SSO Microsoft Entra
Microsoft Entra SSO est le service cloud de gestion des identités et des accès de Microsoft, qui aide vos employés à se connecter et à accéder aux ressources. Vous pouvez utiliser Entra SSO pour contrôler l’accès à vos applications et à leurs ressources, en fonction de vos besoins métier.
Conditions requises
Lors de la configuration, il vous sera demandé de fournir une URL ACS (Assertion Consumer Service).
| Condition requise | Détails |
|---|---|
| URL Assertion Consumer Service (ACS) | https://<SUBDOMAIN>.braze.com/auth/saml/callback Pour certains fournisseurs d’identité, cette URL peut également être appelée URL de réponse, URL d’audience ou URI d’audience. |
| ID d’entité | braze_dashboard |
| Clé API RelayState | Pour activer la connexion via le fournisseur d’identité, accédez à Paramètres > Clés API et créez une clé API avec les autorisations sso.saml.login. |
Connexion initiée par le fournisseur de service (SP) dans Microsoft Entra SSO
Étape 1 : Ajouter Braze depuis la galerie
- Dans votre centre d’administration Microsoft Entra, accédez à Identity > Applications > Enterprise Applications, puis sélectionnez New application.
- Recherchez Braze dans la zone de recherche, sélectionnez-le dans le panneau de résultats, puis sélectionnez Add.
Étape 2 : Configurer Microsoft Entra SSO
- Dans votre centre d’administration Microsoft Entra, accédez à la page d’intégration de votre application Braze et sélectionnez Single sign-on.
- Sur la page Select a single sign-on method, sélectionnez SAML comme méthode.
- Sur la page Set up Single Sign-On with SAML, sélectionnez l’icône de modification pour Basic SAML Configuration.
- Configurez l’application en mode initié par l’IdP en saisissant une Reply URL qui combine votre instance Braze avec le format suivant :
https://<SUBDOMAIN>.braze.com/auth/saml/callback. - Configurez le RelayState en saisissant votre clé API Relay State générée dans le champ Relay State.
Ne renseignez pas le champ Sign-On URL. Laissez ce champ vide pour éviter tout problème avec votre authentification unique SAML initiée par l’IdP.
- Formatez les assertions SAML dans le format spécifique attendu par Braze. Consultez les onglets suivants sur les attributs utilisateur et les revendications utilisateur pour comprendre comment ces attributs et valeurs doivent être formatés.
Vous pouvez gérer les valeurs de ces attributs depuis la section User Attributes sur la page Application Integration.
Utilisez les paires d’attributs suivantes :
givenname=user.givennamesurname=user.surnameemailaddress=user.mailname=user.userprincipalnameemail=user.userprincipalnamefirst_name=user.givennamelast_name=user.surnameUnique User Identifier=user.userprincipalname
Il est absolument essentiel que le champ e-mail corresponde à ce qui est configuré pour vos utilisateurs dans Braze. Dans la plupart des cas, il s’agira de user.userprincipalname. Toutefois, si votre configuration est différente, travaillez avec votre administrateur système pour vous assurer que ces champs correspondent exactement.
Sur la page Set up Single Sign-On with SAML, sélectionnez Edit pour ouvrir la boîte de dialogue User Attributes. Modifiez ensuite les revendications utilisateur selon le format approprié.
Utilisez les paires de noms de revendication suivantes :
claims/givenname=user.givennameclaims/surname=user.surnameclaims/emailaddress=user.userprincipalnameclaims/name=user.userprincipalnameclaims/nameidentifier=user.userprincipalname
Il est absolument essentiel que le champ e-mail corresponde à ce qui est configuré pour vos utilisateurs dans Braze. Dans la plupart des cas, il s’agira de user.userprincipalname. Toutefois, si votre configuration est différente, travaillez avec votre administrateur système pour vous assurer que ces champs correspondent exactement.
Vous pouvez gérer ces revendications et valeurs utilisateur depuis la section Manage claim.
- Accédez à la page Set up Single Sign-On with SAML, puis faites défiler jusqu’à la section SAML Signing Certificate et téléchargez le Certificate (Base64) approprié en fonction de vos besoins.
- Accédez à la section Set up Braze et copiez les URL appropriées pour les utiliser dans la configuration de Braze.
Étape 3 : Configurer Microsoft Entra SSO dans Braze
Après avoir configuré Braze dans le centre d’administration Microsoft Entra, Microsoft Entra fournira une URL cible (URL de connexion) et un certificat x.509 que vous saisirez dans votre compte Braze.
Une fois que votre gestionnaire de compte a activé l’authentification unique SAML pour votre compte, procédez comme suit :
- Accédez à Paramètres > Paramètres d’administration > Paramètres de sécurité et basculez la section authentification unique (SSO) SAML sur ON.
- Sur la même page, ajoutez les éléments suivants :
| Condition requise | Détails |
|---|---|
SAML Name |
Ce nom apparaîtra comme texte du bouton sur l’écran de connexion. Il s’agit généralement du nom de votre fournisseur d’identité, par exemple « Microsoft Entra ». |
Target URL |
Il s’agit de l’URL de connexion fournie par Microsoft Entra. |
Certificate |
Le certificat x.509 encodé en PEM est fourni par votre fournisseur d’identité. |
Si vous souhaitez que les utilisateurs de votre compte Braze se connectent uniquement via l’authentification unique SAML, vous pouvez restreindre l’authentification par authentification unique depuis la page Paramètres de l’entreprise.