Ce guide vous présente pas à pas la configuration à effectuer pour ajouter site JPlatform en tant que Relying party sur AD FS 4.0 (Windows Server 2016).
Ces instructions s'appliquent pour les 2 modes de synchronisation des utilisateurs :
Synchronisation à partir de l'annuaire LDAP (Active Directory)
Synchronisation à partir des assertions SAML (AD FS) -- disponible depuis le module SAML 2.2
Fichier de metadata du serveur AD FS déclaré dans JPlatform
Si vous synchronisez les membres (et groupes) à partir de l'annuaire LDAP (Active Directory), vous devez au préalable avoir configurer le LDAP dans JPlatform, et le mapping du login des Membre JPlatform doit utiliser le champ userPrincipalName de l'annuaire LDAP Plus d'informations dans la fiche Configuration et fonctionnement du LDAP dans JCMS
Si vous synchronisez les membres (et groupes) à partir des assertions SAML (AD FS), vous devez utiliser le module SAML 2.2 ou au delà
Notez la différence de vocabulaire entre ADFS et SAML :
Security token == Assertion
Claims provider == Identity provider (IdP)
Relying party == Service provider (SP)
Claims == Assertion attributes Data about users that is sent inside security tokens
Option 1 à partir de l'URL : Si le site JPlatform est accessible depuis le serveur AD FS :
Cliquez sur l'option "Import data about the relying party published online or on a local network"
Saisissez l'URL d'accès aux métadonnées SAML de JPlatform (example : https://jplatform.example.com/plugins/SAMLPlugin/saml2/metadata.jsp )
Option 2 à partir du fichier de métadonnées : Si le site JPlatform n'est pas accessible depuis le serveur AD FS, ou que vous avez désactivé l'accès public aux metadonnées SAML de JPlatform,
Récupérez le fichier de métadonnées depuis le serveur (WEB-INF\data\saml2\sp-metadata.xml)
Cliquez sur l'option "Import data about the relying party from a file" et choisissez le fichier de métadonnées
Ouvrez la console de gestion AD FS (AD FS Management)
Cliquez sur "Add Relying Party Trust..."
Etape 2 / 12
Laissez le choix "Claims aware" activé
Cliquez sur "Start"
Etape 3 / 12
Importer les metadonnées du site JPlatform :
Option 1 à partir de l'URL : Si le site JPlatform est accessible depuis le serveur AD FS :
Cliquez sur l'option "Import data about the relying party published online or on a local network"
Saisissez l'URL d'accès aux métadonnées SAML de JPlatform (example : https://jplatform.example.com/plugins/SAMLPlugin/saml2/metadata.jsp )
Option 2 à partir du fichier de métadonnées : Si le site JPlatform n'est pas accessible depuis le serveur AD FS, ou que vous avez désactivé l'accès public aux metadonnées SAML de JPlatform,
Récupérez le fichier de métadonnées depuis le serveur (WEB-INF\data\saml2\sp-metadata.xml)
Cliquez sur l'option "Import data about the relying party from a file" et choisissez le fichier de métadonnées
Appuyez sur le bouton "Next >"
Etape 4 / 12
Saisissez un nom et une description (valeur uniquement informative)
Display Name : My JPlatform site
Notes : https://jplatform.example.com/
Appuyez sur le bouton "Next >"
Etape 5 / 12
Choisissez l'Access Control Policy à appliquer, par défaut "Permit everyone"
Appuyez sur le bouton "Next >"
Etape 6 / 12
Optionnel : Passez en revue la configuration actuelle (pour information)
Appuyez sur le bouton "Next >"
Etape 7 / 12
Laissez l'option "Configure claims issuance policy for this application" cochée
Appuyez sur le bouton "Close"
Etape 8 / 12
Appuyez sur le bouton "Add Rule ..." dans la fenêtre d'édition des revendications.
Etape 9 / 12
Choisissez "Send LDAP Attributes as Claims" dans le menu déroulant "Claim rule template"
Appuyez sur le bouton "Next >"
Etape 10 / 12
Création de la règle pour l'envoie des attributs nécessaires à JPlatform dans la réponse SAML, à partir des champs du LDAP.
Requis :
le userPrincipalName (qui sera utilisé comme login),
l'adresse e-mail (utilisée comme Name ID)
Optionnel : les noms, prénoms et autres champs sont nécéssaires uniquement si vous activez la synchronisation à partir des données SAML. Vous pouvez les omettre si vous synchronisez les membres avec le LDAP.
Saisissez les informations suivantes :
Claim rule name : saisissez un titre évocateur, par exemple LDAP claims
Attribute store : choisissez Active Directory
Ajouter les attributs suivant :
LDAP Attribute
Outgoing Claim Type
E-Mail-Addresses
E-Mail Address
Given-Name
Given Name
Surname
Surname
User-Principal-Name
UPN
Chaque choix de type de revendication correspond à une valeur technique dans l'échange SAML. Dans la configuration du module SAML sur JPlatform, saisissez les options suivantes afin que ces valeurs soient correctement utilisées :
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn pour l'option Nom de l'attribut (aka type de revendication) du login
Si vous synchronisez les membres avec SAML :
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname pour l'option Attribut - Nom
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname pour l'option Attribut - Prénom
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress pour l'option Attribut - E-Mail
Appuyez sur le bouton "Finish"
Etape 11 / 12
Appuyez sur le bouton "Add Rule ..."
Puis choisissez "Transform an Incoming Claim" dans le menu déroulant "Claim rule template"
Appuyez sur le bouton "Next >"
Etape 12 / 12
Création de la règle pour l'envoi de l'adresse email comme NameID SAML Saisissez les informations suivantes :
Claim rule name : saisissez un titre évocateur, par exemple E-mail NameID
Incoming claim type : choisissez l'option E-Mail Address dans le menu déroulant
Outgoing claim type : Name ID
Outgoing name ID format : Email
Cochez Pass through all claim values.
Dans la configuration du module SAML sur JPlatform, saisissez la valeur urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress pour l'option Format du NameID
Appuyez sur le bouton "Finish"
La configuration est terminée, vous pouvez tester une connexion à votre site JPlatform.
Pour effectuer un diagnostic en cas de dysfonctionnement, consultez les logs ADFS : Event Viewer > Application and Services logs > AD FS > Admin
Aucun commentaire
