vous avez converti le GUID en ImmutableID, vous devez mettre à jour la valeur dans Microsoft Entra ID pour chaque utilisateur en suivant les étapes ci-dessous à l’aide des commandes PowerShell.
      • Ouvrez PowerShell avec les privilèges d’administrateur.
      • Exécutez la commande suivante pour installer Microsoft Graph PowerShell, si elle n’est pas déjà installée :

        Install-Module Microsoft.Graph -Scope CurrentUser

        • Commandes Microsoft Graph PowerShell pour ImmutableID
      • Commande pour se connecter à Microsoft Graph PowerShell :

        Connect-MgGraph -Scopes "Directory.AccessAsUser.All"

        Remarque: Connectez-vous avec un compte Microsoft 365/Entra ID disposant des privilèges d’administrateur global.

      • Commande pour mettre à jour l’attribut ImmutableID pour les utilisateurs existants :

        Update-MgUserByUserPrincipalName -UserPrincipalName "<user_mailID>" -OnPremisesImmutableId "<immutable_id>"

      • Commande pour mettre à jour l’attribut ImmutableID lors de la création de nouveaux utilisateurs

        New-MgUser -AccountEnabled:$true -UserPrincipalName "user01@selfservice.com" -MailNickname "user01" -OnPremisesImmutableId "" -DisplayName "user01" -GivenName "user" -Surname "S"

      • Commande pour confirmer si la mise à jour de l’attribut ImmutableID a réussi

        Get-MgUserByUserPrincipalName -UserPrincipalName "<user_mailID>" -Property UserPrincipalName, OnPremisesImmutableId | select UserPrincipalName, OnPremisesImmutableId

Prérequis

  1. Connectez-vous à ADSelfService Plus en tant qu’administrateur.

  2. Naviguez vers  Configuration → Self-Service → Password Sync/Single Sign On → Ajouter une application, puis sélectionnez Microsoft 365/Entra ID parmi les applications affichées.
    Remarque : Vous pouvez également trouver Microsoft 365/Entra ID l’application dont vous avez besoin via la barre de recherche située dans le volet gauche ou l’option de navigation alphabétique dans le volet droit.
  3. Cliquez sur Détails IdP dans le coin supérieur droit de l’écran.

  4. Dans la fenêtre contextuelle qui apparaît, copiez le ID d’entité, URL de connexion et URL de déconnexion et téléchargez le certificat SSO en cliquant sur le lien Télécharger le certificat.

    5. Capture d'écran

Étapes de configuration Microsoft 365/Entra ID (fournisseur de services)

  1. Ouvrez PowerShell avec les privilèges d’administrateur.
  2. Exécutez la commande suivante pour installer Microsoft Graph PowerShell, si elle n’est pas déjà installée :

    Install-Module Microsoft.Graph -Scope CurrentUser

  3. Connectez-vous à Microsoft Graph PowerShell à l’aide de la commande ci-dessous. Connectez-vous avec un compte Microsoft Entra ID disposant des privilèges d’administrateur global :

    Connect-MgGraph -Scopes "Directory.AccessAsUser.All"

  4. Récupérez la liste des domaines en exécutant :

    Get-MgDomain

  5. Spécifiez le domaine pour lequel vous souhaitez activer le SSO :

    $dom = "selfservice.com"

  6. Définissez l’URL de connexion, l’ID d’entité et l’URL de déconnexion à partir de l’étape 4 des Prérequis pour les commandes $url, $uri et $logouturl .

    $url = "<valeur de l'URL de connexion>"

    $uri = "<valeur de l'ID d’entité>"

    $logouturl = "<valeur de l'URL de déconnexion>"

    Exemple de valeurs :

    $url = "https://selfservice.com:9251/iamapps/ssologin/office365/1352163ea82348a5152487b2eb05c5adeb4aaf73"

    $uri = "https://selfservice.com:9251/iamapps/ssologin/office365/1352163ea82348a5152487b2eb05c5adeb4aaf73"

    $logouturl = "https://selfservice.com:9251/iamapps/ssologout/office365/1352163ea82348a5152487b2eb05c5adeb4aaf73"

  7. Copiez maintenant le contenu du fichier certificat SSO et assignez-le à la variable $cert comme indiqué ci-dessous :

    $cert = "MIICqjCCAhOgAwIBAgIJAN..........dTOjFfqqA="

    8. Fichier de certificat SSO
  8. Exécutez la commande suivante pour activer le SSO dans Microsoft Entra ID :

    New-MgDomainFederationConfiguration -DomainId $dom -IssuerUri $uri -PassiveSignInUri $url -SignOutUri $logouturl -SigningCertificate $cert -PreferredAuthenticationProtocol saml -federatedIdpMfaBehavior rejectMfaByFederatedIdp

  9. Pour tester la configuration, utilisez la commande suivante.

    Get-MgDomainFederationConfiguration -DomainId $dom | Format-List

    10. Get-MgDomainFederationConfiguration
    Remarque :

    Si vous avez déjà activé le SSO Microsoft 365/Entra ID avec un autre IdP ou souhaitez mettre à jour les paramètres SSO d’ADSelfService Plus, vous devez d’abord désactiver le SSO dans Microsoft 365/Entra ID, puis suivre les étapes de ce guide. Pour désactiver le SSO dans Microsoft 365/Entra ID, utilisez la commande ci-dessous :

    $dom = "selfservice.com"

    $federations = Get-MgDomainFederationConfiguration -DomainId $dom

    Remove-MgDomainFederationConfiguration -DomainId $dom -InternalDomainFederationId $federations.Id

    Remove-MgDomainFederationConfiguration

    Veuillez noter que la modification ci-dessus peut prendre un certain temps avant d’être appliquée dans Microsoft 365/Entra ID.

Étapes de configuration ADSelfService Plus (fournisseur d’identité)

  1. Maintenant, passez à la Microsoft 365/Entra ID page de configuration
  2. ADSelfService Plus Entrez le et Nom de l’application.
  3. Description Dans le champ Nom de domaine , saisissez le nom de domaine que vous avez utilisé lors de
  4. Description l’étape 4 de la configuration Microsoft 365/Entra ID. Dans le champ Affecter des stratégies, sélectionnez les stratégies pour lesquelles le SSO Azure AD SAML doit être activé.
    Remarque :ADSelfService Plus vous permet de créer des stratégies basées sur OU et groupes pour vos domaines AD. Pour créer une stratégie, accédez à Configuration → Self-Service → Configuration des stratégies → Ajouter une nouvelle stratégie.
  5. Sélectionnez l’onglet SAML et cochez la case Activer le Single Sign-On. .
  6. Choisissez le format Name ID qui doit être envoyé dans la réponse SAML. Le format Name ID spécifiera le type de valeur envoyé dans la réponse SAML pour la vérification de l’identité de l’utilisateur.

    7. Remarque: Utilisez Non spécifié comme option par défaut si vous n’êtes pas sûr du format de la valeur de l’attribut de connexion utilisé par l’application.

  7. Cliquez surAjouter une application

Remarque : ADSelfService Plus prend en charge les flux SSO SAML initiés par SP et IdP pour Microsoft 365/Entra ID.

Retour en haut

Merci !

Votre demande a été soumise à l’équipe de support technique ADSelfService Plus. Nos techniciens vous aideront dès que possible.

 

Besoin d’assistance technique ?

  • Saisissez votre adresse e-mail
  • Parler aux experts
  •  
     
  •  
  • En cliquant sur 'Parler aux experts', vous acceptez le traitement des données personnelles conformément à la Politique de confidentialité.

Vous ne trouvez pas ce que vous cherchez ?

  •  

    Visitez notre communauté

    Publiez vos questions dans le forum.

     
  •  

    Demandez des ressources supplémentaires

    Envoyez-nous vos besoins.

     
  •  

    Besoin d'aide pour la mise en œuvre ?

    Essayez OnboardPro

     

Copyright © 2026, ZOHO Corp. Tous droits réservés.