AD FS 2.1 : Ajout d'un site JPlatform

Olivier Jaquemet · le 24/12/15 à 16:14

Guides

Ce guide vous présente pas à pas la configuration à effectuer pour ajouter site JCMS en tant que Relying party AD FS 2.0 (Windows Server 2012) .
Un guide plus récent est également diponible : AD FS 4.0 : Ajout d'un site JPlatform

Pré-requis :

Configuration LDAP effectuée sur JPlatform avec l'annuaire ActiveDirectory
- Mapping du login des Membre JPlatform sur le champ userPrincipalName
Documentation du module SAML
Configuration du module SAML effectuée sur JPlatform sur les éléments suivants :
- Entity ID (dans l'exemple https://jcms.example.com/)
- Certificats générés et configurés
- Fichier de metadata du serveur AD FS récupéré et déclaré dans JPlatform
Fichier de metadata de JCMS récupéré et enregistré sur le file system serveur AD FS

Notez la différence de vocabulaire entre ADFS et SAML :

Security token == Assertion
Claims provider == Identity provider (IdP)
Relying party == Service provider (SP)
Claims == Assertion attributes
Data about users that is sent inside security tokens

Sources :

Durée : 20 min

Etape 1 / 17

Ouvrez la console de gestion AD FS (AD FS Management)
Cliquez sur "Add Relying Party Trust..."

Etape 2 / 17

Cliquez sur "Start"

Etape 3 / 17

Cliquez sur l'option "Import data about the relying party from a file" et choisissez le fichier de metadata récupéré de JPlatform
Appuyez sur le bouton "Next >"

Etape 4 / 17

Saisissez un nom et une description (valeur uniquement informative)

Display Name : My JCMS site
Notes : https://jcms.example.com/

Appuyez sur le bouton "Next >"

Etape 5 / 17

Choisissez l'option "Permit all user to access this relying party"
Appuyez sur le bouton "Next >"

Etape 6 / 17

Appuyez sur le bouton "Next >"

Etape 7 / 17

Appuyez sur le bouton "Close"

Etape 8 / 17

Appuyez sur le bouton "Add Rule ..." dans la fenêtre d'édition des revendications.

Etape 9 / 17

Choisissez "Send Claims using a Custom rule" dans le menu déroulant "Claim rule template"
Appuyez sur le bouton "Next >"

Etape 10 / 17

On crée une règle pour la génération d'un identifiant unique à chaque réponse d'authentification.
Saisissez les informations suivantes :

Claim rule name : saisissez un titre évocateur, par exemple Transient NameID generation

Custom rule, saisissez la valeur suivante

c1:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]
 && c2:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationinstant"]
 => add(store = "_OpaqueIdStore", types = ("http://mycompany/internal/sessionid"), query = "{0};{1};{2};{3};{4}", param = "useEntropy", param = c1.Value, param = c1.OriginalIssuer, param = "", param = c2.Value);

La valeur http://mycompany/internal/sessionid est un identifiant unique sous forme d'URI, et n'a pas besoin de pointer une ressource web existante, vous pouvez saisir une valeur unique correspondant à votre société.

Appuyez sur le bouton "Finish"

Etape 11 / 17

Appuyez sur le bouton "Add Rule ..."
Puis choisissez "Transform an Incoming Claim" dans le menu déroulant "Claim rule template"
Appuyez sur le bouton "Next >"

Etape 12 / 17

On crée une règle pour l'envoi de l'identifiant unique sous forme de NameID transient.
Saisissez les informations suivantes :

Claim rule name : saisissez un titre évocateur, par exemple Transient NameID transform
Incoming claim type : saisissez l'identifiant utilisé dans la règle précédente, http://mycompany/internal/sessionid
Outgoing claim type : Name ID
Outgoing name ID format : Transient Identifier

Cochez Pass through all claim values.
Appuyez sur le bouton "Finish"

Etape 13 / 17

Appuyez sur le bouton "Add Rule ..."
Puis choisissez "Send LDAP Attributes as Claims" dans le menu déroulant "Claim rule template"
Appuyez sur le bouton "Next >"

Etape 14 / 17

On crée une règle pour envoyer l'attribut userPrincipalName du LDAP en tant qu'attribut de réponse SAML.
Saisissez les informations suivantes :

Claim rule name : saisissez un titre évocateur, par exemple Send LDAP UPN as Claims
Attribute store : choisissez Active Directory
Ajouter un attribute :
- LDAP Attribute: User-Principal-Name
- Outgoing Claim Type: UPN
  Le choix UPN comme type de revendication correspond à la valeur http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn dans l'échange SAML
  Saisissez cette valeur dans la configuration du module SAML pour l'option Nom de l'attribut (aka type de revendication) du login

Appuyez sur le bouton "Finish"

Etape 15 / 17

Les 3 règles permettant l'envoi d'un message SAML valide pour JPlatform sont désormais configurées.
Cliquez sur le bouton "OK"

Etape 16 / 17

Cliquez sur le bouton "Properties" pour éditer les propriétés du site JPlatform dans AD FS

Etape 17 / 17

Sélectionner l'onglet "Advanced".
Choisissez SHA-1 dans le Secure hash algorithm
Cliquez sur le bouton "OK"

La configuration est terminée, vous pouvez tester une connexion à votre site JPlatform.

Pour effectuer un diagnostic en cas de dysfonctionnement, consultez les logs ADFS :
Event Viewer > Application and Services logs > AD FS > Admin

J'ai une question

Une question

le 03/05/17 à 16:17

Benoît Dissert ·

1 vote :

Il faudrait indiquer :

que faire en cas d'avertissement lors d'une étape et
indiquer comment vérifier que tous les éléments souhaités sont bien positionnés (à la fin)

En effet, dans notre cas de figure (nous testions avec une application de test), nous avons eu un avertissement lors de la soumission du fichier metadate.jsp.xml (étape 3) : adfs-avertissement