Accueil Blog Intégration SSO Acumatica Cloud ERP - avec un focus sur Microsoft Live ID et Google

Intégration SSO Acumatica Cloud ERP - avec un focus sur Microsoft Live ID et Google

Mark Franks | 23 novembre 2022

Dans le billet d'aujourd'hui, j'ai pensé partager avec vous la façon dont vous pouvez mettre en œuvre l'authentification unique (SSO) sur la plateforme Acumatica Cloud ERP, permettant une expérience d'authentification plus transparente pour vos utilisateurs. Lorsque le SSO est activé, les utilisateurs peuvent se connecter une seule fois et accéder ensuite à tous les systèmes qui font confiance au fournisseur de sécurité utilisé pour l'authentification - comme Google ou Microsoft, par exemple.

D'emblée, vous pouvez facilement activer Active Directory de Microsoft, Azure Active Directory, ou Live ID de Microsoft - ou les identifiants clients OAuth 2.0 de Google. Vous pouvez également utiliser d'autres solutionstierces avec un peu plus de travail - comme OneLogin par exemple. Pour aujourd'hui, nous nous concentrerons sur les solutions prêtes à l'emploi et nous discuterons de ces autres fournisseurs d'identité dans un autre article à l'avenir.

J'ai activé Google et Microsoft en tant que fournisseurs externes pour que les utilisateurs puissent se connecter à mon instance Acumatica ci-dessous. Les utilisateurs se connectant au système verront l'écran de connexion suivant dans la figure 1 ci-dessous.

Acumatica Cloud ERP - Connexion Google et Microsoft.

Dans le cas ci-dessus, les utilisateurs peuvent utiliser leurs identifiants Acumatica pour se connecter - ou utiliser leur compte Google ou leur compte MicrosoftLiveIDpour se connecter, si un administrateur du système les a associés à l'un ou l'autre de ces fournisseurs externes par le biais de leur profil d'utilisateur.

Lorsque les utilisateurs choisissent l'un des fournisseurs externes, ils seront automatiquement redirigés vers la page de connexion du fournisseur d'identité sélectionné lorsqu'ils navigueront vers votre instance Acumatica ERP (Enterprise Resource Planning). De plus, vous pouvez afficher des formulaires Acumatica ERP sur vos autres sites web. Par exemple, vous pouvez intégrer un lien vers le formulaire Tâches (EP.40.40.00) dans la page Office 365 de votre entreprise pour afficher et accéder à votre liste de tâches Acumatica ERP directement dans Office 365.

Intégration avec Microsoft Active Directory

Acumatica prend en charge l'intégration avec Microsoft Active Directory (AD) et Microsoft Azure Active Directory (Azure AD) pour fournir une gestion centralisée des utilisateurs et des accès. Une fois que ces produits ont été intégrés à Acumatica, les utilisateurs du domaine peuvent utiliser leurs identifiants de domaine pour se connecter au système.

En intégrant Acumatica Cloud ERP et Azure Active Directory (Azure AD), vos utilisateurs bénéficient d'une authentification unique pour l'ensemble des applications. Les utilisateurs peuvent accéder à l'instance d'Acumatica ERP en fonction de leur compte organisationnel dans Azure AD. Les droits d'accès des utilisateurs dans Acumatica ERP sont appliqués automatiquement, sur la base des règles de mappage prédéfinies entre les groupes Azure AD et les rôles Acumatica ERP.

En outre, vous pouvez configurer une connexion silencieuse. Avec la connexion silencieuse, les utilisateurs sont automatiquement redirigés vers l'écran de connexion Azure lorsqu'ils tentent d'accéder à l'instance Acumatica ERP. Vous pouvez configurer l'intégration avec Azure Active Directory lors de l'implémentation d'Acumatica ERP ou à tout moment par la suite. Lorsqu'un utilisateur du domaine se connecte à Acumatica, un compte utilisateur approprié sera créé automatiquement dans Acumatica avec les champs de nom d'utilisateur et de mot de passe non disponibles et avec des rôles d'utilisateur correspondant aux groupes du domaine AD.

Je n'entrerai pas ici dans les détails de la configuration d'Active Directory, car je souhaite me concentrer davantage sur les fournisseurs d'identité externes, pour des raisons de place et de respect du temps de mon auditoire.

Activation du SSO Microsoft Live ID

La possibilité d'utiliser un fournisseur externe pour l'authentification est pratique à la fois pour l'administrateur et pour l'utilisateur, car elle permet d'utiliser un fournisseur de confiance pour fournir une méthode d'authentification sécurisée. Pour activer Microsoft Live ID dans Acumatica, vous devez d'abord enregistrer votre instance Acumatica avec un compte Microsoft Live ID et obtenir les informations d'identification OAuth 2.0.

La première étape du processus consiste à se connecter au portail d'enregistrement des applications Microsoft - https://account.live.com/developers/applications et à ajouter une nouvelle application. Cliquez sur le bouton Ajouter une application, saisissez un nom, puis cliquez sur le bouton Créer une application, comme le montre la capture d'écran ci-dessous dans la figure 2.

Enregistrement d'une nouvelle demande.

L'écran suivant s'affiche - voir la capture d'écran ci-dessous, Figure 3 . Tout d'abord, vous devrez générer un nouveau mot de passe dans les Secrets d'application (2). Copiez/écrivez le mot de passe et l'identifiant de l'application (1) car vous en aurez besoin plus tard lors de la configuration du côté d'Acumatica. Ensuite, ajoutez une plateforme (3) et choisissez Web (mobile est l'autre choix) et entrez votre URL de redirection Acumatica (4) - qui sera sous la forme de https://app.site.net/instancename/Frames/authdock.ashx. Si vous avez une instance d'évaluation, elle sera similaire à ce que vous voyez dans la capture d'écran. Si vous avez une instance de licence payante, vous devrez ajouter un logo, l'URL des conditions de service et l'URL de la déclaration de confidentialité - sinon, il n'est pas nécessaire d'ajouter ces éléments.

Mon inscription à la démo MS Live SSO.

Enregistrez vos modifications, après avoir complété ces informations dans le portail d'enregistrement des applications Microsoft, puis passez à la configuration nécessaire dans Acumatica, que je décrirai ensuite.

Terminer le processus d'activation du SSO Live ID d'Acumatica Cloud ERP

Récupérez vos identifiants obtenus et sauvegardés dans les étapes précédentes et connectez-vous à votre instance Acumatica - vous aurez besoin de privilèges administratifs. Sélectionnez l'onglet CONFIGURATION, puis Sécurité de l'utilisateur. Dans le volet de navigation, cliquez sur Security Preferences (Préférences de sécurité) sous Configure (Configurer). L'écran suivant devrait s'afficher, comme le montre la figure 4 ci-dessous.

Acumatica Cloud ERP SSO Live ID Enablement Process.

Dans le tableau Allowed External Identity Providers, activez le fournisseur MicrosoftAccount en cochant la case Active (1). Dans la colonne Realm (2), saisissez l'URL complète de votre instance Acumatica - par exemple, http://app.site.net/instancename - comme je l'ai fait ci-dessus. Dans la colonne Application ID (3), collez l'Application ID généré par Microsoft ainsi que le mot de passe/secret dans la colonne Application Secret (4). Enfin, dans la barre d'outils du formulaire, cliquez sur l'icône de la disquette pour enregistrer (5).

Une fois ces étapes terminées, vous êtes prêt à associer les comptes d'utilisateurs - c'est la dernière étape de la configuration du SSO pour les comptes Live ID.

Acumatica Dashboard - Configuration du SSO pour les comptes Live ID.

Dans la zone d'information située dans le coin supérieur droit de l'écran, cliquez sur votre nom d'utilisateur (ADMIN) et sélectionnez User Profile... (1). Ensuite, dans l'onglet Identités externes, sélectionnez la ligne MicrosoftAccount dans le tableau (2) et, après vous être assuré que la case Active est cochée, cliquez sur ASSOCIER UN UTILISATEUR (3). Cela ouvrira la page de connexion au compte Microsoft, où vous devrez entrer l'email et le mot de passe de votre compte Microsoft - si vous n'êtes pas déjà connecté - puis vous devrez approuver la liaison de votre compte Live ID avec Acumatica. Ensuite, la clé d'utilisateur sera automatiquement insérée dans la colonne User Key pour l'entrée du fournisseur MicrosoftAccount ci-dessus dans la capture d'écran.

Maintenant, déconnectez-vous d'Acumatica et reconnectez-vous... et au lieu d'entrer vos identifiants de connexion, vous cliquez simplement sur la petite icône bleue de Windows (voir ci-dessous) et vous êtes immédiatement autorisé à entrer dans Acumatica sans entrer votre nom d'utilisateur et votre mot de passe, en supposant que vous vous êtes connecté auparavant - sinon, vous serez redirigé vers l'entrée de vos identifiants Microsoft Live ID.

Acumatica en entrant votre nom d'utilisateur et votre mot de passe.

C'est bien beau, non ? Ah, la beauté du SSO. Maintenant que je l'ai activé moi-même pour mon instance de démonstration, j'aime la vie et je vis en grand.

Should you wish to enabling silent logon and make it so that your users authenticate themselves with the Microsoft Account identity provider, you enable this by altering the web.config file for the site instance.  You will find the file in %Program Files%\ Acumatica ERP\<instance name>, where <instance name> is the name of the application instance website.

Ajoutez le paramètre silentlogin avec la valeur LiveID à la section externalAuth, comme indiqué ci-dessous :


<externalAuth returnUrl=”Main.aspx”
authUrl=”Frames/AuthDock.ashx”
silentLogin=”LiveID”
externalLogout=”true” selfAssociate=”True” instanceKey=”” />

et enregistrez vos modifications dans le fichier.

Passons maintenant à la procédure d'activation de Google en tant que fournisseur d'identité SSO.

Activation de Google SSO

Pour que vos utilisateurs puissent se connecter avec leur compte Google, vous devez d'abord enregistrer votre instance Acumatica Cloud ERP auprès de Google et obtenir les informations d'identification OAuth 2.0.

Pour enregistrer votre application avec votre compte Google, connectez-vous à la Google Developers Console - https://console.developers.google.com/. Cela ouvre la page Projets de la Google Developers Console ou ce qui est actuellement appelé Google API Manager, comme le montre la capture d'écran ci-dessous. À côté de Google APIs dans la barre de menu supérieure, sélectionnez la liste déroulante (1) et cliquez sur Create project (2) pour créer un nouveau projet, ou cliquez sur le nom du projet pour ouvrir un projet existant, comme vous le voyez ci-dessous dans la figure 7.

Google APIs - Mon projet

Si vous créez un nouveau projet, cela peut prendre une minute ou deux... Ensuite, dans la barre latérale de gauche, sélectionnez Credentials (3). Lorsque l'écran suivant apparaît, cliquez sur Create Credentials (1) et sélectionnez OAuth client ID dans la liste déroulante (2), comme illustré ci-dessous dans la figure 8.

Google APIs - Mon projet - Références.

Ensuite, vous devez définir un nom de produit - configurez l'écran de consentement en cliquant sur le bouton bleu...

Dans l'écran suivant, saisissez un nom de produit (1). Vous pouvez remplir les autres champs comme vous le souhaitez, mais ils sont facultatifs à ce stade. Cliquez sur le bouton Enregistrer pour sauvegarder (2) votre configuration.

Nom du produit montré aux utilisateurs - Acumatica Cloud ERP

Vous allez maintenant sélectionner le type d'application - sélectionnez Application Web (1), saisissez/choisissez un nom de client (2), saisissez l'URI d'origine de l'application client (3), l'URI de redirection (4) comme nous l'avons fait de manière similaire pour configurer le fournisseur externe Microsoft Live ID. Voir la capture d'écran ci-dessous(Figure 11). Lorsque vous avez terminé, cliquez sur le bouton Créer (5).

Type d'application - Web App - Nom - ERP Client

A la fin du processus de création, vous recevrez vos identifiants nécessaires - voir la capture d'écran ci-dessous (Figure 12). Vous pouvez les copier et les conserver en lieu sûr pour les utiliser plus tard lors de la configuration du côté d'Acumatica, que je décrirai brièvement car le processus est le même que celui décrit ci-dessus dans le cas du MS Live ID.

Client OAuth - L'identifiant et le secret du client ont été volontairement masqués.

Une fois que vous aurez cliqué sur OK - après avoir copié vos données d'identification - vous serez dirigé vers l'écran ci-dessous.

Références - ID du client.

Les dernières étapes du processus d'activation du SSO pour Google sont les mêmes que celles que nous avons abordées dans l'exemple de Microsoft. Reportez-vous aux captures d'écran, si nécessaire, de l'exemple Microsoft ci-dessus.

  1. Récupérez vos identifiants obtenus et sauvegardés dans les étapes précédentes et connectez-vous à votre instance Acumatica - vous aurez besoin de privilèges administratifs. Sélectionnez l'onglet CONFIGURATION, puis Sécurité de l'utilisateur. Dans le volet de navigation, cliquez sur Security Preferences (Préférences de sécurité) sous Configure (Configurer).
  2. Dans le tableau Fournisseurs d'identité externes autorisés, activez le fournisseur Google en cochant la case Actif. Dans la colonne Realm, entrez l'URL complète de votre instance Acumatica - par exemple, http://app.site.net/instancename.
  3. Dans la colonne ID de l'application, collez l'ID de l'application généré par Google ainsi que le secret dans la colonne Secret de l'application.
  4. Enfin, dans la barre d'outils du formulaire, cliquez sur l'icône de la disquette pour sauvegarder (5).

Une fois ces étapes terminées, vous êtes prêt à associer des comptes d'utilisateurs. Il s'agit de la dernière étape de la configuration du SSO pour les comptes Google.

  1. Dans la zone d'information située dans le coin supérieur droit de l'écran, cliquez sur votre nom d'utilisateur (ADMIN) et sélectionnez le profil d'utilisateur.
  2. Ensuite, dans l'onglet Identités externes, sélectionnez la ligne Google dans le tableau ;
  3. Après vous être assuré que la case Active est cochée, cliquez sur ASSOCIER UN UTILISATEUR. Cela ouvrira la page de connexion au compte Google, où vous devrez entrer l'adresse e-mail et le mot de passe de votre compte Google - si vous n'êtes pas déjà connecté - puis vous devrez approuver la liaison de votre compte Google avec Acumatica. Ensuite, la clé d'utilisateur sera automatiquement insérée dans la colonne Clé d'utilisateur pour l'entrée du fournisseur Google.
  4. Maintenant, déconnectez-vous d'Acumatica et reconnectez-vous... et au lieu d'entrer vos identifiants de connexion, vous cliquez simplement sur la petite icône Google (voir ci-dessous - Figure 13) et vous êtes immédiatement autorisé à entrer dans Acumatica sans entrer votre nom d'utilisateur et votre mot de passe.

Entrée dans le tableau de bord d'Acumatica ERP Cloud.

Résumé

Alors que les systèmes logiciels continuent de proliférer pour soutenir les processus d'entreprise, les utilisateurs doivent se souvenir d'un nombre croissant d'informations d'identification. Les utilisateurs se connectent généralement à de nombreux systèmes, chacun d'entre eux impliquant souvent des noms d'utilisateur et des informations d'authentification différents. Les administrateurs doivent gérer des comptes d'utilisateurs pour chaque système auquel accèdent leurs utilisateurs. Ces comptes doivent être coordonnés afin de maintenir l'intégrité de l'application de la politique de sécurité de l'organisation.

Voici quelques-uns des avantages à prendre en compte lors de la mise en œuvre de l'authentification unique :

  1. Amélioration de la sécurité, les utilisateurs n'ayant pas à se souvenir de plusieurs jeux d'identifiants.
  2. Réduire le temps de connexion aux systèmes à des domaines individuels - en tenant compte des échecs de connexion dus à des trous de mémoire.
  3. Réduction des coûts informatiques grâce à la diminution du nombre d'appels au service d'assistance informatique pour la réinitialisation des mots de passe.
  4. Confort d'utilisation et utilisateurs satisfaits

Dans un prochain article, j'ai l'intention d'aborder la mise en œuvre d'autres fournisseurs personnalisés detierces parties tels que LoginOne, par exemple.

Auteur du blog

Mark était auparavant responsable des relations avec les développeurs chez Acumatica.

Recevez les mises à jour du blog dans votre boîte de réception.