Configurer l’authentification unique basée sur OIDC sous IIS sur un memoQ TMS - Partie 1 - pour l’administrateur système de l’entreprise

Lors de l’enregistrement de votre memoQ TMS en tant que client d’un service IDP, vous devez définir une URL de rappel. C’est ici que l’IDD peut atteindre le Gestionnaire d’authentification. L’URL de rappel ressemble à ceci :

Le Gestionnaire d’authentification est une application web sous IIS qui communique avec les IDP. Il n’a pas besoin d’un port dédié.

Vous pouvez choisir la dernière partie de l’URL de rappel (4) selon les besoins, mais:

• Il ne doit pas s’agir de « connexion », « connexion » ou « authentification ».
• Si vous vous inscrivez à plus d’un IDP, cette partie doit être unique pour chacun d’eux.

Lorsque vous enregistrez le memoQ TMS en tant que client auprès de l’IDP, le memoQ TMS reçoit un ID client et un ClientSecret. Vous aurez besoin de ces éléments pour configurer le Gestionnaire d’authentification.

Notes pour l’enregistrement du memoQ TMS dans Azure AD:

• Vous n’avez pas besoin des options de Grant implicite (jetons d’accès ou jetons d’identité)
• Vous avez besoin d’un droit d’accès de type utilisateur.Read
• Vous devriez définir /logout comme l’URL de déconnexion par défaut.

Assurez-vous que votre pare-feu est configuré correctement: L’IDP pourrait nécessiter l’ouverture de certains ports sur le pare-feu de l’entreprise. Pour en savoir plus, consultez la documentation de votre IDP.

1. Sous C :\inetpub\wwwroot\, créez un dossier pour l’application Web. Dans cet article, nous faisons référence à ce dossier sous le nom de {oidcbackend }.

2. Copier tous les dossiers et fichiers de %PROGRAMFILES %\Kilgray\MemoQ Server\Oidc vers C :\inetpub\wwwroot\{oidcbackend}.

3. À partir du menu Démarrer de Windows, lancez IIS manager.

4. Dans le gestionnaire IIS , double-cliquez sur le memoQ TMS nom du serveur.

5. Dans l’arborescence, cliquez avec le bouton droit sur Pools d’applications, puis choisissez Ajouter un pool d’applications.

6. Dans la fenêtre Ajouter un bassin d ’applications :

   • Tapez un nom pour le groupe d’applications.

   • Dans le menu déroulant de la version CLR .NET , choisissez Aucun code géré.

   • Dans le menu déroulant Mode de pipeline, choisissez Intégré.

7. Sous Pools d’applications, double-cliquez sur Sites.

8. Cliquez avec le bouton droit sur le site Web par défaut, puis choisissez Ajouter une application.

9. Dans la fenêtre Ajouter une application:

   • Tapez un nom pour l’application.

   • Cliquez sur Sélectionner, puis choisissez le bassin d’application que vous avez créé.

   • À côté de Chemin physique, cliquez sur le bouton avec les trois points, puis parcourez le dossier C :\inetpub\wwwroot\{oidcbackend }.

Pour accorder les droits d’accès au dossier du site (%PROGRAMDATA %\MemoQ Server\Oidc Backend) et au dossier des journaux (%PROGRAMDATA %\MemoQ Server\Oidc Backend\LogFiles), exécutez ces commandes Powershell :

$path = "C :\inetpub\wwwroot\oidcbackend"
 $poolName = "oidcpool"
 $account = "IIS APPPOOL\ $poolName"
icacls $path /grant " ${account} :(OI)(CI)(RX,M)"

Pour accorder un droit d’accès à la base de données memoQ TMS, exécutez ce script SQL dans SQL Server Management Studio (ou une autre interface SQL) :

CRÉER UNE CONNEXION [IIS APPPOOL\oidcpool] DEPUIS WINDOWS;
UTILISER [MemoQServer];
CRÉER UN UTILISATEUR [IIS APPPOOL\oidcpool] POUR LA CONNEXION [IIS APPPOOL\oidcpool];
MODIFIER LE RÔLE db_owner AJOUTER MEMBRE [IIS APPPOOL\oidcpool];

Considérez si l’attribution d’un rôle moins privilégié est possible.

Pour vérifier si la connexion à la base de données fonctionne, exécutez ce script SQL :

EXÉCUTER EN TANT QU’UTILISATEUR = 'IIS APPPOOL\oidcpool';
SÉLECTIONNER * DE [dbo].[User];
REVENIR;

Vous devriez voir une liste d’utilisateurs.

Définissez les paramètres de base dans le fichier %PROGRAMDATA %\MemoQ Server\Oidc Backend\appsettings.User.json.

Les détails de journalisation se trouvent dans un fichier séparé, C :\inetpub\wwwroot\{oidcbackend}\appsettings.json. Habituellement, vous n’avez pas besoin de les changer.

Communication avec la base de données

Le Gestionnaire d’authentification communique avec la memoQ TMS base de données. Entrez la memoQ TMS chaîne de connexion de la base de données comme valeur pour la clé ConnectionStrings.OidcLoginData:

Ne vous contentez pas de copier et coller: Dans le fichier JSON, vous devez échapper le caractère backslash - c’est-à-dire changer "\" en "\\".

Journalisation

Le fichier C :\inetpub\wwwroot\{oidcbackend}\appsettings.json définit les détails de la journalisation.

Trouver la clé "Name": "File" sous Serilog.WriteTo. Les clés sous Args ici définissent les paramètres importants:

path: Par défaut, le journal est stocké dans le fichier %PROGRAMDATA%\memoQ Server\Oidc Backend\LogFiles\log-.txt.

rollingInterval, rollOnFileSizeLimit, fileSizeLimitBytes : Les journaux sont écrits dans des fichiers journaliers (ne changez pas cela), mais si la taille du fichier atteint la limite (100 Mo par défaut), un second fichier sera créé pour ce jour.

retainedFileCountLimit: Par défaut, les 31 derniers fichiers journaux sont conservés sur le serveur.

Par défaut, le niveau de journalisation est Information. Si vous avez besoin de plus d’informations, changez la valeur de la clé Serilog.MinimumLevel.Default en Debug ou Verbose.

Les répertories verboses tout, même les noms et les secrets – utilisez-le seulement lorsque c’est vraiment nécessaire, et seulement s’il respecte les règles de protection des données de votre organisation.

Ces paramètres ne sont pas permanentes: Lorsque vous mettez à jour memoQ TMS, tout son dossier sous %PROGRAMFILES% est écrasé. Cela signifie que tous les paramètres dans appsettings.json reviendront à leurs valeurs par défaut. Vous recommandez de ne pas changer les - à moins que vous en ayez vraiment besoin.

Définir les paramètres pour votre IDP

À partir de mars 2026, memoQ TMS prend en charge Azure AD (Microsoft Entra), Azure B2C, Google, Microsoft, Okta (à la fois standard et personnalisé), et des instances OneLogin. Si votre entreprise utilise un autre service de fournisseur d’identité basé sur OIDC, contactez les Services aux entreprises de memoQ, qui peuvent fournir les ressources dont vous avez besoin.

Choisissez le fichier de paramètres pour le type d’IDP de votre entreprise (AzureAD.settings.json,Google.settings.json,Microsoft.settings.json,OktaCustom.settings.json,OktaOrg.settings.json, ou OneLogin.settings.json), et placez-le dans le dossier C :\inetpub\wwwroot\{oidcbackend }. Ouvrez-le dans un éditeur de texte et ajoutez vos valeurs:

L’outil de configuration OIDC est une application de ligne de commande conçue pour:

• Enregistrer une connexion IDP
• Configurer les détails de connexion

Il se trouve dans le dossier %PROGRAMFILES%\Kilgray\MemoQ Server\Oidc. Ouvrez une invite de commandes ou une fenêtre PowerShell avec des droits d’administrateur dans ce dossier.

Ajoutez votre configuration IDP avec la commande AddIdProvider de l’outil de configuration.

MemoQ.Security.Oidc.Backend.ConfigTool.exe AddIdProvider -f [<absolute_or_relative_path>\]<your_settings_file>.json

Si vous configurez une nouvelle icône pour l’IDP, ajoutez son chemin (sur votre ordinateur) avec le -i paramètre.

MemoQ.Security.Oidc.Backend.ConfigTool.exe AddIdProvider -f AzureAD.settings.json
MemoQ.Security.Oidc.Backend.ConfigTool.exe AddIdProvider -f C:\SSO-Ingredients\OktaOrg.settings.json -i C:\SSO-Ingredients\OktaIcon.png

Définissez le secret du client que vous avez reçu de l’IDD

Le secret client est un mot de passe, donc il n’est pas sécuritaire de l’enregistrer dans un fichier de configuration. Réglez-le manuellement avec l’outil de configuration.

MemoQ.Security.Oidc.Backend.ConfigTool.exe SetClientSecret -s <client_secret> -n Okta

Le secret client sera stocké sous forme hachée dans la base de données.

Définir l’URL de base pour le Gestionnaire d’authentification

Faites cela avec la commande SetBackendBaseUrl de l’outil de configuration. Option requise: -u pour l’URL.

MemoQ.Security.Oidc.Backend.ConfigTool.exe SetBackendBaseUrl -u https://localhost/oidcbackend

L’URL de base est construite:

MemoQ.Security.Oidc.Backend.ConfigTool.exe SetBackendBaseUrl -u https://memoqserver.mycompany.com/oidcbackend

Définir memoQweb URL de base

Cette information est importante car cela indique au Gestionnaire d’authentification depuis quelles URL il devrait accepter les appels à partir de memoQweb. Les tentatives de connexion provenant de cette URL seront traitées comme memoQweb identifiants.

Définissez la même URL que vous utilisez pour vous connecter à memoQweb. Il peut être trouvé sur l’Administrateur de serveur > Configuration et journalisation > onglet adresses Web.

Utilisez la commande SetMemoQWebBaseUrls de l’outil de configuration. Option requise: -u pour l’URL.

MemoQ.Security.Oidc.Backend.ConfigTool.exe SetMemoQWebBaseUrls -u <memoqweb_base_url>

MemoQ.Security.Oidc.Backend.ConfigTool.exe SetMemoQWebBaseUrls -u https://memoqserver.mycompany.com/memoqweb

Redémarrer les éléments du logiciel

À ce stade, vous devez redémarrer:

• le memoQ TMS service
• le pool d’applications IIS oidcbackend

L’OIDC fonctionne maintenant sous IIS sur votre memoQ TMS. Le serveur accepte:

• Identifiants SSO: Les utilisateurs choisissent un service IDP et se connectent avec les noms d’utilisateur et les mots de passe qu’ils ont à ce service IDP.
• Identifiants SSO hérités: Les utilisateurs se connectent avec les noms d’utilisateur et les mots de passe qu’ils ont dans le Windows Active Directory de l’entreprise. Du point de vue OIDC, ces utilisateurs se comportent comme des connexions locales, et ils peuvent être changés en SSO basé sur OIDC.
• Identifiants locaux: Les utilisateurs qui n’ont ni identifiants IDP ni comptes Windows AD peuvent toujours utiliser leurs noms d’utilisateur et mots de passe memoQ.

Vous pouvez maintenant dire à un utilisateur administrateur de memoQ de commencer à créer ou à mettre à jour des utilisateurs sur le memoQ TMS (voir la partie 2 de ce document).