AD FS 4.0 : Ajout d'un site JPlatform

Olivier Jaquemet · le 28/11/19 à 08:49

Guides

Ce guide vous présente pas à pas la configuration à effectuer pour ajouter site JPlatform en tant que Relying party sur AD FS 4.0 (Windows Server 2016).

Ces instructions s'appliquent pour les 2 modes de synchronisation des utilisateurs :

Synchronisation à partir de l'annuaire LDAP (Active Directory)
Synchronisation à partir des assertions SAML (AD FS) -- disponible depuis le module SAML 2.2

Pré-requis :

Documentation du module SAML
Configuration du module SAML effectuée sur JPlatform sur les éléments suivants :
- Entity ID (dans l'exemple https://jplatform.example.com/)
- Certificats générés et configurés
- Fichier de metadata du serveur AD FS déclaré dans JPlatform
Si vous synchronisez les membres (et groupes) à partir de l'annuaire LDAP (Active Directory), vous devez au préalable avoir configurer le LDAP dans JPlatform,
et le mapping du login des Membre JPlatform doit utiliser le champ userPrincipalName de l'annuaire LDAP
Plus d'informations dans la fiche Configuration et fonctionnement du LDAP dans JCMS
Si vous synchronisez les membres (et groupes) à partir des assertions SAML (AD FS), vous devez utiliser le module SAML 2.2 ou au delà

Notez la différence de vocabulaire entre ADFS et SAML :

Security token == Assertion
Claims provider == Identity provider (IdP)
Relying party == Service provider (SP)
Claims == Assertion attributes
Data about users that is sent inside security tokens

Sources :

https://msdn.microsoft.com/en-us/library/office/ee534975.aspx

Durée : 20 min

Etape 1 / 12

Ouvrez la console de gestion AD FS (AD FS Management)
Cliquez sur "Add Relying Party Trust..."

Etape 2 / 12

Laissez le choix "Claims aware" activé
Cliquez sur "Start"

Etape 3 / 12

Importer les metadonnées du site JPlatform :

Option 1 à partir de l'URL :
Si le site JPlatform est accessible depuis le serveur AD FS :
- Cliquez sur l'option "Import data about the relying party published online or on a local network"
- Saisissez l'URL d'accès aux métadonnées SAML de JPlatform
  (example : https://jplatform.example.com/plugins/SAMLPlugin/saml2/metadata.jsp )
Option 2 à partir du fichier de métadonnées :
Si le site JPlatform n'est pas accessible depuis le serveur AD FS, ou que vous avez désactivé l'accès public aux metadonnées SAML de JPlatform,
- Récupérez le fichier de métadonnées depuis le serveur (WEB-INF\data\saml2\sp-metadata.xml)
- Cliquez sur l'option "Import data about the relying party from a file" et choisissez le fichier de métadonnées

Appuyez sur le bouton "Next >"

Etape 4 / 12

Saisissez un nom et une description (valeur uniquement informative)

Display Name : My JPlatform site
Notes : https://jplatform.example.com/

Appuyez sur le bouton "Next >"

Etape 5 / 12

Choisissez l'Access Control Policy à appliquer, par défaut "Permit everyone"
Appuyez sur le bouton "Next >"

Etape 6 / 12

Optionnel : Passez en revue la configuration actuelle (pour information)
Appuyez sur le bouton "Next >"

Etape 7 / 12

Laissez l'option "Configure claims issuance policy for this application" cochée
Appuyez sur le bouton "Close"

Etape 8 / 12

Appuyez sur le bouton "Add Rule ..." dans la fenêtre d'édition des revendications.

Etape 9 / 12

Choisissez "Send LDAP Attributes as Claims" dans le menu déroulant "Claim rule template"
Appuyez sur le bouton "Next >"

Etape 10 / 12

Création de la règle pour l'envoie des attributs nécessaires à JPlatform dans la réponse SAML, à partir des champs du LDAP.

Requis :
- le userPrincipalName (qui sera utilisé comme login),
- l'adresse e-mail (utilisée comme Name ID)
Optionnel : les noms, prénoms et autres champs sont nécéssaires uniquement si vous activez la synchronisation à partir des données SAML. Vous pouvez les omettre si vous synchronisez les membres avec le LDAP.

Saisissez les informations suivantes :

Claim rule name : saisissez un titre évocateur, par exemple LDAP claims
Attribute store : choisissez Active Directory

Ajouter les attributs suivant :

LDAP Attribute	Outgoing Claim Type
E-Mail-Addresses	E-Mail Address
Given-Name	Given Name
Surname	Surname
User-Principal-Name	UPN

Chaque choix de type de revendication correspond à une valeur technique dans l'échange SAML.
Dans la configuration du module SAML sur JPlatform, saisissez les options suivantes afin que ces valeurs soient correctement utilisées :

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn
pour l'option Nom de l'attribut (aka type de revendication) du login
Si vous synchronisez les membres avec SAML :
- http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
  pour l'option Attribut - Nom
- http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname
  pour l'option Attribut - Prénom
- http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
  pour l'option Attribut - E-Mail

Appuyez sur le bouton "Finish"

Etape 11 / 12

Appuyez sur le bouton "Add Rule ..."
Puis choisissez "Transform an Incoming Claim" dans le menu déroulant "Claim rule template"
Appuyez sur le bouton "Next >"

Etape 12 / 12

Création de la règle pour l'envoi de l'adresse email comme NameID SAML
Saisissez les informations suivantes :

Claim rule name : saisissez un titre évocateur, par exemple E-mail NameID
Incoming claim type : choisissez l'option E-Mail Address dans le menu déroulant
Outgoing claim type : Name ID
Outgoing name ID format : Email

Cochez Pass through all claim values.

Dans la configuration du module SAML sur JPlatform, saisissez la valeur urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress pour l'option Format du NameID

Appuyez sur le bouton "Finish"

La configuration est terminée, vous pouvez tester une connexion à votre site JPlatform.

Pour effectuer un diagnostic en cas de dysfonctionnement, consultez les logs ADFS :
Event Viewer > Application and Services logs > AD FS > Admin

J'ai une question

Aucune question n'a encore été posée sur ce guide.