🔐 Azure AD + Camunda 8 SSO – Complete Setup Guide (OIDC)

Configurer le SSO (Single Sign-On) entre Camunda 8 et Microsoft Azure Active Directory (Azure AD) est une exigence clé en environnement entreprise.

Cette intégration permet :
✔ Authentification centralisée
✔ Connexion avec comptes entreprise
✔ Gestion fine des rôles et permissions
✔ Sécurité renforcée (OIDC, OAuth2)
✔ Expérience utilisateur fluide (SSO réel)


Cette architecture est couramment utilisée dans les environnements microservices modernes.

👉 environnements microservices modernes

⭐ 1. Architecture SSO – Vue d’ensemble

Flux d’authentification :

  1. L’utilisateur accède à Tasklist / Operate

  2. Camunda redirige vers Azure AD

  3. L’utilisateur s’authentifie (SSO)

  4. Azure AD renvoie un ID Token (OIDC)

  5. Camunda Identity valide le token

  6. Accès accordé selon les rôles

👉 Camunda Identity est le composant central pour le SSO.

⭐ 2. Prérequis

Avant de commencer, assurez-vous d’avoir :

✔ Camunda 8 déployé (AKS / Kubernetes / Docker)
✔ Un tenant Azure AD actif
✔ Droits administrateur Azure AD
✔ Accès au Portail Azure
✔ Nom de domaine public (HTTPS recommandé)

⭐ 3. Créer une application Azure AD (OIDC)

🔹 Étape 1 : Accéder à Azure AD

  • Portail Azure → Azure Active Directory

  • App registrationsNew registration

🔹 Étape 2 : Paramètres de base

  • Name : camunda-8-sso

  • Supported account types : Single tenant

  • Redirect URI (Web) :

https://<camunda-domain>/auth/realms/camunda/protocol/openid-connect/callback

✔ Cliquez sur Register

⭐ 4. Configurer les secrets et endpoints

🔹 Client Secret

  • Certificates & secrets

  • New client secret

  • Copier la valeur (une seule fois)

🔹 Endpoints OIDC

Dans Overview → Endpoints, notez :

  • Issuer URL

  • Authorization endpoint

  • Token endpoint

  • JWKS URI

👉 Ils seront utilisés par Camunda Identity.

⭐ 5. Configurer les claims (très important)

Ajouter les groupes Azure AD :

  • Token configuration → Add groups claim

  • Type : Security groups

  • ID token + Access token

👉 Cela permet le mapping des rôles Camunda.

⭐ 6. Configurer Camunda Identity (OIDC)

Camunda 8 utilise Keycloak en interne pour Identity.

Exemple values.yaml (Helm)

identity:
  enabled: true
  keycloak:
    env:
      - name: KC_OIDC_CLIENT_ID
        value: camunda-8-sso
      - name: KC_OIDC_CLIENT_SECRET
        value: <client-secret>
      - name: KC_OIDC_ISSUER_URI
        value: https://login.microsoftonline.com/<tenant-id>/v2.0
      - name: KC_OIDC_USERNAME_CLAIM
        value: preferred_username

⭐ 7. Mapper les rôles Azure AD → Camunda

Exemples de rôles Camunda :

  • operate

  • tasklist

  • optimize

  • admin

Mapping recommandé :

Groupe Azure ADRôle Camunda
CAMUNDA_ADMINadmin
CAMUNDA_USERtasklist
CAMUNDA_OPERATEoperate

👉 Le mapping se fait dans Keycloak / Identity.

⭐ 8. Activer le SSO dans Tasklist & Operate

Après configuration :

  • Redémarrez les pods Identity

  • Accédez à :

    • /tasklist

    • /operate

Vous serez automatiquement redirigé vers Azure AD.

✔ Authentification réussie
✔ Aucun mot de passe Camunda local requis

⭐ 9. Sécurité – Bonnes pratiques

✔ HTTPS obligatoire
✔ Secrets stockés dans Azure Key Vault
✔ Rotation régulière des secrets
✔ RBAC strict via groupes Azure AD
✔ Accès privé AKS (si possible)
✔ Logs d’authentification activés

⭐ 10. Dépannage (Troubleshooting)

ProblèmeCause probable
Boucle de loginRedirect URI incorrect
Accès refuséGroupes non mappés
Token invalideIssuer URL incorrect
Utilisateur sans rôleClaim groups manquant
Erreur 401Secret expiré

👉 Toujours vérifier les logs Identity / Keycloak.

⭐ 11. Cas d’usage entreprise

✔ Accès unifié pour tous les employés
✔ Désactivation automatique lors du départ
✔ Conformité sécurité (ISO, SOC, GDPR)
✔ Audit et traçabilité des accès
✔ Intégration IAM existante

🎉 Conclusion

Mettre en place le SSO Azure AD avec Camunda 8 permet :

✔ Une sécurité entreprise renforcée
✔ Une gestion centralisée des identités
✔ Une expérience utilisateur fluide
✔ Une intégration IAM moderne et standardisée

👉 C’est une configuration indispensable pour toute plateforme Camunda 8 en production.


💼 Support professionnel disponible

Si vous rencontrez des problèmes sur des projets réels liés au développement backend d’entreprise ou à l’automatisation des workflows, je propose des services de conseil payants, de débogage en production, de support projet et de formations ciblées.

Les technologies couvertes incluent Java, Spring Boot, PL/SQL, Azure, ainsi que l’automatisation des workflows (jBPM, Camunda BPM, RHPAM).

📧 Contactishikhanirankari@gmail.com info@realtechnologiesindia.com

🌐 WebsiteIT Trainings | Digital lectern | Digital rostrum | Digital metal podium 


Comments

Post a Comment

Popular posts from this blog

OOPs Concepts in Java | English | Object Oriented Programming Explained

Image
🔹OOPS (Object Oriented Programming System) in Java Object-Oriented Programming (OOPS) is a programming paradigm that uses classes and objects to design software. It simplifies development and maintenance by applying key concepts: 📌 Class: Class   is a user-defined data type which defines its properties and its functions. Class is the only logical representation of the data. For example, Human beings in an organisation is a class like Employee. The age, name, department, salary etc. of a human being/employee are its properties, and the jobs performed by the employees in an organisation are known as functions.  The class does not occupy any memory space till the time an object is instantiated. A class is a user-defined data type that defines properties and functions. For example: Class: Employee Properties: name, age, salary Functions: work(), attendMeeting() A class does not occupy memory until an object is created. ...
Read more

Scopes of Signal in jBPM

Image
💡 Introduction Signals in jBPM 7 are a core part of event-driven workflow design. They allow asynchronous communication between process instances, making it possible to start , interrupt , or coordinate processes without direct linking. However, signals can have different scopes , which define how far the signal travels and who receives it . Let’s explore the four available scopes in detail: 🔹 Process Scope 🔹 Default Scope 🔹 External Scope 🔹 Project Instance Scope 🧩 1️⃣ Process Scope 📘 Definition Process scope signals are local to a single process instance or its child subprocesses . They are not visible outside that instance hierarchy. 📋 Use Case Used for communication inside the same process , like triggering subprocesses or event sub-processes. 🖼️ Process Scope Example Below is an example of a simple process-scoped signal. Only this process (or its subprocess) will catch this signal. ⚙️ 2️⃣ Default Scope 📘 Definition The default scope ...
Read more

jBPM Installation Guide: Step by Step Setup

  jBPM Installation Guide – Step by Step for Beginners If you are starting with jBPM (Java Business Process Management) , the first step is to set up your environment. In this guide, we’ll walk through how to install jBPM, configure it, and run your first business process. 🔎 What is jBPM? Before we dive into installation, a quick recap: jBPM is an open-source Business Process Management (BPM) suite , written in Java, that allows you to model, execute, and monitor workflows using BPMN 2.0 standards. It can run standalone , embedded in applications , or deployed on a Java EE server . 🖥️ Prerequisites Before installing jBPM, make sure you have: Java JDK 11 or later (Java 17 is commonly used) Maven 3.x (for building and managing dependencies) Git (optional, if you want to clone sample projects) A Database (H2, MySQL, PostgreSQL, or Oracle) – jBPM ships with H2 for testing At least 4GB RAM (8GB recommended for Workbench & KIE Server) 📦 Download ...
Read more