SSO Microsoft ADFS - Active Directory Federation Services

Avant de commencer

Le document suivant présente les étapes à suivre pour la mise en place d'une authentification unique entre votre service ADFS et les solutions LUCCA (Protocole SAML 2.0).

> L'exemple suivant a été réalisé sur ADFS 3.0.

Pré-requis

  • Souscription à l'option SSO LUCCA
  • Installation du rôle ADFS

> Le serveur ADFS doit être joint au domaine Active Directory. 

> Un certificat SSL sera utilisé lors des communications entre le serveur ADFS, LUCCA et les serveurs proxy. Il permettra notamment aux serveurs de fédération de signer les jetons délivrés aux utilisateurs (les utilisateurs devront donc faire confiance à ce certificat).

Etape 1 : Création d'une partie de confiance i.e. LUCCA

Depuis l'interface de gestion ADFS, dans la colonne de droite Actions, cliquer sur Ajouter une approbation de partie de confiance

mstsc_2019-02-08_17-20-37.png

Suivez les étapes de l'assistant d'ajout d'approbation de partie de confiance :

- Sélectionner une source de données : sélectionner la 1ère option Importer les données publiées en ligne ou sur un réseau local, concernant la partie de confiance et indiquer l'URL metadata que les équipes LUCCA vous ont fournie.

mstsc_2019-02-08_17-26-46.png

- Entrer le nom complet : vous pouvez personnaliser la valeur pré-remplie : il s'agit du nom que portera votre configuration ADFS pour LUCCA

- Choisir les règles d'autorisation d'émission : sélectionner Autoriser l'accès de tous les utilisateurs à cette partie de confiance.

mstsc_2019-02-08_17-28-11.png

Puis, une synthèse des informations récupérées depuis LUCCA s'affiche (identifiant, point terminaison, certificat de signature et de chiffrement, etc).

Etape 2 : Envoi d'un attribut de l'AD, identifiant unique

Par défaut, l'interface Modifier les règles de revendication vous est affichée par l'assistant à la fin de l'étape 1. Sinon, cliquez sur Modifier les règles de revendication depuis la configuration tout juste créée pour LUCCA.

mstsc_2019-02-08_17-33-33.png

Depuis l'onglet Règles de transformation d'émission, cliquer sur Ajouter une règle ...

mstsc_2019-02-08_17-52-10.png

Sélectionner Envoyer les attributs LDAP en tant que revendication

mstsc_2019-02-08_17-41-41.png

Après avoir saisi un nom de règle, sélectionner le magasin d'attributs correspondant (ici Active Directory).

Puis, sélectionner un seul Attribut LDAP à envoyer dans le jeton émis par votre service ADFS : il s'agit d'un identifiant unique (adresse email ou login) permettant à LUCCA de faire une correspondance avec les champs adresse email professionnel/adresse email personnel ou le champ login des fiches utilisateurs.

Enfin, pour le Type de revendication sortante, sélectionner ID de nom.

mstsc_2019-02-08_17-47-13.png

Etape 3 : Paramétrage LUCCA

Merci d'envoyer via notre formulaire en ligne, les informations suivantes :

  • metadata de votre service ADFS
  • le champ LUCCA auquel correspond l'attribut AD envoyé dans le jeton (étape 2) : adresse email ou login

L'URL publique d'accès aux metadata de votre ADFS est à privilégier. Elle est en général au format suivant :

https://adfs.company.com/FederationMetadata/2007-06/FederationMetadata.xml
Dans le cas du renouvellement du certificat lié à l'ADFS, notre service d'authentification pourra ainsi rester à jour. Toutefois, si vous décidez de ne pas exposer publiquement votre ADFS (et de ce fait, les metadata), vous pouvez nous envoyer le fichier XML metadata correspondant.

 

NB : en cas de renouvellement du certificat ADFS, il sera nécessaire de communiquer en amont, le nouveau certificat via notre formulaire en ligne afin d'éviter toute interruption de service.

Cet article vous a-t-il été utile ?
Utilisateurs qui ont trouvé cela utile : 0 sur 0
Vous avez d’autres questions ? Envoyer une demande

Commentaires