Retour d'expérience SAML

Jean-Charles FELICITE · le 05/02/16 à 16:02

Bonjour,

Je souhaitais faire un retour plutôt positif sur la mise en place du module SAML tout récent et disponible ici https://community.jalios.com/jcms/jc1_214117/fr/jlab-module-saml dans 2 contextes différents :

- Module SAML + ADFS : après une journée de configuration et de tatonnement l'authentification SAML fonctionne

- Module SAML + SSO Sign'Go : il a fallut créer des fichiers metadata.xml à la main pour finalement le faire fonctionner

Voilà merci à l'équipe Jalios et particulièrement à Olivier Jacquemet, pédagogue, patient et compétent.

Mots-clés Module SAML
4 pts
Olivier Jaquemet · le 05/02/16 à 16:11

Merci Jean-Charles pour ton retour que j'apprécie à sa juste valeur.

J'espère que ce module permettra d'améliorer l'expérience utilisateur chez nos clients et que sa mise en oeuvre sera toujours aussi efficace.

2 pts
fabrice mathieu · le 07/02/16 à 17:57

Bonjour,

nous sommes preneur d'un retour d'expérience sur la mise en place du module SAML avec Sign And Go. Nous sommes dans la même configuration et devons mettre en place le module dans les prochaines semaines.

Quels sont les difficultés rencontrées dans la mise en place avec Sign&Go ?  Des problémes particuliers ? des points de vigilence ?

D'avance merci

1 pt
Cyrille Arzoumanian · le 08/02/16 à 08:33

Je rebondi sur la réponse de Fabrice serait il possible d'avoir un exemple de fichier metadata ?


Merci d'avance

#1

Voici quelques élément que j'ai indiqué dans une discussion de l'espace JLab SAML

  • L'outil suivant peut être utilisé pour en généré (mais ne (l'utilisez JAMAIS avec des certificat de production)
  • Il est assez simple de générer "à la main" un fichier de metadata d'IdP en suivant quelques éléments de base :
    <?xml version="1.0" encoding="utf-8" standalone="yes"?>
    <EntityDescriptor xmlns:xsi="https://www.w3.org/2001/XMLSchema-instance"
        xmlns="urn:oasis:names:tc:SAML:2.0:metadata"
        entityID="CHANGEME_TO_CONNECTOR_IDP_ENTITY_ID">
      <IDPSSODescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
    
        <KeyDescriptor use="signing">
          <ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
            <ds:X509Data>
              <!-- public saml cert -->
              <ds:X509Certificate>CHANGEME_TO_PUBLIC_SAML_CERT_CONTENT</ds:X509Certificate>
            </ds:X509Data>
          </ds:KeyInfo>
        </KeyDescriptor>
    
        <!-- POST binding and location=idp url -->
        <SingleSignOnService 
          Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"
          Location="CHANGEME_TO_IDP_URL" />
    
      </IDPSSODescriptor>
    </EntityDescriptor>
    
Olivier Jaquemet · le 08/02/16 à 09:19
0 pt
Jean-Charles FELICITE · le 08/02/16 à 09:44

Bonjour,

Je rébondi à la réponse d'Olivier.

Le client avec qui je travaille n'a pas de version Sign'Go qui permette l'importation de metadata.xml, il a donc fallut transmettre les informations à l'IdP :

- Certificats, mot de passe et alias du certificats
- Le nom du SP
- L'url du consumer du SP
- L'attribut qui permet la vérification de l'authentif, pour mon cas nous avons utliser l'adresse email
- Puis le client à sélectionné une option (je ne sais pas laquelle) ou il a sélectionné le terme "Transitoire" (traduction de transient j'imagine)

Côté JCMS, j'ai mis en place les logs SAML, il y a eu quelques messages qui nous ont guidé pour résoudre certains paramètres de configuration, notamment les noms du SP et de l'IdP qui n'était pas exactement les mêmes.

A ce sujet Olivier, lorsque l'un ou l'autre (Idp ou Sp) ne se trouve pas, il n'y a qu'une remonté en DEBUG, Ce serait mieux je pense d'avoir au moins un Warning au mieux une Erreur.

 

#4

Quel type de scénario jouais-tu ?

  • SP initiated : tu arrive sur JCMS, qui te redirige vers l'IdP et tu dois t'authentifier puis revenir vers JCMS)
  • Idp Initiated : tu arrive sur l'IdP et tu choisi ou tu veux aller

Et quel était le comportement du module dans ces circonstances de configuration ?

  • coté utilisateur : page blanche ? message d'erreur ? autre ?
  • coté log, il n'y avait aucun log en niveau WARN ou INFO ?

Avec toutes ces infos je ferais une simulation pour améliorer le comportement.

Olivier Jaquemet · le 08/02/16 à 11:27
#5

Bonjour Olivier,

Mes réponses : * SP initiated : tu arrives sur JCMS, qui te redirige vers l'IdP et tu dois t'authentifier puis revenir vers JCMS) * Côté utilisateur : redirection vers la page de login de Jalios sans aucun message * Côté logs : par de WARN ni d'INFO, juste en dessous on voit l'assertion transmise par l'IdP au SP.

Jean-Charles FELICITE · le 09/02/16 à 10:18
#6

Merci @Jean-Charles FELICITE c'est bien noté, sous la référence interne DEVSAML-1

Je verrais s'il est possible d'ajouter un message plus parlant quand l'IdP donne des infos incorrectes.

Olivier Jaquemet · le 11/02/16 à 16:14
0 pt
fabrice mathieu · le 09/02/16 à 10:14

Bonjour, 

merci pour les infos. Nous sommes avec la dernière version de Sign&Go, nous ne devrions pas avoir ces problèmes de metada. Je vous tiendrais au courant du résultat de nos tests.

#1

Merci.

Olivier Jaquemet · le 23/02/16 à 13:39
1 pt