# ADFS

## Qu'est ce que l'ADFS ?

Les services de fédération Active Directory (généralement désignés sous l'acronyme ADFS) sont une solution d'authentification unique (SSO) conçue par Microsoft. Ces services, qui sont un composant des systèmes d'exploitation Windows Server, permettent aux utilisateurs de s'authentifier via Active Directory (AD) lorsqu'ils souhaitent accéder à une application qui ne peut pas utiliser l'authentification Windows intégrée (IWA).

## **Configuration de ADFS dans Dastra**

**Etape 1 : Créez un login SAML dans Dastra.**

* Allez sur la [page de configuration du SSO de Dastra](https://app.dastra.eu/general-settings/sso)
* Cliquez sur "Ajouter un login SSO"
* Sélectionnez **SAML** en type de "**Protocole du SSO**"
* Dans le champ "Identity Provider's Entity id (issuer)", renseignez l'url suivante : [**http**://\<adfs server url>/adfs/services/trust](http://fs.saur.fr/adfs/services/trust)
* Dans le champ "**Fournisseur d'identité (Identity Provider) single sign on url**" "[**https**://\<adfs server url>](http://fs.saur.fr/adfs/services/trust)/adfs/ls

**Etape 2 : Récupérez le certificat ADFS**

* Allez dans le répertoire "**Certificates**" du serveur ADFS
* Récupérez le certificat .CER de votre serveur ADFS en utilisant le certificat "**Token-Signing**".

![](/files/pqaxuRQ5XQkG3JCrMVKj)

* Cliquez sur "**View Certificates**"

![](/files/2vqdJZ2UgE2oGvDLeJ09)

Copiez le code du certificat X509 Certificate en ouvrant le fichier CER avec un éditeur de texte.

Insérez le code du certificat dans le champ du certificat qui commence par "----BEGIN CERTIFICATE-----" et termine par "--------END CERTIFICATE-----".

La configuration de votre login devrait ressembler à ceci :

![](/files/iQBnRGcf5tZYrry3IXXj)

**Etape 3** : Conservez les valeurs suivantes :

* **SP redirect URI (format : <https://account.dastra.eu/xxxxx-xxxx-xxxx-xxxx/Acs>) :**&#x54;he SP redirect URI is Application Callback URL (SAML Token will be posted here). The encoding supported are SHA-256 and higher.
* **Identity Provider's Entity id (issuer)**

Ces deux valeurs vous serviront à configurer le serveur ADFS pour qu'il accepte les requêtes SSO de Dastra

## Configuration du client Dastra dans ADFS

Voici comment configurer le SSO Dastra avec ADFS SSO SAML2P

**Etape 1** : Sur votre serveur ADFS, ouvrez "AD FS Management"

**Etape 2 :** Cliquez à droite sur **"Relying Party Trusts**" et sélectionnez" **Add Relying Party Trust**". Ceci lancera l'assistant d'ajout de **Relying Party Trust**.

![](/files/055lwT7OIaej3lqkXjga)

**Etape 3 :** Dans l'écran ***Select Data Source*** choisissez ***Enter data about the relying party manually***.

![](/files/Ocb8o4FlmutNaTnNuzK3)

**Etape 4 :** Entrez un ***Display name** , par exemple **"Dastra"*** *puis cliquez sur **"Next"***

**Etape 5 :** Choisissez ***AD FS profile*** with SAML 2.0 et cliquez sur "**Next**"

**Etape 6** : Cliquez sur ***Next*** sur l'écran ***Configure Certificate** sans choisir de certificat*

**Etape 7 :** Sélectionnez "***Enable support for the SAML 2.0 SSO Web SSO protocol***."

![](/files/6nFsrHTBvP4mQvFNaYKJ)

Dans le champ "Relying party SAML 2.0 SSO service URL: mettre l'url de "**SP redirect URI "** présente dans la Dastra. Cette url est de la forme : <https://account.dastra.eu/xxxx-xxxx-xxxx-xxxx/Acs>

**Etape 8** : Dans la partie "**Add a Relying party trust identifier**", **Ajoutez deux valeurs** : *account.dastra.eu* et *<https://account.dastra.eu>*

**Etape 9** : Cliquez sur suivant jusque la fin du processus.

**Etape 10** : Cochez la case ***Open the Edit Claim Rules dialog*** avant de cliquer sur "terminer". Une fenêtre "***Edit Claim Rules"*** va alors s'afficher.

![](/files/6gK9NHK0GXufxZiG0kCg)

\
**Etape 11** : Cliquez sur ***Add Rule*** et choisissez la "Claim Rule" : "***Send LDAP Attributes as Claims"***.

![](/files/gXrQISa9b5gj1HOLNSO1)

**Etape 12** : Mappez les claims de la façon suivante, les noms des claims peuvent varier selon la configuration de votre serveur. Dastra a besoin de trois attributs pour fonctionner : Email (Obligatoire), Nom et Prénom de l'utilisateur :

![](/files/orRyJbcR4fNk2V8ql0O5)

**Etape 13** : Cliquez sur "**Finish**" et cliquez de nouveau sur "**Add Rule**". Cette fois-ci, choisissez le type "***Transform an Incoming Claim"** et cliquez sur suivant.*

**Etape 14 :** Configurez la règle suivante **: Email Address => Name ID => Email**

![](/files/0DYePFcGBw63bGe92VlU)

Appliquez ensuite les changements en cliquant sur "Apply"

**Etape 15** : De retour dans la fenêtre "**AD FS Management**", cliquez droit sur "**Relying Party for Dastra**" et choisissez "**properties**". Dans l'onglet ***Advanced*** , choisissez **SHA­-256** en tant qu'algorithme sécurisé.<br>

**Etape 16** : Vous avez réussi !

## **Fin et tests !**

Une fois que tout est configuré des deux côtés vous pouvez retourner dans Dastra et lancer un test de login SSO directement dans le gestionnaire.


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://doc.dastra.eu/features/settings/single-sign-on-sso/adfs.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.