Ce guide vous présente pas à pas la configuration à effectuer pour ajouter site JCMS en tant que Relying party AD FS 2.0 (Windows Server 2012) .
Un guide plus récent est également diponible : AD FS 4.0 : Ajout d'un site JPlatform
Pré-requis :
userPrincipalName
https://jcms.example.com/
)Notez la différence de vocabulaire entre ADFS et SAML :
Sources :
Durée : 20 min
SHA-1
dans le Secure hash algorithmLa configuration est terminée, vous pouvez tester une connexion à votre site JPlatform.
Pour effectuer un diagnostic en cas de dysfonctionnement, consultez les logs ADFS :
Event Viewer > Application and Services logs > AD FS > Admin
Cliquez sur "Start"
Saisissez un nom et une description (valeur uniquement informative)
Appuyez sur le bouton "Next >"
Appuyez sur le bouton "Next >"
Appuyez sur le bouton "Close"
Appuyez sur le bouton "Add Rule ..." dans la fenêtre d'édition des revendications.
On crée une règle pour la génération d'un identifiant unique à chaque réponse d'authentification.
Saisissez les informations suivantes :
Transient NameID generation
c1:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] && c2:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationinstant"] => add(store = "_OpaqueIdStore", types = ("http://mycompany/internal/sessionid"), query = "{0};{1};{2};{3};{4}", param = "useEntropy", param = c1.Value, param = c1.OriginalIssuer, param = "", param = c2.Value);
http://mycompany/internal/sessionid
est un identifiant unique sous forme d'URI, et n'a pas besoin de pointer une ressource web existante, vous pouvez saisir une valeur unique correspondant à votre société.
Appuyez sur le bouton "Finish"
On crée une règle pour l'envoi de l'identifiant unique sous forme de NameID transient
.
Saisissez les informations suivantes :
Transient NameID transform
http://mycompany/internal/sessionid
Name ID
Transient Identifier
Cochez Pass through all claim values.
Appuyez sur le bouton "Finish"
On crée une règle pour envoyer l'attribut userPrincipalName
du LDAP en tant qu'attribut de réponse SAML.
Saisissez les informations suivantes :
Send LDAP UPN as Claims
Active Directory
User-Principal-Name
UPN
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn
dans l'échange SAML
Appuyez sur le bouton "Finish"
Les 3 règles permettant l'envoi d'un message SAML valide pour JPlatform sont désormais configurées.
Cliquez sur le bouton "OK"
Cliquez sur le bouton "Properties" pour éditer les propriétés du site JPlatform dans AD FS
SHA-1
dans le Secure hash algorithmLa configuration est terminée, vous pouvez tester une connexion à votre site JPlatform.
Pour effectuer un diagnostic en cas de dysfonctionnement, consultez les logs ADFS :
Event Viewer > Application and Services logs > AD FS > Admin
Il faudrait indiquer :
En effet, dans notre cas de figure (nous testions avec une application de test), nous avons eu un avertissement lors de la soumission du fichier metadate.jsp.xml (étape 3) :
A priori, il semblerait que ce soit parce que AD FS ne supporte pas que les points de terminaison applicatifs soient en http (et pas en https).
Benoît