ADFS
Dastra s'intègre avec Adfs, cette page vous explique les spécificités de la configuration du SSO avec AD FS
Dernière mise à jour
Dastra s'intègre avec Adfs, cette page vous explique les spécificités de la configuration du SSO avec AD FS
Dernière mise à jour
Les services de fédération Active Directory (généralement désignés sous l'acronyme ADFS) sont une solution d'authentification unique (SSO) conçue par Microsoft. Ces services, qui sont un composant des systèmes d'exploitation Windows Server, permettent aux utilisateurs de s'authentifier via Active Directory (AD) lorsqu'ils souhaitent accéder à une application qui ne peut pas utiliser l'authentification Windows intégrée (IWA).
Etape 1 : Créez un login SAML dans Dastra.
Allez sur la page de configuration du SSO de Dastra
Cliquez sur "Ajouter un login SSO"
Sélectionnez SAML en type de "Protocole du SSO"
Dans le champ "Identity Provider's Entity id (issuer)", renseignez l'url suivante : http://<adfs server url>/adfs/services/trust
Dans le champ "Fournisseur d'identité (Identity Provider) single sign on url" "https://<adfs server url>/adfs/ls
Etape 2 : Récupérez le certificat ADFS
Allez dans le répertoire "Certificates" du serveur ADFS
Récupérez le certificat .CER de votre serveur ADFS en utilisant le certificat "Token-Signing".
Cliquez sur "View Certificates"
Copiez le code du certificat X509 Certificate en ouvrant le fichier CER avec un éditeur de texte.
Insérez le code du certificat dans le champ du certificat qui commence par "----BEGIN CERTIFICATE-----" et termine par "--------END CERTIFICATE-----".
La configuration de votre login devrait ressembler à ceci :
Etape 3 : Conservez les valeurs suivantes :
SP redirect URI (format : https://account.dastra.eu/xxxxx-xxxx-xxxx-xxxx/Acs) :The SP redirect URI is Application Callback URL (SAML Token will be posted here). The encoding supported are SHA-256 and higher.
Identity Provider's Entity id (issuer)
Ces deux valeurs vous serviront à configurer le serveur ADFS pour qu'il accepte les requêtes SSO de Dastra
Voici comment configurer le SSO Dastra avec ADFS SSO SAML2P
Etape 1 : Sur votre serveur ADFS, ouvrez "AD FS Management"
Etape 2 : Cliquez à droite sur "Relying Party Trusts" et sélectionnez" Add Relying Party Trust". Ceci lancera l'assistant d'ajout de Relying Party Trust.
Etape 3 : Dans l'écran Select Data Source choisissez Enter data about the relying party manually.
Etape 4 : Entrez un Display name , par exemple "Dastra" puis cliquez sur "Next"
Etape 5 : Choisissez AD FS profile with SAML 2.0 et cliquez sur "Next"
Etape 6 : Cliquez sur Next sur l'écran Configure Certificate sans choisir de certificat
Etape 7 : Sélectionnez "Enable support for the SAML 2.0 SSO Web SSO protocol."
Dans le champ "Relying party SAML 2.0 SSO service URL: mettre l'url de "SP redirect URI " présente dans la Dastra. Cette url est de la forme : https://account.dastra.eu/xxxx-xxxx-xxxx-xxxx/Acs
Etape 8 : Dans la partie "Add a Relying party trust identifier", Ajoutez deux valeurs : account.dastra.eu et https://account.dastra.eu
Etape 9 : Cliquez sur suivant jusque la fin du processus.
Etape 10 : Cochez la case Open the Edit Claim Rules dialog avant de cliquer sur "terminer". Une fenêtre "Edit Claim Rules" va alors s'afficher.
Etape 11 : Cliquez sur Add Rule et choisissez la "Claim Rule" : "Send LDAP Attributes as Claims".
Etape 12 : Mappez les claims de la façon suivante, les noms des claims peuvent varier selon la configuration de votre serveur. Dastra a besoin de trois attributs pour fonctionner : Email (Obligatoire), Nom et Prénom de l'utilisateur :
Etape 13 : Cliquez sur "Finish" et cliquez de nouveau sur "Add Rule". Cette fois-ci, choisissez le type "Transform an Incoming Claim" et cliquez sur suivant.
Etape 14 : Configurez la règle suivante : Email Address => Name ID => Email
Appliquez ensuite les changements en cliquant sur "Apply"
Etape 15 : De retour dans la fenêtre "AD FS Management", cliquez droit sur "Relying Party for Dastra" et choisissez "properties". Dans l'onglet Advanced , choisissez SHA-256 en tant qu'algorithme sécurisé.
Etape 16 : Vous avez réussi !
Une fois que tout est configuré des deux côtés vous pouvez retourner dans Dastra et lancer un test de login SSO directement dans le gestionnaire.
