SSO Microsoft ADFS - Active Directory Federation Services (SAML 2)

Avant de commencer

Le document suivant présente les étapes à suivre pour la mise en place d'une authentification unique entre votre service ADFS et les solutions LUCCA (Protocole SAML 2.0).

> L'exemple suivant a été réalisé sur ADFS 3.0.

Prérequis

  • Installation du rôle ADFS

Étape 1 : Création de la configuration dans Lucca

Cette manipulation devra être effectuée par un administrateur ou un utilisateur ayant accès au module "Paramètres d'authentification et SSO".

MerciApp_e54zozhQB9.png

1. Activez la méthode d'authentification qui correspond suivant le protocole (OAuth 2.0, SAML 2.0, ...) et votre IDP.

MerciApp_flRw7FWTAp.png

2. Récupérez différentes informations dans le détail de la section “Informations du fournisseur de service Lucca”, dans cet exemple c'est un protocole SAML 2.0, mais ça reste applicable pour les autres protocole :

  • Votre URL de connexion ;
  • Votre URL de réponse ;
  • Votre URL des métadonnées (uniquement SAML2.0) ;
  • Votre identificateur Lucca (uniquement SAML2.0).

MerciApp_G4KJ8ZYlTG.png

MerciApp_rNAYIXR9U6.png

Étape 2 : Création d'une partie de confiance i.e. LUCCA

Depuis l'interface de gestion ADFS, dans la colonne de droite Actions, cliquez sur Ajouter une approbation de partie de confiance.

mstsc_2019-02-08_17-20-37.png

Suivez les étapes de l'assistant d'ajout d'approbation de partie de confiance :

- Sélectionnez une source de données en sélectionnant la 1ère option Importer les données publiées en ligne ou sur un réseau local, concernant la partie de confiance et indiquez l'URL metadata communiquée dans l'interface Lucca.

mstsc_2019-02-08_17-26-46.png

- Entrer le nom complet : vous pouvez personnaliser la valeur préremplie : il s'agit du nom que portera votre configuration ADFS pour LUCCA

- Choisir les règles d'autorisation d'émission : sélectionner Autoriser l'accès de tous les utilisateurs à cette partie de confiance.

mstsc_2019-02-08_17-28-11.png

Puis, une synthèse des informations récupérées depuis LUCCA s'affiche (identifiant, point terminaison, certificat de signature et de chiffrement, etc).

Étape 3 : Envoi d'un attribut de l'AD, identifiant unique

Par défaut, l'interface Modifier les règles de revendication vous est affichée par l'assistant à la fin de l'étape précédente. Sinon, cliquez sur Modifier les règles de revendication depuis la configuration tout juste créée pour LUCCA.

mstsc_2019-02-08_17-33-33.png

Depuis l'onglet Règles de transformation d'émission, cliquer sur Ajouter une règle ...

mstsc_2019-02-08_17-52-10.png

Sélectionner Envoyer les attributs LDAP en tant que revendication

mstsc_2019-02-08_17-41-41.png

Après avoir saisi un nom de règle, sélectionner le magasin d'attributs correspondant (ici Active Directory).

Puis, sélectionner un seul Attribut LDAP à envoyer dans le jeton émis par votre service ADFS : il s'agit d'un identifiant unique (adresse email ou login) permettant à LUCCA de faire une correspondance avec les champs adresse email professionnel/adresse email personnel ou le champ login des fiches utilisateurs.

Enfin, pour le Type de revendication sortante, sélectionner ID de nom.

mstsc_2019-02-08_17-47-13.png

Étape 4 : Paramétrage LUCCA

Cette manipulation devra être effectuée par un administrateur.

Une fois la configuration effectuée dans votre interface de gestion  ADFS, il vous faudra retourner dans les paramètres d’authentification de Lucca pour y renseigner les éléments suivants :

  • les metadata de votre service ADFS
  • le champ LUCCA auquel correspond l'attribut AD envoyé dans le jeton (étape 2) : adresse email ou login

L'URL publique d'accès aux metadata de votre ADFS est à privilégier. Elle est en général au format suivant :

https://adfs.company.com/FederationMetadata/2007-06/FederationMetadata.xml

Une fois ces informations renseignées et enregistrées, vous pourrez activer la connexion via SSO dès que vous le souhaiterez :

mceclip1.png

Une fois la connexion via SSO activée, vous pourrez désactiver la possibilité pour vos collaborateurs d’arriver sur la page de connexion Lucca qui leur permet de se connecter avec leur login Lucca et un mot de passe personnalisé en désactivant la “Connexion login/mot de passe Lucca”.

Cas de renouvellement du certificat lié à l'ADFS

Si vous avez mis en place une URL publique d'accès aux metadata, notre service d'authentification restera à jour même en cas de renouvellement.

Si votre certificat est sous forme de fichier, il faudra que vous le renouveliez en suivant la procédure suivante : 

mceclip0.png

Contenu de la page

Cet article vous a-t-il été utile ?
Utilisateurs qui ont trouvé cela utile : 0 sur 0