Configurer le SSO Microsoft Entra ID (Azure AD)
Préambule
Le SSO (Single Sign-On) Microsoft permet aux membres de votre organisation de se connecter à la supervision Chargekeeper avec leur compte Microsoft professionnel (Microsoft Entra ID / Azure AD), sans créer ni gérer de mot de passe Chargekeeper.
Concrètement, une fois le SSO activé, la page de connexion de votre tenant affiche un bouton « Se connecter avec Microsoft ». L'utilisateur s'authentifie chez Microsoft (avec vos propres règles : MFA, accès conditionnel…), puis est redirigé vers la supervision.
Ce guide s'adresse au responsable IT du tenant opérateur : il décrit ce que vous configurez côté Microsoft Entra ID et côté supervision Chargekeeper.
Note de terminologie : Microsoft a renommé Azure Active Directory (Azure AD) en Microsoft Entra ID en juillet 2023. Le service est identique (locataires, inscriptions d'applications, OAuth/OIDC, endpoints
login.microsoftonline.com) : seuls le nom commercial et certains libellés du portail ont changé. Les deux termes désignent la même chose.
Ce que le SSO Microsoft vous apporte
- Pas de mot de passe Chargekeeper à distribuer ni à réinitialiser : vos utilisateurs réutilisent leur identité Microsoft d'entreprise.
- Cycle de vie centralisé : lorsqu'un collaborateur quitte l'organisation, désactiver son compte Microsoft coupe aussi son accès à la supervision.
- Vos politiques de sécurité s'appliquent : authentification multifacteur (MFA), accès conditionnel, appareils gérés… sont pilotés depuis votre tenant Entra ID.
- Création de comptes à la volée (optionnelle) : les nouveaux utilisateurs peuvent obtenir un compte Chargekeeper automatiquement à leur première connexion (voir Provisionnement automatique).
Prérequis
- Le SSO doit être activé pour votre tenant. Rendez-vous dans Paramètres techniques → Authentification SSO. Si le message « SSO désactivé pour ce tenant » s'affiche à la place de la configuration, contactez le support Chargekeeper pour faire activer le composant SSO sur votre tenant.
- Un rôle d'administrateur dans la supervision Chargekeeper vous donnant accès à Paramètres techniques.
- Un administrateur Microsoft Entra ID de votre organisation, capable :
- d'inscrire une application dans votre annuaire Entra ID ;
- de générer un secret client ;
- d'accorder le consentement administrateur aux autorisations demandées.
- Au moins un utilisateur Chargekeeper déjà existant (ou le provisionnement automatique activé) pour ne pas vous verrouiller hors de la supervision.
Vue d'ensemble de la mise en place
La configuration se fait en quatre étapes :
- Récupérer l'ID de locataire (Tenant ID) de votre organisation.
- Inscrire une application dans votre Entra ID (avec un secret client et son échéance) et accorder le consentement.
- Renseigner ces informations dans la supervision Chargekeeper.
- Vérifier la connexion.
Application partagée Chargekeeper (optionnel, selon votre environnement). Dans certains environnements, Chargekeeper peut mettre à disposition une application Azure partagée. Si c'est le cas pour le vôtre, vous pouvez sauter l'inscription d'application (étape 2) : laissez les champs Client ID / Client Secret vides et limitez-vous à déclarer votre Tenant ID puis à accorder le consentement via le Lien de consentement administrateur de la fenêtre de configuration. Vérifiez d'abord auprès de Chargekeeper si cette option est disponible ; sinon, suivez la procédure standard ci-dessous (inscription de votre propre application).
Étape 1 — Récupérer votre ID de locataire (Tenant ID)
Ce Tenant ID (GUID) identifie votre organisation dans Microsoft Entra ID. Il sert à n'autoriser que vos utilisateurs.
- Connectez-vous au portail Azure (
https://portal.azure.com). - Ouvrez Microsoft Entra ID → Vue d'ensemble.
- Copiez le champ ID du locataire (format
xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx).
Conservez cette valeur : vous la saisirez à l'étape 3 dans le champ Tenants Azure AD autorisés.
Étape 2 — Inscrire votre application dans Microsoft Entra ID
- Dans Microsoft Entra ID → Inscriptions d'applications → Nouvelle inscription.
- Nom : par exemple
Chargekeeper SSO. - Types de comptes pris en charge : Comptes dans cet annuaire organisationnel uniquement (votre seule organisation) suffit, puisque l'application ne sert que vos utilisateurs.
- URI de redirection : plateforme « Web », puis saisissez l'URI de redirection (callback) de votre instance Chargekeeper. Elle est identique pour tous les tenants d'une même instance : une seule URI est partagée par toutes les organisations, car c'est un jeton signé (
state) qui identifie la vôtre côté backend. Sur l'instance standard Chargekeeper :https://rest.service-evse.com/v1/auth/sso/microsoft/callback⚠️ Cette URI pointe toujours vers l'hôte REST de la plateforme, jamais vers votre supervision. Si votre organisation est hébergée sur une instance dédiée / marque blanche (hôte REST différent, ex.
rest.<votre-instance>), confirmez l'URL exacte avec le support Chargekeeper. - Cliquez S'inscrire, puis notez l'ID d'application (client) affiché : ce sera votre Client ID.
- Certificats et secrets → Nouveau secret client : générez un secret client.
🔑 Azure impose une date d'expiration au secret (24 mois maximum). Copiez immédiatement la Valeur affichée (elle n'est plus visible ensuite) : ce sera votre Client Secret. Notez aussi la date d'expiration : vous la renseignerez dans la supervision, et le secret devra être renouvelé avant cette échéance (voir Rotation du secret), sans quoi le SSO cessera de fonctionner.
- API autorisées → Microsoft Graph → Autorisations déléguées : ajoutez
openid,profile,email,User.Read, puis cliquez Accorder un consentement administrateur pour votre organisation.
Étape 3 — Configurer le fournisseur Microsoft dans la supervision
Dans la supervision, ouvrez Paramètres techniques → Authentification SSO, puis, sur la carte Microsoft Entra ID, cliquez Configurer.

Renseignez ensuite la fenêtre Configuration Microsoft SSO :
| Champ | À renseigner |
|---|---|
| Activer Microsoft SSO pour ce tenant | Active le fournisseur. Le bouton « Se connecter avec Microsoft » apparaîtra sur votre page de connexion. |
| Tenants Azure AD autorisés | Saisissez votre Tenant ID (étape 1) puis Entrée. Vous pouvez en ajouter plusieurs. Format : UUID en minuscules. |
| Application Azure personnalisée (avancé) — Client ID | Collez l'ID d'application (client) de l'étape 2. |
| Application Azure personnalisée (avancé) — Client Secret | Collez la Valeur du secret client de l'étape 2. |
| Application Azure personnalisée (avancé) — Date d'expiration du secret | Renseignez l'échéance du secret (étape 2) pour être alerté avant expiration. |
| Domaines email autorisés (optionnel) | Domaines acceptés pour le provisionnement automatique (ex. acme.com). Voir la section dédiée. |
| Provisionner automatiquement les nouveaux utilisateurs (optionnel) | Crée un compte Chargekeeper à la première connexion d'un utilisateur inconnu. Voir la section dédiée. |
| Groupe par défaut des utilisateurs créés (si provisionnement activé) | Groupe attribué aux comptes créés automatiquement. |

Enfin, cliquez Tester la connexion pour vérifier que vos locataires Azure répondent, puis Enregistrer.
⚠️ Client ID et Client Secret vont de pair. Ne renseigner qu'un seul des deux met la configuration dans un état incomplet et bloque le SSO : renseignez les deux (ou, si vous utilisez l'application partagée Chargekeeper, laissez les deux vides — voir la note en Vue d'ensemble).
Provisionnement automatique des comptes (optionnel)
Par défaut, seuls les utilisateurs déjà présents dans Chargekeeper peuvent se connecter en SSO. Un utilisateur inconnu est refusé.
Vous pouvez lever cette contrainte en activant Provisionner automatiquement les nouveaux utilisateurs. Un compte Chargekeeper est alors créé automatiquement à la première connexion, sous conditions :
- Domaines email autorisés : le provisionnement est en refus par défaut. Seuls les emails appartenant aux domaines que vous listez (ex.
acme.com) sont créés. Si la liste est vide, personne n'est provisionné. - Groupe par défaut des utilisateurs créés : les nouveaux comptes sont rattachés à ce groupe. Seuls les groupes de votre tenant sont proposés ; les groupes de roaming et le groupe Super-Admin sont volontairement exclus (aucun accès privilégié créé automatiquement).
- Le compte créé est actif immédiatement (l'email est déjà vérifié par Microsoft) et sans mot de passe (connexion SSO uniquement).
Un utilisateur dont l'email correspond à un compte Chargekeeper existant est automatiquement rattaché à son identité Microsoft dès sa première connexion SSO — aucun doublon n'est créé.
Étape 4 — Vérifier la connexion
- Ouvrez la page de connexion de votre supervision : le bouton « Se connecter avec Microsoft » doit être présent.
- Cliquez dessus et authentifiez-vous avec un compte Microsoft d'un locataire autorisé.
- Vous êtes redirigé vers la supervision, connecté.
Dépannage
| Symptôme | Cause probable & résolution |
|---|---|
| L'onglet Authentification SSO est absent, ou affiche « SSO désactivé pour ce tenant » | Le composant SSO n'est pas activé sur votre tenant. Contactez le support Chargekeeper. |
| Le bouton « Se connecter avec Microsoft » n'apparaît pas | Le fournisseur Microsoft n'est pas activé et enregistré. Vérifiez le toggle Activer Microsoft SSO pour ce tenant et Enregistrer. |
| Le SSO ne démarre pas après enregistrement | Un seul des champs Client ID / Client Secret est renseigné. Renseignez les deux (ou videz les deux si vous utilisez l'application partagée Chargekeeper). |
| Connexion refusée pour un utilisateur | Son locataire Azure n'est pas dans Tenants Azure AD autorisés, ou (utilisateur inconnu) le provisionnement automatique est désactivé / son domaine email n'est pas autorisé. |
| La connexion échoue soudainement après plusieurs mois | Le secret client a expiré. Générez-en un nouveau côté Azure et mettez-le à jour dans la supervision (voir Rotation du secret). |
| Un administrateur voit un écran de consentement au lieu de se connecter | Le consentement administrateur n'a pas été accordé (étape 2.7). |
Rotation du secret
Le secret client Azure a une durée de vie limitée (l'échéance que vous avez fixée à l'étape 2). Renseigner la date d'expiration dans la supervision vous permet d'être alerté avant l'échéance. Avant celle-ci :
- Dans votre Entra ID, générez un nouveau secret client (l'ancien et le nouveau peuvent coexister le temps de la bascule).
- Dans la supervision, rouvrez Configuration Microsoft SSO, ressaisissez le nouveau Client Secret et sa nouvelle date d'expiration, puis Enregistrer.
- Une fois la bascule vérifiée, supprimez l'ancien secret côté Azure.
Chargekeeper prend également en charge le SSO Google Workspace et SAML 2.0 (ADFS, Okta, PingFederate, Keycloak…), configurables depuis la même page Paramètres techniques → Authentification SSO.