Accueil
Accueil

Authentification

Découvrez vos options pour autoriser l’accès aux utilisateurs à Workplace.

Présentation

Active Directory Federation Services (ADFS) est un composant de Windows Server qui permet aux organisations d’utiliser l’accès par authentification unique avec d’autres applications. Dans ce guide, nous détaillerons la configuration nécessaire de l’ADFS pour réussir à intégrer votre authentification unique avec Workplace.

Configurer l’ADFS pour l’authentification unique avec Workplace

Conditions requises

  • Votre système d’authentification unique utilise la version 2019 ou 2016 du Windows Server, l’Active Directory Domain Services (ADDS) et l’Active Directory Federation Services (ADFS) v4 ou v5.
  • On vous a attribué le rôle d’Administrateur système au sein de votre instance Workplace.
  • L’utilisateur administrateur de votre Workplace a exactement la même adresse e-mail que votre utilisateur Active Directory correspondant. Si les adresses e-mails ne sont pas sensibles à la casse, vous ne serez pas en mesure de mener à bien cette procédure.
?
Ces instructions s’appliquent également à la configuration de la version 2012 R2 ou 2008 R2 de Windows Server avec l’ADFS V2, mais attention, le déroulé de la configuration diffère légèrement. Nous vous recommandons de vous mettre à niveau avec des versions plus récentes de Window Server.

Rassembler les paramètres nécessaires pour configurer l’ADFS

Suivez les étapes suivantes dans Workplace pour trouver les paramètres dont vous avez besoin pour configurer l’ADFS.

1
Accédez au Panneau d’administration et naviguez vers la section Sécurité.

2
Naviguez vers l’ongletAuthentification.

3
Cochez la case Authentification unique.

4
Notez les valeurs de l’URL de votre Audience et de l’URL du destinataire, dont vous aurez besoin pendant l’étape de configuration de l’ADFS.

Créer une partie de confiance dans l’ADFS

Avant que l’ADFS n’autorise une authentification fédérée (par ex. : l’authentification unique) pour un système externe, vous devez configurer une partie de confiance. Cette configuration identifie le système externe ainsi que la technologie spécifique utilisée pour l’authentification unique. Cette procédure créera une partie de confiance qui produit des assertions SAML 2.0 pour Workplace.

1
Ouvrez la fenêtre de gestion ADFS. Cliquez sur Parties de confiance et choisissezAjouter une partie de confiance.

2
Choisissez le bouton radio « Prise en charge des revendications ». Cliquez sur Démarrer.

3
Sélectionnez Saisir des données manuellement à propos de la partie de confiance et cliquez sur Suivant.

4
Définissez leDisplayName comme Workplace. Cliquez sur Suivant.

5
Cliquez sur Suivant pour passer l’étape optionnelle de sélection d’un certificat de signature de jetons.

6
Cochez la case Activer l’assistance pour le protocole SAML 2.0 WebSSO. Saisissez l’URL de votre destinataire Workplace que vous avez précédemment notée, dans la zone de texte Partie de confiance SAM 2.0 SSO service URL et cliquez sur Suivant.

7
Saisissez l’URL de votre audience Workplace dans la zone de texte RelyingPartyTrust Identifier, cliquez sur Ajouter, puis cliquez sur Suivant.

8
Cliquez surSuivant pour accepter les règles de contrôle d’accès par défaut.

9
Contrôler vos paramètres et cliquez sur Suivantpour ajouter la partie de confiance.

10
Laissez la case à cocher sélectionnée pour ouvrir la boîte de dialogue Modifier les règles de revendication à la fermeture de l’assistant et cliquez sur Fermer.

Créer les règles de revendication

Une fois qu’un utilisateur est authentifié, les règles de revendication de l’ADFS spécifient les attributs des données (et le format de ces attributs) qui seront envoyés à Workplace dans la réponse SAML. Workplace nécessite un élément de nom d’ID qui comprend l’adresse e-mail de l’utilisateur. Cette exemple montre une configuration avec deux règles :

  • La première règle extrait le nom principal de l’utilisateur de l’Active Directory (c.-à-d. le nom du compte Windows) ;
  • La deuxième règle transforme le nom principal de l’utilisateur en identifiant du nom avec un format e-mail.

Préparez-vous à créer vos règles de revendication

Configurez l’ADFS pour créer deux règles de revendication pour configurer l’authentification unique pour Workplace.

1
La fenêtreModifier les règles de revendication pour Workplace devrait s’ouvrir automatiquement. Si ce n’est pas le cas, vous pouvez modifier les règles de revendication du snap-in de la gestion ADFS en sélectionnant la partie de confiance Workplace et dans la fenêtre de droite, choisir Modifier les règles de revendication.

2
Dans l’onglet des règles de transformation d’émission, cliquez sur Ajouter une règle… pour démarrer une nouvelle règle.

Créer la première règle

Créez la première règle pour récupérer le champ de l’adresse e-mail de l’Active Directory quand l’utilisateur est authentifié.

1
Pour le modèle des règles de revendication, sélectionnezEnvoyer les attributs LDAP en tant que revendications et cliquez sur Suivant pour continuer.

2
Fixez le nom des règles de revendication sur Obtenir les attributs LDAP. Configurez la liste d'attributs sur Active Directory. Dans la première ligne, définissez l’ attribut LDAP suradresses e-mails et définissez letype de revendication continu sur adresses-e-mails.

3
Cliquez sur Terminer pour ajouter la règle.

Créer une seconde règle

Créez la deuxième règle pour affecter le champ d'adresse e-mail à Name Idl'assertion dans la réponse SAML

1
Cliquez surCréer une règle… pour démarrer une deuxième nouvelle règle.

2
Pour le modèle de règles de revendication, sélectionnez Transformer une revendication entrante et cliquez sur Suivant pour continuer.

3
Pour le nom de la règle de revendication, saisissezTransformer l’adresse e-mail. Pour letype de revendication entrante, sélectionnez adresse e-mail. Pour letype de revendication sortante, sélectionnez l’identifiant du nom. Pour leformat de l’identifiant du nom sortant, sélectionnez e-mail. Pour terminer, laissez le bouton radio sélectionné par défaut, passez en revue toutes les valeurs de revendication et cliquez sur Terminer pour ajouter la règle.

4
Cliquez sur Appliquer pour promulguer les règles de revendication.

Rassemblez tous les paramètres ADFS nécessaires pour configurer Workplace.

Pour terminer la configuration, il faut récupérer certains paramètres qui ont été configurés dans Workplace.

?
Pour terminer cette configuration et que l’ADFS produise une déclaration SAML valide, vous devez être en mesure de vous authentifier auprès de l'ADFS en tant qu'utilisateur ayant exactement la même adresse e-mail que votre administrateur Workplace (sensible à la casse).
1
Ouvrez le snap-in de gestion de l’ADFS.

2
Naviguez vers ADFS > Service > Points de terminaison.

3
Confirmez l'URL de vos métadonnées ADFS sous l'en-tête Métadonnées.

4
Depuis un navigateur web, ouvrez votre fichier de métadonnées ADFS. L’emplacement devrait être quelque chose comme : https://:​{your-fully-qualified-:​active-directory-domain}:​/FederationMetadata/:​2007-06/:​FederationMetadata.xml.

5
Gardez note de l’URL de votre émetteur SAML, qui est compris dansentityID l’attribut de EntityDescriptorl’élément.

6
Vous devrez également noter votreURL SAML, qui est contenue dans l’ Location attribut de l’ AssertionConsumerService élément qui Binding type est défini à urn::​oasis::​names::​tc::​SAML:2.0::​bindings::​HTTP-POST.

Convertissez votre certificat au format X.509

Une fois que vous avez passé en revue la configuration de votre fournisseur d'identité :

1
Depuis la console de gestion ADFS, choisissez ADFS > Service > Certificats. Faites un clic droit sur votre certificat de signature de jetons et cliquez sur Voir le certificat....

2
Choisissez l’ongletDétails et cliquez sur le bouton Copier vers le fichier….

3
Cliquez sur Suivant pour démarrer l’assistant. Choisissez X.509 encodé en base 64 (.CER).

4
Choisissez un emplacement dans le système du fichier pour enregistrer le fichier de certificat exporté.

5
Cliquez sur Terminer pour finir l’exportation.

Terminer la configuration d’authentification unique Workplace

Vous avez besoin de l’URL de votre SAML, de l’URL de l’émetteur du SAML et du fichier du certificat exporté pour terminer la configuration d’authentification unique Workplace. Veuillez suivre le guide pour l’authentification unique.