Présentation
Active Directory Federation Services (ADFS) est un composant de Windows Server qui permet aux organisations d’utiliser l’accès par authentification unique avec d’autres applications. Dans ce guide, nous détaillerons la configuration nécessaire de l’ADFS pour réussir à intégrer votre authentification unique avec Workplace.
Configurer l’ADFS pour l’authentification unique avec Workplace
- Votre système d’authentification unique utilise la version 2019 ou 2016 du Windows Server, l’Active Directory Domain Services (ADDS) et l’Active Directory Federation Services (ADFS) v4 ou v5.
- On vous a attribué le rôle d’Administrateur système au sein de votre instance Workplace.
- L’utilisateur administrateur de votre Workplace a exactement la même adresse e-mail que votre utilisateur Active Directory correspondant. Si les adresses e-mails ne sont pas sensibles à la casse, vous ne serez pas en mesure de mener à bien cette procédure.
Ces instructions s’appliquent également à la configuration de la version 2012 R2 ou 2008 R2 de Windows Server avec l’ADFS V2, mais attention, le déroulé de la configuration diffère légèrement. Nous vous recommandons de vous mettre à niveau avec des versions plus récentes de Window Server.
Suivez les étapes suivantes dans Workplace pour trouver les paramètres dont vous avez besoin pour configurer l’ADFS.
Accédez au Panneau d’administration et naviguez vers la section Sécurité.
Naviguez vers l’ongletAuthentification.
Cochez la case Authentification unique.
Notez les valeurs de l’URL de votre Audience et de l’URL du destinataire, dont vous aurez besoin pendant l’étape de configuration de l’ADFS.
Avant que l’ADFS n’autorise une authentification fédérée (par ex. : l’authentification unique) pour un système externe, vous devez configurer une partie de confiance. Cette configuration identifie le système externe ainsi que la technologie spécifique utilisée pour l’authentification unique. Cette procédure créera une partie de confiance qui produit des assertions SAML 2.0 pour Workplace.
Ouvrez la fenêtre de gestion ADFS. Cliquez sur
Parties de confiance et choisissez
Ajouter une partie de confiance.
Choisissez le bouton radio
« Prise en charge des revendications ». Cliquez sur
Démarrer.
Sélectionnez
Saisir des données manuellement à propos de la partie de confiance et cliquez sur
Suivant.
Définissez leDisplayName comme Workplace. Cliquez sur
Suivant.
Cliquez sur
Suivant pour passer l’étape optionnelle de sélection d’un certificat de signature de jetons.
Cochez la case
Activer l’assistance pour le protocole SAML 2.0 WebSSO. Saisissez l’
URL de votre destinataire Workplace que vous avez précédemment notée, dans la zone de texte Partie de confiance SAM 2.0 SSO service URL et cliquez sur
Suivant.
Saisissez l’
URL de votre audience Workplace dans la zone de texte
RelyingPartyTrust Identifier, cliquez sur
Ajouter, puis cliquez sur
Suivant.
Cliquez sur
Suivant pour accepter les
règles de contrôle d’accès par défaut.
Contrôler vos paramètres et cliquez sur
Suivantpour ajouter la partie de confiance.
Laissez la case à cocher sélectionnée pour
ouvrir la boîte de dialogue Modifier les règles de revendication à la fermeture de l’assistant et cliquez sur
Fermer.
Une fois qu’un utilisateur est authentifié, les règles de revendication de l’ADFS spécifient les attributs des données (et le format de ces attributs) qui seront envoyés à Workplace dans la réponse SAML. Workplace nécessite un élément de nom d’ID qui comprend l’adresse e-mail de l’utilisateur. Cette exemple montre une configuration avec deux règles :
- La première règle extrait le nom principal de l’utilisateur de l’Active Directory (c.-à-d. le nom du compte Windows) ;
- La deuxième règle transforme le nom principal de l’utilisateur en identifiant du nom avec un format e-mail.
Configurez l’ADFS pour créer deux règles de revendication pour configurer l’authentification unique pour Workplace.
La fenêtreModifier les règles de revendication pour Workplace devrait s’ouvrir automatiquement. Si ce n’est pas le cas, vous pouvez modifier les règles de revendication du snap-in de la gestion ADFS en sélectionnant la partie de confiance Workplace et dans la fenêtre de droite, choisir Modifier les règles de revendication.
Dans l’onglet des
règles de transformation d’émission, cliquez sur
Ajouter une règle… pour démarrer une nouvelle règle.
Créez la première règle pour récupérer le champ de l’adresse e-mail de l’Active Directory quand l’utilisateur est authentifié.
Pour le modèle des règles de revendication, sélectionnez
Envoyer les attributs LDAP en tant que revendications et cliquez sur
Suivant pour continuer.
Fixez le nom des règles de revendication sur
Obtenir les attributs LDAP. Configurez la liste d'attributs sur
Active Directory. Dans la première ligne, définissez l’
attribut LDAP sur
adresses e-mails et définissez le
type de revendication continu sur
adresses-e-mails.
Cliquez sur Terminer pour ajouter la règle.
Créez la deuxième règle pour affecter le champ d'adresse e-mail à Name Idl'assertion dans la réponse SAML
Cliquez surCréer une règle… pour démarrer une deuxième nouvelle règle.
Pour
le modèle de règles de revendication, sélectionnez
Transformer une revendication entrante et cliquez sur
Suivant pour continuer.
Pour
le nom de la règle de revendication, saisissez
Transformer l’adresse e-mail. Pour le
type de revendication entrante, sélectionnez
adresse e-mail. Pour le
type de revendication sortante, sélectionnez l’
identifiant du nom. Pour le
format de l’identifiant du nom sortant, sélectionnez
e-mail. Pour terminer, laissez le bouton radio sélectionné par défaut,
passez en revue toutes les valeurs de revendication et cliquez sur
Terminer pour ajouter la règle.
Cliquez sur
Appliquer pour promulguer les règles de revendication.
Pour terminer la configuration, il faut récupérer certains paramètres qui ont été configurés dans Workplace.
Pour terminer cette configuration et que l’ADFS produise une déclaration SAML valide, vous devez être en mesure de vous authentifier auprès de l'ADFS en tant qu'utilisateur ayant exactement la même adresse e-mail que votre administrateur Workplace (sensible à la casse).
Ouvrez le snap-in de gestion de l’ADFS.
Naviguez vers ADFS > Service > Points de terminaison.
Confirmez l'URL de vos métadonnées ADFS sous l'en-tête Métadonnées.
Depuis un navigateur web, ouvrez votre fichier de métadonnées ADFS. L’emplacement devrait être quelque chose comme : https://:{your-fully-qualified-:active-directory-domain}:/FederationMetadata/:2007-06/:FederationMetadata.xml.
Gardez note de l’URL de votre émetteur SAML, qui est compris dansentityID l’attribut de EntityDescriptorl’élément.
Vous devrez également noter votreURL SAML, qui est contenue dans l’ Location attribut de l’ AssertionConsumerService élément qui Binding type est défini à urn::oasis::names::tc::SAML:2.0::bindings::HTTP-POST.
Une fois que vous avez passé en revue la configuration de votre fournisseur d'identité :
Depuis la console de gestion ADFS, choisissez
ADFS > Service > Certificats. Faites un clic droit sur votre certificat de signature de jetons et cliquez sur
Voir le certificat....
Choisissez l’onglet
Détails et cliquez sur le bouton
Copier vers le fichier….
Cliquez sur
Suivant pour démarrer l’assistant. Choisissez
X.509 encodé en base 64 (.CER).
Choisissez un emplacement dans le système du fichier pour enregistrer le fichier de certificat exporté.
Cliquez sur Terminer pour finir l’exportation.
Vous avez besoin de l’URL de votre SAML, de l’URL de l’émetteur du SAML et du fichier du certificat exporté pour terminer la configuration d’authentification unique Workplace. Veuillez suivre le guide pour l’authentification unique.
