🔐 Azure AD + Camunda 8 SSO – Complete Setup Guide (OIDC)

Configurer le SSO (Single Sign-On) entre Camunda 8 et Microsoft Azure Active Directory (Azure AD) est une exigence clé en environnement entreprise.

Cette intégration permet :
✔ Authentification centralisée
✔ Connexion avec comptes entreprise
✔ Gestion fine des rôles et permissions
✔ Sécurité renforcée (OIDC, OAuth2)
✔ Expérience utilisateur fluide (SSO réel)

---

⭐ 1. Architecture SSO – Vue d’ensemble

Flux d’authentification :

1. L’utilisateur accède à Tasklist / Operate

2. Camunda redirige vers Azure AD

3. L’utilisateur s’authentifie (SSO)

4. Azure AD renvoie un ID Token (OIDC)

5. Camunda Identity valide le token

6. Accès accordé selon les rôles

👉 Camunda Identity est le composant central pour le SSO.

---

⭐ 2. Prérequis

Avant de commencer, assurez-vous d’avoir :

✔ Camunda 8 déployé (AKS / Kubernetes / Docker)
✔ Un tenant Azure AD actif
✔ Droits administrateur Azure AD
✔ Accès au Portail Azure
✔ Nom de domaine public (HTTPS recommandé)

---

⭐ 3. Créer une application Azure AD (OIDC)

🔹 Étape 1 : Accéder à Azure AD

• Portail Azure → Azure Active Directory

• App registrations → New registration

---

🔹 Étape 2 : Paramètres de base

• Name : camunda-8-sso

• Supported account types : Single tenant

• Redirect URI (Web) :

https://<camunda-domain>/auth/realms/camunda/protocol/openid-connect/callback

✔ Cliquez sur Register

---

⭐ 4. Configurer les secrets et endpoints

🔹 Client Secret

• Certificates & secrets

• New client secret

• Copier la valeur (une seule fois)

---

🔹 Endpoints OIDC

Dans Overview → Endpoints, notez :

• Issuer URL

• Authorization endpoint

• Token endpoint

• JWKS URI

👉 Ils seront utilisés par Camunda Identity.

---

⭐ 5. Configurer les claims (très important)

Ajouter les groupes Azure AD :

• Token configuration → Add groups claim

• Type : Security groups

• ID token + Access token

👉 Cela permet le mapping des rôles Camunda.

---

⭐ 6. Configurer Camunda Identity (OIDC)

Camunda 8 utilise Keycloak en interne pour Identity.

Exemple values.yaml (Helm)

identity:
  enabled: true
  keycloak:
    env:
      - name: KC_OIDC_CLIENT_ID
        value: camunda-8-sso
      - name: KC_OIDC_CLIENT_SECRET
        value: <client-secret>
      - name: KC_OIDC_ISSUER_URI
        value: https://login.microsoftonline.com/<tenant-id>/v2.0
      - name: KC_OIDC_USERNAME_CLAIM
        value: preferred_username

---

⭐ 7. Mapper les rôles Azure AD → Camunda

Exemples de rôles Camunda :

• operate

• tasklist

• optimize

• admin

Mapping recommandé :

Groupe Azure AD	Rôle Camunda
CAMUNDA_ADMIN	admin
CAMUNDA_USER	tasklist
CAMUNDA_OPERATE	operate

👉 Le mapping se fait dans Keycloak / Identity.

---

⭐ 8. Activer le SSO dans Tasklist & Operate

Après configuration :

• Redémarrez les pods Identity

• Accédez à :

  • /tasklist

  • /operate

Vous serez automatiquement redirigé vers Azure AD.

✔ Authentification réussie
✔ Aucun mot de passe Camunda local requis

---

⭐ 9. Sécurité – Bonnes pratiques

✔ HTTPS obligatoire
✔ Secrets stockés dans Azure Key Vault
✔ Rotation régulière des secrets
✔ RBAC strict via groupes Azure AD
✔ Accès privé AKS (si possible)
✔ Logs d’authentification activés

---

⭐ 10. Dépannage (Troubleshooting)

Problème	Cause probable
Boucle de login	Redirect URI incorrect
Accès refusé	Groupes non mappés
Token invalide	Issuer URL incorrect
Utilisateur sans rôle	Claim groups manquant
Erreur 401	Secret expiré

👉 Toujours vérifier les logs Identity / Keycloak.

---

⭐ 11. Cas d’usage entreprise

✔ Accès unifié pour tous les employés
✔ Désactivation automatique lors du départ
✔ Conformité sécurité (ISO, SOC, GDPR)
✔ Audit et traçabilité des accès
✔ Intégration IAM existante

---

🎉 Conclusion

Mettre en place le SSO Azure AD avec Camunda 8 permet :

✔ Une sécurité entreprise renforcée
✔ Une gestion centralisée des identités
✔ Une expérience utilisateur fluide
✔ Une intégration IAM moderne et standardisée

👉 C’est une configuration indispensable pour toute plateforme Camunda 8 en production.

💼 Support professionnel disponible

Si vous rencontrez des problèmes sur des projets réels liés au développement backend d’entreprise ou à l’automatisation des workflows, je propose des services de conseil payants, de débogage en production, de support projet et de formations ciblées.

Les technologies couvertes incluent Java, Spring Boot, PL/SQL, Azure, ainsi que l’automatisation des workflows (jBPM, Camunda BPM, RHPAM).

📧 Contact: ishikhanirankari@gmail.com | info@realtechnologiesindia.com

🌐 Website: IT Trainings | Digital lectern | Digital rostrum | Digital metal podium