Jalios Community
Espaces
Contenus
Il n'y a pas de résultat.
Il n'y a pas de résultat.

AD FS 4.0 : Ajout d'un site JPlatform

Ce guide vous présente pas à pas la configuration à effectuer pour ajouter site JPlatform en tant que Relying party sur AD FS 4.0 (Windows Server 2016).

Ces instructions s'appliquent pour les 2 modes de synchronisation des utilisateurs :

  • Synchronisation à partir de l'annuaire LDAP (Active Directory)
  • Synchronisation à partir des assertions SAML (AD FS) -- disponible depuis le module SAML 2.2

Pré-requis :

  • Documentation du module SAML
  • Configuration du module SAML effectuée sur JPlatform sur les éléments suivants :
    • Entity ID (dans l'exemple https://jplatform.example.com/)
    • Certificats générés et configurés
    • Fichier de metadata du serveur AD FS déclaré dans JPlatform
  • Si vous synchronisez les membres (et groupes) à partir de l'annuaire LDAP (Active Directory), vous devez au préalable avoir configurer le LDAP dans JPlatform,
    et le mapping du login des Membre JPlatform doit utiliser le champ userPrincipalName de l'annuaire LDAP
    Plus d'informations dans la fiche  Configuration et fonctionnement du LDAP dans JCMS 
  • Si vous synchronisez les membres (et groupes) à partir des assertions SAML (AD FS), vous devez utiliser le module SAML 2.2 ou au delà

 

Notez la différence de vocabulaire entre ADFS et SAML :

  • Security token == Assertion
  • Claims provider == Identity provider (IdP)
  • Relying party == Service provider (SP)
  • Claims == Assertion attributes
    Data about users that is sent inside security tokens

Sources :

Durée : 20 min

Etape 1 / 12
  • Ouvrez la console de gestion AD FS (AD FS Management)
  • Cliquez sur "Add Relying Party Trust..."
Etape 1 / 12
  • Ouvrez la console de gestion AD FS (AD FS Management)
  • Cliquez sur "Add Relying Party Trust..."
Etape 2 / 12
  • Laissez le choix "Claims aware" activé
  • Cliquez sur "Start"
Etape 3 / 12

Importer les metadonnées du site JPlatform :

  • Option 1 à partir de l'URL :
    Si le site JPlatform est accessible depuis le serveur AD FS :
    • Cliquez sur l'option "Import data about the relying party published online or on a local network"
    • Saisissez l'URL d'accès aux métadonnées SAML de JPlatform
      (example : https://jplatform.example.com/plugins/SAMLPlugin/saml2/metadata.jsp )

  • Option 2 à partir du fichier de métadonnées :
    Si le site JPlatform n'est pas accessible depuis le serveur AD FS, ou que vous avez désactivé l'accès public aux metadonnées SAML de JPlatform,
    • Récupérez le fichier de métadonnées depuis le serveur (WEB-INF\data\saml2\sp-metadata.xml)
    • Cliquez sur l'option "Import data about the relying party from a file" et choisissez le fichier de métadonnées

Appuyez sur le bouton "Next >"

Etape 4 / 12

Saisissez un nom et une description (valeur uniquement informative)

  • Display Name : My JPlatform site
  • Notes : https://jplatform.example.com/

Appuyez sur le bouton "Next >"

Etape 5 / 12
  • Choisissez l'Access Control Policy à appliquer, par défaut "Permit everyone"
  • Appuyez sur le bouton "Next >"
Etape 6 / 12
  • Optionnel : Passez en revue la configuration actuelle (pour information)
  • Appuyez sur le bouton "Next >"
Etape 7 / 12
  • Laissez l'option "Configure claims issuance policy for this application" cochée
  • Appuyez sur le bouton "Close"
Etape 8 / 12
  • Appuyez sur le bouton "Add Rule ..." dans la fenêtre d'édition des revendications.
Etape 9 / 12
  • Choisissez "Send LDAP Attributes as Claims" dans le menu déroulant "Claim rule template"
  • Appuyez sur le bouton "Next >"
Etape 10 / 12

Création de la règle pour l'envoie des attributs nécessaires à JPlatform dans la réponse SAML, à partir des champs du LDAP.

  • Requis :
    • le userPrincipalName (qui sera utilisé comme login),
    • l'adresse e-mail (utilisée comme Name ID)
  • Optionnel : les noms, prénoms et autres champs sont nécéssaires uniquement si vous activez la synchronisation à partir des données SAML. Vous pouvez les omettre si vous synchronisez les membres avec le LDAP.

Saisissez les informations suivantes :

  • Claim rule name : saisissez un titre évocateur, par exemple LDAP claims
  • Attribute store : choisissez Active Directory
  • Ajouter les attributs suivant :
    LDAP Attribute Outgoing Claim Type
    E-Mail-Addresses E-Mail Address
    Given-Name Given Name
    Surname Surname
    User-Principal-Name UPN

Chaque choix de type de revendication correspond à une valeur technique dans l'échange SAML.
Dans la configuration du module SAML sur JPlatform, saisissez les options suivantes afin que ces valeurs soient correctement utilisées :

  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn
    pour l'option Nom de l'attribut (aka type de revendication) du login
  • Si vous synchronisez les membres avec SAML : 
    • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
      pour l'option Attribut - Nom
    • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname
      pour l'option Attribut - Prénom
    • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
      pour l'option Attribut - E-Mail

Appuyez sur le bouton "Finish"

Etape 11 / 12
  • Appuyez sur le bouton "Add Rule ..."
  • Puis choisissez "Transform an Incoming Claim" dans le menu déroulant "Claim rule template"
  • Appuyez sur le bouton "Next >"
Etape 12 / 12

Création de la règle pour l'envoi de l'adresse email comme NameID SAML
Saisissez les informations suivantes :

  • Claim rule name : saisissez un titre évocateur, par exemple E-mail NameID
  • Incoming claim type : choisissez l'option E-Mail Address dans le menu déroulant
  • Outgoing claim type : Name ID
  • Outgoing name ID format : Email

Cochez Pass through all claim values.

Dans la configuration du module SAML sur JPlatform, saisissez la valeur urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress pour l'option Format du NameID


Appuyez sur le bouton "Finish"

La configuration est terminée, vous pouvez tester une connexion à votre site JPlatform.

Pour effectuer un diagnostic en cas de dysfonctionnement, consultez les logs ADFS :
Event Viewer > Application and Services logs > AD FS > Admin

Aucune question n'a encore été posée sur ce guide.

7 membres ont réussi ce guide

Philippe Bérard
Opérateur Cloud
Jalios
Jérémy Biron
Architecte technique
Jalios
Benoît Dissert
Architecte Jalios JCMS
Yajade
Wilhem Garcia
Support & Expert technique
Jalios
Ronan Kerdudou
Architecte, Expert technique
Jalios
Aina Ravoaja
Jalios
Jean-Philippe Schaller-Le Leu
Support & Expert Technique
Jalios