Exemples de configuration d’IdP Connector
Dans les exemples de configuration ci-dessous, nous partons du principe que les paramètres suivants sont définis comme suit :
•URL d’installation d’ESA : https://esa.test.local:44322/
•Path Name (Nom du chemin d’accès) configuré dans le Connecteur de fournisseur d’identité ESA (ESA IdP Connector) : test
Liens vers les exemples de configuration ci-dessous : Open AM, Okta, Azure AD, AD FS, Shibboleth, Dropbox, Confluence
Fournisseurs d’identité
OpenAM
Configurer ESA IdP Connector
1.Suivez les instructions génériques sur la configuration d’IdP Connector dans ESA Web Console.
2.Dans la section Fournisseur d’identité d’origine > Configuration issue du fournisseur d’identité d’origine, définissez l’URL des métadonnées sur
https://<OpenAM_FQDN>/openam/saml2/jsp/exportmetadata.jsp?entityid=https://<OpenAM_FQDN>/openam&realm=/ |
<OpenAM_FQDN> doit être remplacé par le nom de domaine que vous avez spécifié lors de la création du fournisseur d’identité hébergé dans la console OpenAM.
3.Si, dans les paramètres avancés de la configuration d’ESA IdP Connector, les options Validate original Identity Provider certificate (Valider le certificat du fournisseur d’identité d’origine) et Check original Identity Provider Certificate revocation (Vérifier la révocation du certificat du fournisseur d’identité d’origine) sont sélectionnées, le certificat de signature OpenAM doit être configuré comme approuvé sur la machine sur laquelle ESA IdP Connector est installé (par exemple, en l’ajoutant à Personnes de confiance).
Configurer OpenAM
1.Connectez-vous à OpenAM.
2.Dans Realms (Domaines), sélectionnez un domaine, puis sélectionnez Create SAML v2 Providers (Créer des fournisseurs SAML v2).
3.Cliquez sur Register Remote Service Provider (Enregistrer le fournisseur de services distants).
4.Saisissez l’URL des métadonnées obtenues auprès d’ESA :
a.Dans ESA Web Console, accédez à Components (Composants) > Identity Provider Connector (Connecteur du fournisseur d’identité). Sélectionnez le connecteur du fournisseur d’identité configuré, puis Original Identity Provider (Fournisseur d’identité d’origine) > Configuration to the original Identity Provider (Configuration du fournisseur d’identité d’origine) > Metadata URL (URL des métadonnées). Dans notre exemple : https://esa.test.local:44322/test/metadata/ToIdentityProvider
5.Dans Circle of Trust (Cercle de confiance) :
a.Sélectionnez Add to existing (Ajouter à l’existant).
b.Sélectionnez le cercle de confiance existant auquel appartient votre fournisseur d’identité hébergé.
6.Accédez à Federation (Fédération) > Entity Providers (Fournisseurs d’identité). Sélectionnez le fournisseur d’identité utilisé, puis Name ID Format (Format de l’ID de nom).
7.Attribuez une valeur à Name ID Value Map (Correspondance de valeur de l’ID de nom) s’il n’y en a pas.
8.Importez les certificats ESA IdP Connector dans OpenAM à l’aide de l’outil de ligne de commande.
keytool -importcert -alias esa_signing -keystore <openam_keystore.jks> -file <esa_signing_certificate> keytool -importcert -alias esa_decryption -keystore <openam_keystore.jks> -file <esa_decryption_certificate> |
Dans le code situé au-dessus de <openam_keystore.jks>, <esa_signing_ceritificate> et <esa_decryption_ceritificate> doivent être remplacés par le chemin correspondant menant à leur emplacement.
Okta
Configurer ESA IdP Connector
1.Suivez les instructions génériques sur la configuration d’IdP Connector dans ESA Web Console.
2.Dans la section Original Identity Provider (Fournisseur d’identité d’origine) > Configuration from the original Identity Provider (Configuration du fournisseur d’identité d’origine), définissez Metadata URL (URL des métadonées) sur l’URL que vous récupérerez d’Okta une fois sa configuration terminée :
a.Connectez-vous en tant qu’administrateur à l’application Okta créée.
b.Sélectionnez l’onglet Sign On (Connexion), cliquez avec le bouton droit sur Identity Provider metadata (Métadonnées du fournisseur d’identité) dans la section Settings (Paramètres) et copiez son adresse de lien (emplacement du lien).
3.Si, dans les paramètres avancés de la configuration d’ESA IdP Connector, les options Validate original Identity Provider certificate (Valider le certificat du fournisseur d’identité d’origine) et Check original Identity Provider Certificate revocation (Vérifier la révocation du certificat du fournisseur d’identité d’origine) sont sélectionnées, le certificat de signature Okta doit être configuré comme approuvé sur la machine sur laquelle ESA IdP Connector est installé (par exemple, en l’ajoutant à Personnes de confiance).
Configurer Okta
1.Connectez-vous au compte administrateur Okta.
2.Accédez Applications > Applications.
3.Cliquez sur Add Application (Ajouter une application), puis sur Create New App (Créer une application).
4.Sélectionnez Web pour Platform (Plateforme) et SAML 2.0 pour Sign on method (Méthode de connexion).
5.Cliquez sur Créer.
6.Lors de la configuration de l’application :
a. Single sign-on URL (URL d’authentification unique) : récupérez l’URL à partir d’ESA Web Console lors de la configuration d’ESA IdP Connector :
i. Original Identity Provider (Fournisseur d’identité d’origine) > Configuration to the Original Identity Provider (Configuration du fournisseur d’identité d’origine) > Sign-on URL (URL de connexion unique). Dans notre exemple :
https://esa.test.local:44322/test/Auth/LoginResponse
b.Audience URI (SP Entity ID) [URI d’audience (ID d’entité du fournisseur d’identité)] : récupérez la valeur correspondante à partir d’ESA Web Console lors de la configuration d’ESA IdP Connector :
i.Original Identity Provider (Fournisseur d’identité d’origine) > Configuration to the Original Identity Provider (Configuration du fournisseur d’identité d’origine) > Identifier (URL de connexion unique). Dans notre exemple :
https://esa.test.local:44322/test/
c.Dans SAML Settings (Paramètres SAML), sélectionnez Email (E-mail) pour Application username (Nom d’utilisateur de l’application).
Azure AD
Configurer ESA IdP Connector
1.Suivez les instructions génériques sur la configuration d’IdP Connector dans ESA Web Console.
2.Dans la section Original Identity Provider (Fournisseur d’identité d’origine) > Configuration from the original Identity Provider (Configuration du fournisseur d’identité d’origine), définissez Metadata URL sur l’URL que vous récupérerez d’Azure une fois sa configuration terminée :
a.Dans le portail Azure, accédez à Azure Active Directory > Enterprise applications (Applications d’entreprise) et sélectionnez l’application dans la liste.
b.Cliquez sur Single sign-on (Authentification unique), puis copiez l’URL du champ App Federation Metadata URL (URL des métadonnées de la fédération d’applications) dans la section SAML Signing Certificate (Certificat de signature SAML).
3.Si, dans les paramètres avancés de la configuration d’ESA IdP Connector, les options Validate original Identity Provider certificate (Valider le certificat du fournisseur d’identité d’origine) et Check original Identity Provider Certificate revocation (Vérifier la révocation du certificat du fournisseur d’identité d’origine) sont sélectionnées, le certificat de signature Azure doit être configuré comme approuvé sur la machine sur laquelle ESA IdP Connector est installé (par exemple, en l’ajoutant à Personnes de confiance). Vous pouvez télécharger le certificat de signature Azure à partir du portail Azure :
a.Accédez à Azure Active Directory > Enterprise applications (Applications d’entreprise). Sélectionnez l’application que vous avez configurée pour l’authentification unique, puis Single sign-on (Authentification unique).
b.Dans la section SAMLE Signing Certificate (Certificat de signature SAMLE), cliquez sur Download (Télécharger) à côté de Certificate (Raw) [Certificat (Brut)]
Configurer Azure AD
1.Connectez-vous au portail Azure.
2.Accédez à Azure Active Directory > Enterprise applications (Applications d’entreprise) > New Application (Nouvelle application).
3.Cliquez sur Non-gallery application (Application hors galerie).
4.Dans la section Single sign-on (Authentification unique), configurez les champs suivants en fonction des informations récupérées lors de la configuration d’ESA IdP Connector :
a.Identifier (Entity ID) [Identificateur (ID d’entité)] : utilisez la valeur de Original Identity Provider (Fournisseur d’identité d’origine) > Configuration to the Original Identity Provider (Configuration du fournisseur d’identité d’origine) > Identifier (Identificateur). Dans notre exemple :
https://esa.test.local:44322/test
b.Reply URL (Assertion Consumer Service URL) [URL de réponse (URL Assertion Consumer Service)], Sign-on URL (URL d’authentification unique) : servez-vous de la valeur de Original Identity Provider (Fournisseur d’identité d’origine) > Configuration to the Original Identity Provider (Configuration du fournisseur d’identité d’origine) > Sign-on URL (URL d’authentification unique). Dans notre exemple :
https://esa.test.local:44322/test/Auth/LoginResponse
c.Logout Url (URL de déconnexion) : utilisez la valeur de Original Identity Provider (Fournisseur d’identité d’origine) > Configuration to the Original Identity Provider (Configuration du fournisseur d’identité d’origine) > Logout URL (URL de déconnexion). Dans notre exemple :
https://esa.test.local:44322/test/Auth/LogoutResponse
AD FS
Configurer ESA IdP Connector
1.Suivez les instructions génériques sur la configuration d’IdP Connector dans ESA Web Console.
2.Dans la section Original Identity Provider (Fournisseur d’identité d’origine) > Configuration from the original Identity Provider (Configuration du fournisseur d’identité d’origine), définissez Metadata URL (URL des métadonnées) sur
https://AD FS_FQDN>/FederationMetadata/2007-06/FederationMetadata.xml |
où <AD FS_FQDN> doit être remplacé par le nom de domaine de votre serveur AD FS.
3.Si, dans les paramètres avancés de la configuration d’ESA IdP Connector, les options Validate original Identity Provider certificate (Valider le certificat du fournisseur d’identité d’origine) et Check original Identity Provider Certificate revocation (Vérifier la révocation du certificat du fournisseur d’identité d’origine) sont sélectionnées, le certificat de signature AD FS doit être configuré comme approuvé sur la machine sur laquelle ESA IdP Connector est installé (par exemple, en l’ajoutant à Personnes de confiance).
Configurer AD FS
1.Ouvrez AD FS Management.
2.Cliquez sur Relations d’approbation > Approbations de partie de confiance > Ajouter une approbation de partie de confiance.
3.Sélectionnez Prise en charge des revendications , puis cliquez sur Démarrer.
4.Sélectionnez Importer les données, publiées en ligne ou sur un réseau local, concernant la partie de confiance et, dans le champ Adresse des métadonnées de fédération (nom d’hôte ou URL), saisissez l’URL des métadonnées fournie dans ESA IdP Connector :
a.Original Identity Provider (Fournisseur d’identité d’origine) > Configuration to the Original Identity Provider (Configuration du fournisseur d’identité d’origine) > Metadata URL (URL des métadonnées)
5.Terminez la configuration.
6.Lorsque vous cliquez sur Close (Fermer) sur la page Finish (Terminer), la boîte de dialogue Edit Claim Rules (Modifier les règles de revendication) s’ouvre automatiquement.
7.Sélectionnez l’onglet Issuance Transform Rules (Règles de transformation d’émission), puis cliquez sur Add Rule (Ajouter une règle).
8.Dans Claim rule template (Modèle de règle de revendication), sélectionnez Send LDAP Attributes as Claims (Envoyer des attributs LDAP en tant que revendications), puis cliquez sur Next (Suivant).
9.Dans Attribute store (Magasin d’attributs), sélectionnez Active Directory.
10.Sélectionnez User-Principal-Name (Nom principal d’utilisateur) pour LDAP Attribute (Attribut LDAP) et Name ID (ID de nom) pour Outgoing Claim (Revendication sortante).
11.Cliquez sur Finish (Terminer), puis sur OK dans la boîte de dialogue Edit Claim Rules (Modifier les règles de revendications).
12.Appliquez la configuration suivante via PowerShell :
Set-ADFSRelyingPartyTrust -Targetname "<relying_party_name>" -SigningCertificateRevocationCheck "none" Set-ADFSRelyingPartyTrust -Targetname "<relying_party_name>" -EncryptionCertificateRevocationCheck "none" |
Dans le code ci-dessus, remplacez <relying_party_name> par le nom de l’approbation de partie de confiance que vous avez configuré dans les étapes précédentes.
13.Téléchargez les certificats à partir de la section Original Identity Provider (Fournisseur d’identité d’origine) > Configuration from the original Identity Provider (Configuration du fournisseur d’identité d’origine) de ESA IdP Connector, et importez-les dans le magasin de certificats Windows pour les approuver.
Shibboleth
Configurer ESA IdP Connector
1.Suivez les instructions génériques sur la configuration d’IdP Connector dans ESA Web Console.
2.Dans la section Original Identity Provider (Fournisseur d’identité d’origine) > Configuration from the original Identity Provider (Configuration du fournisseur d’identité d’origine), définissez Metadata URL (URL des métadonnées) sur
file://C:\Program Files (x86)\Shibboleth\IdP\metadata\idp-metadata.xml |
si ESA IdP Connector est installé sur la même machine que Shibboleth. Sinon, copiez le fichier idp-metadata.xml de Shibboleth sur l’ordinateur où ESA IdP Connector est installé et faites référence à ce chemin.
3.Si, dans les paramètres avancés de la configuration d’ESA IdP Connector, les options Validate original Identity Provider certificate (Valider le certificat du fournisseur d’identité d’origine) et Check original Identity Provider Certificate revocation (Vérifier la révocation du certificat du fournisseur d’identité d’origine) sont sélectionnées, le certificat de signature de Shibboleth (situé à l’emplacement C:\Program Files (x86)\Shibboleth\IdP\credentials\idp-signing.crt par défaut) doit être configuré comme approuvé sur la machine sur laquelle ESA IdP Connector est installé (par exemple, en l’ajoutant à Personnes de confiance).
Configurer Shibboleth
1.Téléchargez le fichier de métadonnées ESA IdP Connector à partir de l’URL fournie dans ESA IdP Connector :
a.Original Identity Provider (Fournisseur d’identité d’origine) > Configuration to the Original Identity Provider (Configuration du fournisseur d’identité d’origine) > Metadata URL (URL des métadonnées)
b.Enregistrez-le sur l’ordinateur où Shibboleth est installé et faites référence à son emplacement dans « C:\Program Files (x86)\Shibboleth\IdP\conf\metadata-providers.xml » :
<MetadataProvider id="sp-metadata" xsi:type="FilesystemMetadataProvider" metadataFile="<metadata_xml_file_from_esa>"/> |
Dans le code ci-dessus, <metadata_xml_file_from_esa> fait référence au chemin du fichier de métadonnées ESA IdP Connector téléchargé.
2.Faites en sorte que Shibboleth envoie des données, qui identifient l’utilisateur, au format e-mail en tant que valeur du paramètre NameID. Par exemple, l’attribut LDAP mail :
a.Définissez shibboleth.SAML2NameIDGenerators dans « C:\Program Files (x86)\Shibboleth\IdP\conf\saml-nameid.xml » :
<bean parent="shibboleth.SAML2AttributeSourcedGenerator" p:omitQualifiers="true" p:format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress" p:attributeSourceIds="#{ {'mail'} }" /> |
b.Ajoutez le contenu ci-dessous à « C:\Program Files (x86)\Shibboleth\IdP\conf\saml-nameid.properties » :
idp.nameid.saml2.default = urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress |
Keycloak
Configurer ESA IdP Connector
1.Suivez les instructions génériques sur la configuration d’IdP Connector dans ESA Web Console.
2.Dans la section Original Identity Provider (Fournisseur d’identité d’origine) > Configuration from the original Identity Provider (Configuration du fournisseur d’identité d’origine), définissez Metadata URL (URL des métadonnées) sur
https://<keycloak>/auth/realms/<realm>/protocol/saml/descriptor |
Dans l’URL ci-dessus, remplacez <keycloak> par le nom de domaine (et le port) de votre instance Keycloak et <realm> par le nom de domaine correspondant.
3.Si, dans les paramètres avancés de la configuration d’ESA IdP Connector, les options Validate original Identity Provider certificate (Valider le certificat du fournisseur d’identité d’origine) et Check original Identity Provider Certificate revocation (Vérifier la révocation du certificat du fournisseur d’identité d’origine) sont sélectionnées, le certificat de signature Keycloak doit être configuré comme approuvé sur la machine sur laquelle ESA IdP Connector est installé (par exemple, en l’ajoutant à Personnes de confiance).
Configurer Keycloak
1.Téléchargez les métadonnées ESA IdP Connector sous forme de fichier XML à partir d’ESA Web Console :
a.Dans un navigateur, accédez à Components (Composants) > Identity Provider Connector (Connecteur du fournisseur d’identité). Sélectionnez le connecteur du fournisseur d’identité configuré, Original Identity Provider (Fournisseur d’identité d’origine) > Configuration to the Original Identity Provider (Configuration du fournisseur d’identité d’origine) > Metadata URL (URL des métadonnées), puis ouvrez l’URL des métadonnées.
b.Appuyez sur CTRL + S, sélectionnez « XML » pour Type de fichier si disponible, puis cliquez sur Enregistrer.
2.Connectez-vous à la console d’administration de Keycloak.
3.Cliquez sur Clients > Create (Créer).
4.À côté d’Import (Importer), cliquez sur Select file (Sélectionner un fichier), puis accédez au fichier .xml des métadonnées téléchargé à l’étape 1.
5.Dans Client Protocol (Protocole client), sélectionnez SAML.
6.Renseignez le reste des champs et cliquez sur Save (Enregistrer).
7.Dans l’onglet Settings (Paramètres) du client créé, désactivez Sign Assertions (Signer les assertions).
8.Dans Name ID Format (Format d’ID de nom), sélectionnez email (e-mail).
Fournisseurs de services
Dropbox
Configurer ESA IdP Connector
1.Suivez les instructions génériques sur la configuration d’IdP Connector dans ESA Web Console.
2.Lorsque vous ajoutez un fournisseur de services, sélectionnez Configure manually (Configurer manuellement) dans la section Configuration from the Service Provider (Configuration du fournisseur de services).
3.Pour Issuer (Émetteur), tapez http://Dropbox.
4.Définissez Single Sign-on Destination (Destination d’authentification unique) sur https://www.dropbox.com/saml_login.
5.Copiez la valeur de Sign-on URL (URL d’authentification) et de Logout URL (URL de déconnexion) dans un fichier texte, puis exportez le Singing Certificate (Certificat de signature) pour une utilisation ultérieure lors de la configuration de votre fournisseur de services.
6.Dans Advanced Security Settings (Paramètres de sécurité avancés), désélectionnez Check signature of requests from the Service Provider (Vérifier la signature des requêtes envoyées par le fournisseur de services).
Configurer Dropbox
1.Connectez-vous à Dropbox en tant qu’administrateur.
2.Accédez à Settings (Paramètres) > Single sign-on (Authentification unique).
3.Dans le champ Sign-in URL (URL de connexion), tapez l’URL d’authentification que vous avez copiée à partir du ESA IdP Connector configuré.
4.Dans le champ Sign-out URL (URL de déconnexion), tapez l’URL de déconnexion que vous avez copiée à partir du ESA IdP Connector configuré.
5.Pour le certificat X.509, importez le certificat de signature que vous avez exporté précédemment à partir du ESA IdP Connector configuré.
Confluence
Configurer ESA IdP Connector
1.Suivez les instructions génériques sur la configuration d’IdP Connector dans ESA Web Console.
2.Lorsque vous ajoutez un fournisseur de services, sélectionnez Configure manually (Configurer manuellement) dans la section Configuration from the Service Provider (Configuration du fournisseur de services).
3.Pour Issuer (Émetteur), copiez et collez l’adresse URL trouvée dans la console d’administration Confluence dans SAML Authentication (Authentification SAML) > Audience URL (Entity ID) [URL d’audience (ID d’entité)].
4.Pour Single Sign-on Destination (Destination d’authentification unique), copiez et collez l’adresse URL trouvée dans la console d’administration Confluence dans SAML Authentication (Authentification SAML) > Assertion Consumer Service URL (URL Assertion Consumer Service).
5.Copiez la valeur de Identifier (Identificateur) et de Sign-on URL (URL d’authentification) dans un fichier texte, puis exportez le Singing Certificate (Certificat de signature) pour une utilisation ultérieure lors de la configuration de votre fournisseur de services.
6.Dans Advanced Security Settings (Paramètres de sécurité avancés), désélectionnez Check signature of requests from the Service Provider (Vérifier la signature des requêtes envoyées par le fournisseur de services).
Configurer Confluence
1.Connectez-vous à Confluence en tant qu’administrateur.
2.Cliquez sur SAML Authentication (Authentification SAML).
3.Dans la section SAML SSO 2.0 settings (Paramètres d’authentification unique SAML 2.0) :
a.Dans le champ Single sing-on Issuer (Émetteur d’authentification unique), saisissez l’identifiant que vous avez copié à partir de ESA IdP Connector.
b.Dans le champ Identity provider single sign-on URL (URL d’authentification unique du fournisseur d’identité), saisissez l’URL d’authentification unique que vous avez copiée à partir de ESA IdP Connector.
c.Dans le champ X.509 Certificate (Certificat X.509), collez le contenu du certificat de signature que vous avez exporté à partir de ESA IdP Connector.