Lors de l'ajout d'un compte, il est nécessaire de saisir la clé de licence disponible sur la fiche compte associée accessible dans le portail Report One.
L'utilisation d'un fournisseur d'identité permet de simplifier la gestion des utilisateurs du projet : tout utilisateur / groupe défini dans le fournisseur d'identité est accessible dans MyReport
MyReport permet de se connecter aux fournisseurs d'identités suivants :
AD - Active Directory
Entra ID - Microsoft Entra ID
anciennement AAD - Azure Active Directory (Azure AD)
AD B2C - Azure Active Directory B2C
La définition du fournisseur d'identité se fait sur la définition du compte de licence. (Administrator -> Administrateur système -> Compte -> Fournisseur d'identité)
La connexion à un AD se fait en renseignant le domaine ("adresse") de celui-ci.
Il est aussi possible de configurer l'accès avec l'utilisation d'un compte spécifique pour tous les appels à l'Active Directory (Domaine / Utilisateur / Mot de passe).
Si aucun compte n'est précisé, MyReport se connecte à l'AD avec le compte exécutant le service MyReport.
Ce compte doit avoir les droits suffisant pour :
- consulter l'AD (utilisateurs et groupes)
- lire userAccountControl (UAC)
Cette option permet de ne pas charger entièrement tous les groupes de l'AD des utilisateurs quand le client se connecte au projet.
Quand cette option est activée, seul les groupes directs auxquels est rattaché l'utilisateur sont chargés.
Quand cette option n'est pas activée (par défaut), tous les groupes de l'utilisateur sont chargés.
Microsoft Entra ID est le nouveau nom de Azure Active Directory (AAD - Azure AD).
La connexion à un Microsoft Entra ID nécessite la configuration sur la plateforme Azure d'une application pour MyReport avec les droits d'application suivants :
menu "API autorisées"
Type application
Group.Read.All
GroupMember.Read.All
User.Read.All
Type déléguée
User.Read
menu "Authentification"
Paramètres avancées
Activez "Autoriser les flux clients publics"
Note
Seul un Administrateur de Microsoft Entra ID pourra donner les droits sur l'application (Admin Consent)
Vous trouverez ci-dessous les liens vers la documentation de Microsoft explicitant les autorisations.
Dans MyReport, la connexion à Entra ID se fait en renseignant :
l'ID Tenant (aussi appelé ID du locataire) dans l'URL d'autorité
l'ID Client (aussi appelé ID d'application)
le Secret Client
Note
Ces informations sont disponibles dans la fenêtre "vue d'ensemble" de votre application azure. Attention, le secret client est uniquement récupérable lors de sa création dans "Certificats & Secrets"
Spécificités Entra ID
Le "nom d'utilisateur principal" dans Entra ID est utilisé pour le champs login et email dans MyReport.
Vous trouverez ci-après le lien vers une Connaissance détaillant la procédure permettant de se connecter à un Microsoft Entra ID.
L'Azure AD B2C est la solution Azure pour permettre l'inscription et la connexion d'utilisateurs externes aux applications MyReport.
La connexion au service et l'utilisation de l'ADB2C nécessitent la configuration sur la plateforme Azure d'une application pour MyReport avec les droits d'application suivants :
menu "API autorisées"
Type application
Group.Read.All
GroupMember.Read.All
User.Read.All
Type déléguée
User.Read
menu "Authentification"
Paramètres avancées
Activez "Autoriser les flux clients publics"
Dans le cas d'une utilisation de l'application à des fins d'Inscription, de connexion Web (MyReport Center) ou de connexion sur un client lourd, il est nécessaire de configurer les flux utilisateurs. Ceux-ci sont obligatoires pour valider la configuration du compte ADB2C dans MyReport.
Dans MyReport Administrator , la connexion à l'AD B2C se fait en renseignant :
le nom d'annuaire
l'ID Tenant (aussi appelé ID du locataire) dans l'URL d'autorité
l'ID Client (aussi appelé ID d'application)
le Secret client
Le nom de domaine (pour la redirection)
Le flux de connexion (pour la connexion à MyReport Center)
Le flux de connexion ROPC (pour la connexion aux clients lourds tels que Data, Page…)
Note
Ces informations sont disponibles dans la fenêtre "vue d'ensemble" de votre application azure. Attention, le secret client est uniquement récupérable lors de sa création dans "Certificats & Secrets"
Un scénario de configuration est disponible sur demande auprès du support client pour faciliter la création de la connexion en ADB2C.
Avec le fournisseur d'identité Microsoft Entra ID, il est possible de se connecter en SSO uniquement dans MyReport Center, avec le protocole OpenID Connect.
Important
Le SSO est uniquement disponible pour MyReport Center. Il n'est actuellement pas compatible avec les clients lourds.
Pour l'application Azure configurée pour le compte Licence, vous devez définir les éléments ci-dessous
Application Azure
menu "Authentification"
Ajouter "une plateforme WEB"
Ajoutez une URI de redirection :
/auth/signin-aadExemple : http://localhost:8081/auth/signin-aad
Octroi implicite et flux hybrides
cochez "Jetons d’accès (utilisés pour les flux implicites)"
cochez "Jetons d’ID (utilisés pour les flux implicites et hybrides)"
menu "API Autorisées"
Ajoutez l'autorisation Déléguée
openid
Spécificités SSO
Si vous avez plusieurs comptes de licences
Le bouton "Se connecter à Entra ID" apparaît à partir du moment où un compte est configuré avec Entra ID. (Anciennement bouton "Se connecter à Azure AD")
Si plusieurs comptes de licences sont paramétrés avec des Entra ID différents, le SSO utilisera le premier paramétré.
Vous trouverez ci-après le lien vers une Connaissance détaillant la procédure permettant de se connecter à un Microsoft Entra ID.
Lorsqu'un utilisateur issu du fournisseur d'identité se connecte pour la première fois à un produit MyReport, si il appartient à un groupe issu du fournisseur d'identité avec licences :
- Chaque type de licences disponibles (Manager, Viewer, Center) de ce groupe lui est automatiquement attribué.
Si il n'y a pas assez de licences disponibles sur le compte :
- MyReport vérifiera dans le fournisseur d'identité si un utilisateur est inactif afin de lui désaffecter la licence
- MyReport vérifiera si des licences sont en attente de libération
- Puis MyReport retentera l'affectation.
Les données issues du fournisseur d'identité configuré sont mises en cache. Tous les appels aux données issues du fournisseur d'identité, par exemple la remontée des utilisateurs / groupes dans la configuration des licences / droits, utilisent ce cache.
La validation des données d'identification (identifiant et mot-de-passe) est toujours effectuée par un appel direct au fournisseur d'identité.
Les données sont chargées en deux étapes lors de l'actualisation du cache :
- Un chargement initial de la totalité des utilisateurs et groupes. Ce chargement sera utilisé par les zones de recherches d'utilisateurs / groupes issus du fournisseur d'identité.
Lorsque l'utilisation du produit le nécessite, un chargement des liens entre utilisateurs et groupes, c'est à dire les groupes d'un utilisateurs ou les utilisateurs d'un groupes. Les liens chargés entre les utilisateurs et les groupes sont ajoutés dans le cache. Les données sont conservées et réutilisées à chaque demande jusqu'à l'actualisation suivante du cache.
En conséquence, le premier appel à une "nouvelle" ressource, pas encore chargée pour la journée, peut prendre un temps plus important.
Par exemple, du fait du chargement partiel du cache du fournisseur d'identité, la première ouverture d'un projet, après le lancement du service ou après le rechargement du cache, peut occasionner un temp de chargement plus long. En effet, lorsqu'un utilisateur ou groupe issu du fournisseur d'identité est utilisé dans les produits, un appel supplémentaire au fournisseur d'identité est effectué pour compléter ses informations (liens entre utilisateur et groupe), si ce chargement n'avait pas été fait. Ainsi, à l'ouverture d'un projet, notamment depuis Administrator, la totalité des utilisateurs et groupes issus du fournisseur d'identité sont utilisés, et donc chargés totalement (si ce n'est pas déjà fait), occasionnant un temps de chargement plus long.
Actualisation du cache :
Les données sont mises en cache lors de la configuration du fournisseur d'identité dans la fenêtre "Compte" (Administrator -> Administrateur système).
Le cache du fournisseur d'identité est réactualisé
automatiquement toutes les nuits, à 1h du matin.
au redémarrage du service MyReport.
Le cache peut être rechargé manuellement depuis la fenêtre "Compte" (Administrator -> Administrateur système -> Compte -> Fournisseur d'identité -> Recharger)
Fonctionnement :
Une fenêtre pop-up vous indique le déroulé du chargement. Les fenêtres "en cours" de progression ne sont pas affichées si la dernière fenêtre (par exemple la fenêtre de départ) date de moins de 2s.
Si le cache est en cours de chargement pour la première fois, par exemple suite à un redémarrage du serveur, lors d'un appel, il y a une attente de chargement du cache de maximum 3 min.
Au-delà du temps d'attente maximal, bien que le chargement continue, l'erreur suivante est retournée :"Les données du fournisseur d'identité n'ont pu être chargées à temps pour le domaine : domaine configuré. Veuillez réessayer dans quelques minutes."
Le temps d'attente de maximum 3 min est partagé pour tous les appels. (Par exemple, un 1er utilisateur demande à se connecter, il attendra maximum 3 min. Un second utilisateur demandant à se connecter 1 min après le premier attendra maximum 2 min.)Si au bout de ce temps d'attente total maximal, le chargement des données du cache n'est pas terminé, toute demande supplémentaire retournera immédiatement l'erreur "Les données du fournisseur d'identité n'ont pu être chargées ..." et ce jusqu'à la fin du chargement du cache.
Si le cache est en cours de rechargement mais qu'il a déjà été chargé, aucun appel n'est bloqué. Les réponses sont données à partir du cache "précédent" jusqu'à la fin du chargement.
Si le chargement à rencontré une erreur, le cache précédent reste en ce cas disponible et utilisé pout tous les appels.
Spécificités :
- Lors de la connexion d'un utilisateur, ses données personnelles sont mises à jour dans le cache du fournisseur d'identité et disponible ensuite pour les autres utilisateurs.
Il y a un cache par domaine (ou par "Authority" dans le cadre de Microsoft Entra ID). Pour deux comptes configurés avec le même domaine Active Directory, sur le même MyReport Server, le même cache sera utilisé côté serveur. Ainsi, en "rechargeant" le cache sur un compte, il sera aussi en rechargement pour tous les autres comptes utilisant le même domaine.
Le cache est toutefois lié au serveur (et reste donc différent si plusieurs serveurs sont disponibles). Si un utilisateur utilise le même domaine pour des comptes sur des serveurs différents, chaque cache est indépendant.
