Jalios Community
Espaces
Contenus
Il n'y a pas de résultat.
Il n'y a pas de résultat.

AD FS 2.1 : Ajout d'un site JPlatform

Ce guide vous présente pas à pas la configuration à effectuer pour ajouter site JCMS en tant que Relying party AD FS 2.0 (Windows Server 2012) .
Un guide plus récent est également diponible : AD FS 4.0 : Ajout d'un site JPlatform 

Pré-requis :

  • Configuration LDAP effectuée sur JPlatform avec l'annuaire ActiveDirectory
    • Mapping du login des Membre JPlatform sur le champ userPrincipalName
  • Documentation du module SAML
  • Configuration du module SAML effectuée sur JPlatform sur les éléments suivants :
    • Entity ID (dans l'exemple https://jcms.example.com/)
    • Certificats générés et configurés
    • Fichier de metadata du serveur AD FS récupéré et déclaré dans JPlatform
  • Fichier de metadata de JCMS récupéré et enregistré sur le file system serveur AD FS

Notez la différence de vocabulaire entre ADFS et SAML :

  • Security token == Assertion
  • Claims provider == Identity provider (IdP)
  • Relying party == Service provider (SP)
  • Claims == Assertion attributes
    Data about users that is sent inside security tokens

Sources :

Durée : 20 min

Etape 1 / 17
  • Ouvrez la console de gestion AD FS (AD FS Management)
  • Cliquez sur "Add Relying Party Trust..."
Etape 1 / 17
  • Ouvrez la console de gestion AD FS (AD FS Management)
  • Cliquez sur "Add Relying Party Trust..."
Etape 2 / 17

Cliquez sur "Start"

Etape 3 / 17
  • Cliquez sur l'option "Import data about the relying party from a file" et choisissez le fichier de metadata récupéré de JPlatform
  • Appuyez sur le bouton "Next >"
Etape 4 / 17

Saisissez un nom et une description (valeur uniquement informative)

Appuyez sur le bouton "Next >"

Etape 5 / 17
  • Choisissez l'option "Permit all user to access this relying party"
  • Appuyez sur le bouton "Next >"
Etape 6 / 17

Appuyez sur le bouton "Next >"

Etape 7 / 17

Appuyez sur le bouton "Close"

Etape 8 / 17

Appuyez sur le bouton "Add Rule ..." dans la fenêtre d'édition des revendications.

Etape 9 / 17
  • Choisissez "Send Claims using a Custom rule" dans le menu déroulant "Claim rule template"
  • Appuyez sur le bouton "Next >"
Etape 10 / 17

On crée une règle pour la génération d'un identifiant unique à chaque réponse d'authentification.
Saisissez les informations suivantes :

  • Claim rule name : saisissez un titre évocateur, par exemple Transient NameID generation
  • Custom rule, saisissez la valeur suivante
    c1:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]
     && c2:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationinstant"]
     => add(store = "_OpaqueIdStore", types = ("http://mycompany/internal/sessionid"), query = "{0};{1};{2};{3};{4}", param = "useEntropy", param = c1.Value, param = c1.OriginalIssuer, param = "", param = c2.Value);
    

    La valeur http://mycompany/internal/sessionid est un identifiant unique sous forme d'URI, et n'a pas besoin de pointer une ressource web existante, vous pouvez saisir une valeur unique correspondant à votre société.

Appuyez sur le bouton "Finish"

Etape 11 / 17
  • Appuyez sur le bouton "Add Rule ..."
  • Puis choisissez "Transform an Incoming Claim" dans le menu déroulant "Claim rule template"
  • Appuyez sur le bouton "Next >"
Etape 12 / 17

On crée une règle pour l'envoi de l'identifiant unique sous forme de NameID transient.
Saisissez les informations suivantes :

  • Claim rule name : saisissez un titre évocateur, par exemple Transient NameID transform
  • Incoming claim type : saisissez l'identifiant utilisé dans la règle précédente, http://mycompany/internal/sessionid
  • Outgoing claim type : Name ID
  • Outgoing name ID format : Transient Identifier

Cochez Pass through all claim values.
Appuyez sur le bouton "Finish"

Etape 13 / 17
  • Appuyez sur le bouton "Add Rule ..."
  • Puis choisissez "Send LDAP Attributes as Claims" dans le menu déroulant "Claim rule template"
  • Appuyez sur le bouton "Next >"
Etape 14 / 17

On crée une règle pour envoyer l'attribut userPrincipalName du LDAP en tant qu'attribut de réponse SAML.
Saisissez les informations suivantes :

  • Claim rule name : saisissez un titre évocateur, par exemple Send LDAP UPN as Claims
  • Attribute store : choisissez Active Directory
  • Ajouter un attribute :
    • LDAP Attribute: User-Principal-Name
    • Outgoing Claim Type: UPN
      Le choix UPN comme type de revendication correspond à la valeur http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn dans l'échange SAML
      Saisissez cette valeur dans la configuration du module SAML pour l'option Nom de l'attribut (aka type de revendication) du login

Appuyez sur le bouton "Finish"

Etape 15 / 17

Les 3 règles permettant l'envoi d'un message SAML valide pour JPlatform sont désormais configurées.
Cliquez sur le bouton "OK"

Etape 16 / 17

Cliquez sur le bouton "Properties" pour éditer les propriétés du site JPlatform dans AD FS

Etape 17 / 17
  • Sélectionner l'onglet "Advanced".
  • Choisissez SHA-1 dans le Secure hash algorithm
  • Cliquez sur le bouton "OK"

La configuration est terminée, vous pouvez tester une connexion à votre site JPlatform.

Pour effectuer un diagnostic en cas de dysfonctionnement, consultez les logs ADFS :
Event Viewer > Application and Services logs > AD FS > Admin

Une question

Benoît Dissert ·
1 vote :

Il faudrait indiquer :

  • que faire en cas d'avertissement lors d'une étape et
  • indiquer comment vérifier que tous les éléments souhaités sont bien positionnés (à la fin)

En effet, dans notre cas de figure (nous testions avec une application de test), nous avons eu un avertissement lors de la soumission du fichier metadate.jsp.xml (étape 3) : adfs-avertissement

A priori, il semblerait que ce soit parce que AD FS ne supporte pas que les points de terminaison applicatifs soient en http (et pas en https).

Benoît

Afficher les 2 réponses
Masquer les réponses
Olivier Jaquemet ·
1 vote :

Merci benoit pour ton retour.
Il est totalement inenvisageable pour nous de décrire tous les cas d'erreurs qui peuvent se produire coté AD FS.
Je pense que la bonne pratique d'un administrateur système Windows sera de systématiquement consulter l'observateur d'événement à la recherche d'informations plus détaillées.
Cela étant ton retour pourra être utile à d'autres. Merci

Benoît Dissert ·

Oui, mais ce que je veux dire, c'est que quand on déroule le mode opératoire et qu'on a un avertissement (pas vraiment une erreur, on peut continuer), on ne sait pas si on doit continuer ou pas.

8 membres ont réussi ce guide

Olivier BERVAS
Expert technique
ASI
Jérémy Biron
Architecte technique
Jalios
Alain D'heygère
Responsable support
Jalios
Benoît Dissert
Architecte Jalios JCMS
Yajade
Jean-Charles FELICITE
Expert Technique
ASI
Olivier Jaquemet
Ingénieur R&D
Jalios
Aina Ravoaja
Jalios
Jean-Philippe Schaller-Le Leu
Support & Expert Technique
Jalios