Configurer le Connecteur de fournisseur d’identité (IdP Connector) dans ESA Web Console
Pour la configuration, vous aurez besoin d’informations sur le fournisseur d’identité et sur le fournisseur de services.
1.Dans ESA Web Console, accédez à Components (Composants) > Identity Provider Connector (Connecteur du fournisseur d’identité).
2.Cliquez sur Create New Identity Provider Configuration.
3.Entrante Basic settings :
oTapez le nom de configuration (Configuration Name) de votre choix. Il sera utilisé dans la liste des configurations d’IdP Connector.
oTapez le nom du chemin d’accès (Path Name) de votre choix qui sera utilisé dans l’URL de configuration (Configuration URL) utilisé dans une configuration ultérieure.
4.Entrante 2FA settings :
oLaissez l’option 2FA enabled (Authentification à 2 facteurs activée) sélectionnée pour exiger des utilisateurs qui ont configuré l’authentification à 2 facteurs de fournir un deuxième facteur d’authentification.
oPour permettre aux utilisateurs qui n’ont configuré aucune authentification à 2 facteurs (2FA) de se connecter via cette configuration d’IdP Connector, laissez l’option Allow non-2FA (Autoriser les utilisateurs n’utilisant pas l’authentification à 2 facteurs) sélectionnée.
5.Entrante Original Identity Provider :
oConfiguration from the Original Identity Provider
•Use metadata (Utiliser les métadonnées) : utilisez cette option si les métadonnées de configuration du fournisseur d’identité sont disponibles via une connexion sécurisée (HTTPS) ou sous forme de fichier local. Tapez cette URL sécurisée (commençant par https:// ou file://) dans le champ Metadata URL (URL des métadonnées).
•Configure manually (Configurer manuellement) : si vous utilisez cette option, vous devez récupérer et taper manuellement les informations suivantes concernant le fournisseur d’identité :
oSingle Sign-on Destination (Destination de connexion unique) vers laquelle l’utilisateur authentifié est redirigé pour se connecter. Certains fournisseurs d’identité l’appellent URL de connexion.
oSingle Logout Destination (Destination de déconnexion unique) vers laquelle l’utilisateur est redirigé pour se déconnecter. Certains fournisseurs d’identité l’appellent URL de déconnexion.
oSignature Validation Certificate (Certificat de validation de signature) : certificat de signature du fournisseur d’identité.
oConfiguration to the Original Identity provider
Cette section fournit toutes les informations et données essentielles pour configurer le fournisseur d’identité d’origine afin qu’il fonctionne avec ESA IdP Connector.
i.Si le fournisseur d’identité peut lire la configuration à partir des métadonnées, fournissez-lui l’URL affichée dans Metadata URL (URL des métadonnées). Sinon, utilisez les informations des autres champs [Identifier (Identificateur), Sign-on response URL (URL de réponse de connexion), Logout response URL (URL de réponse de déconnexion), Logout URL (URL de déconnexion)], puis exportez le certificat de connexion et le certificat de décryptage si votre fournisseur d’identité l’exige.
ii.Configurez le fournisseur d’identité pour qu’il émette une revendication Name ID au format <username>@<domain> (les options courantes sont l’adresse e-mail ou le nom UPN). ESA IdP Connector enregistrera ensuite l’utilisateur identifié par <username> auprès du serveur d’authentification ESA dans le domaine <domain>.
6.Ajustez-les paramètres de sécurité avancée (Advanced Security Settings) en fonction de vos préférences et des exigences de votre fournisseur d’identité.
oSign Requests to the original Identity Provider (Signer les requêtes au fournisseur d’identité d’origine) : si cette option est sélectionnée, le certificat de signature (Singing Certificate) d’ESA doit être configuré comme approuvé sur la machine hébergeant le fournisseur d’identité.
oValidate original Identity Provider certificate (Valider le certificat du fournisseur d’identité d’origine) : si cette option est sélectionnée, le certificat de signature du fournisseur d’identité doit être configuré comme approuvé sur la machine hébergeant ESA.
oCheck original Identity Provider certificate revocation (Vérifier la révocation du certificat du fournisseur d’identité d’origine) : si cette option est sélectionnée, ESA vérifie si le certificat de signature du fournisseur d’identité est toujours valide.
7.Cliquez sur Add Service Provider (Ajouter un fournisseur de services), puis saisissez le nom d’affichage (Display Name) de votre choix. Il sera utilisé dans la liste des fournisseurs de services configurés dans le connecteur de fournisseur d’identité en cours de configuration.
oConfiguration from the Service Provider
i.Use metadata (Utiliser les métadonnées) : utilisez cette option si les métadonnées de configuration du fournisseur d’identité sont disponibles via une connexion sécurisée (HTTPS). Saisissez cette URL sécurisée (commençant par https://) dans le champ URL des métadonnées du fournisseur de services.
ii.Configure manually (Configurer manuellement) : si vous utilisez cette option, vous devez récupérer et taper manuellement les informations suivantes concernant le fournisseur de services :
oIssuer (Émetteur) : certains fournisseurs de services l’appellent Audience URL (URL de public) ou Entity ID (ID d’entité).
oSingle Sign-on Destination (Destination de connexion unique) vers laquelle l’utilisateur authentifié est redirigé. Certains fournisseurs de services l’appellent URL Assertion Consumer Service.
oSingle Logout Destination (Destination de déconnexion unique) vers laquelle l’utilisateur est redirigé après la déconnexion.
oSignature Validation Certificate (Certificat de validation de signature) : certificat de signature du fournisseur de services.
b.Configuration to the Service Provider:
Cette section fournit toutes les informations et données essentielles pour configurer le fournisseur d’identité d’origine afin qu’il fonctionne avec ESA IdP Connector
i.Si le fournisseur de services peut lire la configuration à partir des métadonnées, fournissez-lui l’URL affichée dans Metadata URL (URL des métadonnées). Sinon, utilisez les informations des autres champs [Identifier (Identificateur), Sign-on URL (URL de connexion), Logout URL (URL de déconnexion)], puis exportez le Singing Certificatecertificat de signature et le Decryption Certificate (Certificat de décryptage) si votre fournisseur de services l’exige.
ii.Pour supprimer, ajouter ou mettre à jour les informations d’identité collectées (revendication) avant de les transmettre au fournisseur de services, créez les règles souhaitées dans la section Claims Translation (Traduction des revendications). Consultez des exemples de traductions de revendications ci-dessous.
8.Ajustez-les Advanced Security Settings (Paramètres de sécurité avancée) en fonction de vos préférences et des exigences de votre fournisseur de services.
oCheck signature of requests from the Service Provider (Vérifier la signature des requêtes du fournisseur de services) : si cette option est sélectionnée, le certificat du fournisseur de services doit être configuré dans ESA.
oValidate Service Provider certificate (Valider le certificat du fournisseur de services) : si cette option est sélectionnée, le certificat du fournisseur de services doit être configuré comme approuvé sur la machine hébergeant ESA.
oCheck Service Provider certificate revocation (Vérifier la révocation du certificat du fournisseur de services) : si cette option est sélectionnée, ESA vérifie si le certificat du fournisseur de services est toujours valide.
9.Cliquez sur Save.
Exemples de traduction de revendications
Dans les exemples ci-dessous, nous partons du principe que nous nous sommes connectés via un fournisseur d’identité et que les revendications suivantes ont été reçues par ESA IdP Connector :
http://original_identity_provider/claim/nameid: sample@user.com http://original_identity_provider/claim/displayname: SU http://original_identity_provider/claim/name: Sample User http://original_identity_provider/claim/nameid: sample@user.com http://original_identity_provider/claim/saml2nameid: sample@user.com http://original_identity_provider/claim/samle2nameidformat: urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress |
Supprimer une certaine revendication
Pour supprimer « http://original_identity_provider/claim/displayname: SU » de l’ensemble de revendications ci-dessus, configurez la règle suivante dans ESA IdP Connector :
1.Cliquez sur Add.
2.Sélectionnez Remove (Supprimer) dans la zone de liste.
3.Pour Type, tapez « http://original_identity_provider/claim/displayname » sans guillemets.
4.Cliquez sur Save.
Créer une revendication avec une valeur personnalisée ou mettre à jour une revendication existante (remplacer sa valeur)
Pour remplacer « SU » par « sampleuser » dans « http://original_identity_provider/claim/displayname: SU », configurez la règle suivante dans ESA IdP Connector :
1.Cliquez sur Add.
2.Sélectionnez Add (Ajouter) dans la zone de liste.
3.Pour Type, tapez « http://original_identity_provider/claim/displayname » sans guillemets.
4.Pour Constant value (Valeur de constante), tapez « sampleuser ».
5.Cliquez sur Save.
Si « http://original_identity_provider/claim/displayname » n’existait pas dans l’ensemble de revendications reçu, il serait créé avec la valeur définie dans Constant value (Valeur de constante) :
"http://original_identity_provider/claim/displayname: sampleuser"
Créer une revendication avec la valeur d’une revendication existante
Pour créer une revendication « http://original_identity_provider/claim/profilename » avec la valeur de la revendication « http://original_identity_provider/claim/displayname », configurez la règle suivante dans ESA IdP Connector :
1.Cliquez sur Ajouter.
2.Sélectionnez Copy (Copier) dans la zone de liste.
3.Pour From type (Type De), tapez « http://original_identity_provider/claim/displayname » sans guillemets.
4.Pour To type (Type À), tapez « http://original_identity_provider/claim/profilename » sans guillemets.
5.Cliquez sur Save.