GLPI supporte-t-il la connexion avec Azure AD ?

Oui. Via le protocole SAML, GLPI peut authentifier les utilisateurs directement via Microsoft Entra ID (anciennement Azure AD), avec provisionnement automatique (JIT) à la première authentification.

Ai-je besoin d'un plugin pour le SSO dans GLPI ?

Dans GLPI 10, le plugin PHP SAML est nécessaire. Dans GLPI 11, consultez la documentation officielle pour le support natif ou utilisez le plugin compatible.

Le SSO fonctionne-t-il avec MFA (authentification multi-facteurs) ?

Oui. Le MFA est géré par Azure AD. GLPI ne reçoit que la confirmation d'une authentification réussie, quel que soit le nombre de facteurs utilisés.

Les utilisateurs sont-ils créés automatiquement dans GLPI ?

Oui, via le provisionnement Just-in-Time (JIT). À la première authentification, GLPI crée automatiquement l'utilisateur avec les données d'Azure AD (nom, email, groupes).

Connexion SSO dans GLPI avec Azure AD (Entra ID) : Guide Complet

Single Sign-On élimine le besoin de mots de passe séparés pour GLPI. Vos utilisateurs se connectent avec leur compte d'entreprise Microsoft 365, avec MFA et toutes les politiques de sécurité d'Azure AD.

Pourquoi le SSO pour GLPI

Élimine les mots de passe locaux dans GLPI (surface d'attaque réduite)
Les utilisateurs se connectent avec les mêmes identifiants Microsoft 365
MFA géré de manière centralisée par Azure AD
Provisionnement automatique : nouvel employé dans l'AD = accès à GLPI
Désactivation centralisée : désactiver dans l'AD = plus d'accès à GLPI

Prérequis

GLPI 10.0.14+ ou GLPI 11
Tenant Microsoft Entra ID (Azure AD) avec permission d'administrateur
GLPI accessible via HTTPS (SSL obligatoire pour SAML)
Plugin PHP SAML installé dans GLPI (pour GLPI 10)

1. Configurer Azure AD

Créer l'application d'entreprise

Dans le portail Azure, accédez à Entra ID > Enterprise Applications > New Application
Cliquez sur "Create your own application"
Nom : "GLPI" > Integrate any other application (Non-gallery)
Sous Single sign-on, sélectionnez "SAML"

Configurer les URLs SAML

Identifier (Entity ID) : https://glpi.suaempresa.com/
Reply URL (ACS) : https://glpi.suaempresa.com/front/acs.php
Sign-on URL : https://glpi.suaempresa.com/

Attributs et Claims

Configurez les claims SAML suivants :

name : user.displayname
emailaddress : user.mail
firstname : user.givenname
surname : user.surname

Télécharger le certificat

Dans la section "SAML Signing Certificate", téléchargez le certificat Base64 et le Federation Metadata XML.

2. Configurer GLPI

Installer le plugin PHP SAML

Téléchargez le plugin compatible avec votre version de GLPI et installez-le dans /var/www/glpi/plugins/phpsaml/.

Configurer le plugin

Sous Configuration > Plugins > PHP SAML, saisissez :

IdP Entity ID : valeur Azure (Login URL)
IdP SSO URL : Login URL d'Azure
IdP Certificate : contenu du certificat Base64 téléchargé
JIT Provisioning : Activé

3. Attribuer des utilisateurs et des groupes

Dans Azure AD, sous Enterprise Applications > GLPI > Users and Groups, attribuez les utilisateurs ou groupes qui auront accès à GLPI.

4. Tester

Accédez à https://glpi.suaempresa.com. Le bouton de connexion SSO doit apparaître. En cliquant dessus, l'utilisateur est redirigé vers la connexion Microsoft 365.

Dépannage

Erreur de certificat : vérifiez que le certificat dans GLPI correspond à celui d'Azure
Utilisateur non créé : vérifiez que JIT est activé et que les claims sont correctement configurés
Boucle de redirection : vérifiez que la Reply URL est correcte et sans barre oblique finale supplémentaire

Prochaine étape

Avec le SSO configuré, avancez avec les profils et les permissions pour contrôler ce que chaque groupe AD peut faire dans GLPI.

Nextool Solutions

Pourquoi le SSO pour GLPI

Prérequis