Ce guide vous présente pas à pas la configuration à effectuer pour ajouter site JPlatform en tant que Relying party sur AD FS 4.0 (Windows Server 2016).
Ces instructions s'appliquent pour les 2 modes de synchronisation des utilisateurs :
Pré-requis :
https://jplatform.example.com/
)userPrincipalName
de l'annuaire LDAP
Notez la différence de vocabulaire entre ADFS et SAML :
Sources :
Durée : 20 min
Importer les metadonnées du site JPlatform :
https://jplatform.example.com/plugins/SAMLPlugin/saml2/metadata.jsp
)WEB-INF\data\saml2\sp-metadata.xml
)Appuyez sur le bouton "Next >"
Importer les metadonnées du site JPlatform :
https://jplatform.example.com/plugins/SAMLPlugin/saml2/metadata.jsp
)WEB-INF\data\saml2\sp-metadata.xml
)Appuyez sur le bouton "Next >"
Saisissez un nom et une description (valeur uniquement informative)
My JPlatform site
https://jplatform.example.com/
Appuyez sur le bouton "Next >"
Création de la règle pour l'envoie des attributs nécessaires à JPlatform dans la réponse SAML, à partir des champs du LDAP.
userPrincipalName
(qui sera utilisé comme login
),Saisissez les informations suivantes :
LDAP Attribute | Outgoing Claim Type |
E-Mail-Addresses | E-Mail Address |
Given-Name | Given Name |
Surname | Surname |
User-Principal-Name | UPN |
Chaque choix de type de revendication correspond à une valeur technique dans l'échange SAML.
Dans la configuration du module SAML sur JPlatform, saisissez les options suivantes afin que ces valeurs soient correctement utilisées :
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
Appuyez sur le bouton "Finish"
Création de la règle pour l'envoi de l'adresse email comme NameID
SAML
Saisissez les informations suivantes :
E-mail NameID
E-Mail Address
dans le menu déroulant
Name ID
Email
Cochez Pass through all claim values.
Dans la configuration du module SAML sur JPlatform, saisissez la valeur urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
pour l'option Format du NameID
Appuyez sur le bouton "Finish"
La configuration est terminée, vous pouvez tester une connexion à votre site JPlatform.
Pour effectuer un diagnostic en cas de dysfonctionnement, consultez les logs ADFS :
Event Viewer > Application and Services logs > AD FS > Admin