SSO Microsoft ADFS - Active Directory Federation Services (SAML 2)

Avant de commencer

Le document suivant présente les étapes à suivre pour la mise en place d'une authentification unique entre votre service ADFS et les solutions LUCCA (Protocole SAML 2.0).

> L'exemple suivant a été réalisé sur ADFS 3.0.

Pré-requis

  • Installation du rôle ADFS

> Le serveur ADFS doit être joint au domaine Active Directory. 

> Un certificat SSL sera utilisé lors des communications entre le serveur ADFS, LUCCA et les serveurs proxy. Il permettra notamment aux serveurs de fédération de signer les jetons délivrés aux utilisateurs (les utilisateurs devront donc faire confiance à ce certificat).

Etape 1 : Création de la configuration dans Lucca

Cette manipulation devra être effectuée par un administrateur.

La mise en place d’un SSO nécessite dans un premier temps son activation dans votre interface Lucca. Cette activation vous permet de récupérer vos URLs de connexion et de réponse ainsi que votre identificateur Lucca qui seront renseignés dans la section “Informations du fournisseur de service Lucca”.

chrome_2020-03-03_17-44-40.png

Etape 2 : Création d'une partie de confiance i.e. LUCCA

Depuis l'interface de gestion ADFS, dans la colonne de droite Actions, cliquer sur Ajouter une approbation de partie de confiance

mstsc_2019-02-08_17-20-37.png

Suivez les étapes de l'assistant d'ajout d'approbation de partie de confiance :

- Sélectionner une source de données : sélectionner la 1ère option Importer les données publiées en ligne ou sur un réseau local, concernant la partie de confiance et indiquer l'URL metadata communiquée dans l'interface Lucca.

mstsc_2019-02-08_17-26-46.png

- Entrer le nom complet : vous pouvez personnaliser la valeur pré-remplie : il s'agit du nom que portera votre configuration ADFS pour LUCCA

- Choisir les règles d'autorisation d'émission : sélectionner Autoriser l'accès de tous les utilisateurs à cette partie de confiance.

mstsc_2019-02-08_17-28-11.png

Puis, une synthèse des informations récupérées depuis LUCCA s'affiche (identifiant, point terminaison, certificat de signature et de chiffrement, etc).

Etape 2 : Envoi d'un attribut de l'AD, identifiant unique

Par défaut, l'interface Modifier les règles de revendication vous est affichée par l'assistant à la fin de l'étape 1. Sinon, cliquez sur Modifier les règles de revendication depuis la configuration tout juste créée pour LUCCA.

mstsc_2019-02-08_17-33-33.png

Depuis l'onglet Règles de transformation d'émission, cliquer sur Ajouter une règle ...

mstsc_2019-02-08_17-52-10.png

Sélectionner Envoyer les attributs LDAP en tant que revendication

mstsc_2019-02-08_17-41-41.png

Après avoir saisi un nom de règle, sélectionner le magasin d'attributs correspondant (ici Active Directory).

Puis, sélectionner un seul Attribut LDAP à envoyer dans le jeton émis par votre service ADFS : il s'agit d'un identifiant unique (adresse email ou login) permettant à LUCCA de faire une correspondance avec les champs adresse email professionnel/adresse email personnel ou le champ login des fiches utilisateurs.

Enfin, pour le Type de revendication sortante, sélectionner ID de nom.

mstsc_2019-02-08_17-47-13.png

Etape 3 : Paramétrage LUCCA

Cette manipulation devra être effectuée par un administrateur.

Une fois la configuration effectuée dans votre interface de gestion  ADFS, il vous faudra retourner dans les paramètres d’authentification de Lucca pour y renseigner les éléments suivants :

  • les metadata de votre service ADFS
  • le champ LUCCA auquel correspond l'attribut AD envoyé dans le jeton (étape 2) : adresse email ou login

L'URL publique d'accès aux metadata de votre ADFS est à privilégier. Elle est en général au format suivant :

https://adfs.company.com/FederationMetadata/2007-06/FederationMetadata.xml
Dans le cas du renouvellement du certificat lié à l'ADFS, notre service d'authentification pourra ainsi rester à jour. Toutefois, si vous décidez de ne pas exposer publiquement votre ADFS (et de ce fait, les metadata), vous pouvez nous envoyer le fichier XML metadata correspondant.

 NB : en cas de renouvellement du certificat ADFS, il vous faudra alors le mettre à jour dans votre interface Lucca afin d'éviter toute interruption de service.

Une fois ces informations renseignées et enregistrées, vous pourrez activer la connexion via SSO dès que vous le souhaiterez :

mceclip0.png

Une fois la connexion via SSO activée, vous pourrez désactiver la possibilité pour vos collaborateurs d’arriver sur la page de connexion Lucca qui leur permet de se connecter avec leur login Lucca et un mot de passe personnalisé en désactivant la “Connexion login/mot de passe Lucca”.

Contenu de la page

Cet article vous a-t-il été utile ?
Utilisateurs qui ont trouvé cela utile : 0 sur 0