Link Search Menu Expand Document

Exemple de configuration SAML avec le composant Active Directory Federation Services (ADFS)

Cette page de documentation décrit les étapes de configuration permettant d’activer l’authentification SAML dans Cyberwatch via l’utilisation d’un Fournisseur d’Identité Microsoft ADFS.

Elle constitue un exemple simplifié, permettant de mettre en place une configuration minimale pour le fonctionnement du service SAML.

Prérequis

La procédure d’exemple suppose les prérequis suivants :

  • un Serveur Windows 2019 fonctionnel ;
  • une instance Active Directory dans laquelle l’attribut « email » des utilisateurs est définie ;
  • un certificat SSL pour la configuration côté ADFS ;
  • ADFS installé sur votre serveur Windows.

Ceux-ci peuvent bien entendu être adaptés à votre environnement, la procédure fonctionnera par exemple de façon similaire avec un serveur Windows 2016 plutôt qu’un serveur Windows 2019.

Obtention du certificat de l’IDP

Avant tout, récupérer le certificat de l’IDP qui sera renseigné dans Cyberwatch à l’étape 5°).

Télécharger le fichier XML de métadonnées de l’IDP depuis l’URL : https://[URL_IDP]/federationmetadata/2007-06/federationmetadata.xml

Le fichier obtenu doit contenir deux certificats contenu dans des champs <X509Certificate>. Extraire le premier certificat contenu dans la section <ds:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#"> du XML.

Conserver le certificat, il sera utilisé dans la prochaine étape pour la configuration SAML dans Cyberwatch.

Configuration SAML dans Cyberwatch

Commencer par configurer la partie SAML dans Cyberwatch, depuis le menu Administration > Configurations > SAML.

  1. Dans le champ « Label », renseigner la valeur souhaitée, par exemple Connexion ADFS. Celle-ci sera réutilisée pour le bouton de connexion SAML sur la page d’authentification de Cyberwatch
  2. Dans le champ « SP Entity ID », renseigner l’identificateur d’approbation de partie de confiance de votre IDP, par exemple CYBERWATCH
  3. Dans le champ « URL cible SSO IDP », renseigner l’URL d’authentification SSO de l’ADFS. Celui-ci doit prendre la forme https://[URL_IDP]/adfs/ls
  4. Pour le « Format du nom d’identification », renseigner urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
  5. Pour le « Certificat IDP », renseigner le certificat exporté à l’étape précédente
  6. (OPTIONNEL) Pour le champ « Attribut des rôles », spécifier la revendication à utiliser pour la gestion des droits utilisateur. Dans cet exemple, nous allons faire en sorte que la revendication sortante de l’ADFS utilise les groupes. La documentation ADFS spécifie que la valeur envoyée est la suivante : http://schemas.xmlsoap.org/claims/Group
  7. (OPTIONNEL) Renseigner les groupes d’appartenance LDAP pour lesquels les utilisateurs seront Administrateur de Cyberwatch, ces groupes doivent correspondre aux groupes LDAP de votre utilisateur
  8. Sauvegarder la configuration

Une fois la configuration sauvegardée, l’URL des métadonnées SP Cyberwatch devient disponible et propose un lien permettant de télécharger le fichier XML de métadonnées de l’application Cyberwatch nommé saml_metadata. Le télécharger, celui-ci sera utilisé pour automatiser une partie de la configuration dans l’ADFS.

Configuration ADFS

Création d’une approbation de partie de confiance

Depuis le serveur ADFS, ouvrir la console nommée « Gestion AD FS ».

Ajouter une approbation de partie de confiance en suivant les étapes ci-dessous :

  1. Ouvrir le dossier « AD FS » dans le menu de navigation de la console
  2. Clic droit « Approbations de partie de confiance »
  3. Sélectionner « Ajouter une approbation de partie de confiance… », l’assistant d’Ajout d’approbation de partie de confiance s’ouvre
  4. À l’étape « Bienvenue » de l’assistant, choisir l’option « Prise en charge des revendications »
  5. À l’étape « Sélectionner une source de données », sélectionner « Importer les données concernant la partie de confiance à partir d’un fichier » et importer le fichier saml_metadata généré plus tôt depuis Cyberwatch
  6. À l’étape « Entrer le nom complet », renseigner un nom permettant d’identifier facilement la partie de confiance : par exemple Cyberwatch SAML
  7. À l’étape « Sélectionner une stratégie de contrôle d’accès », sélectionner « Autoriser tout le monde » ou toute autre option que vous souhaiteriez configurer
  8. L’étape « Prêt à ajouter l’approbation » permet simplement à vérifier les éléments configurés si vous le souhaitez
  9. À l’étape « Terminer », cocher l’option « Configurer une stratégie d’émission de revendications pour cette application » et valider

Création des Règles de Revendications

Une fois l’approbation de partie de confiance créée, l’ajout de règles de revendication va permettre d’envoyer à Cyberwatch les informations nécessaires pour l’authentification.

Notre exemple propose de créer deux règles qui suffiront pour rendre l’authentification SAML fonctionnelle, selon la procédure suivante :

  1. Sur l’approbation de partie de confiance Cyberwatch SAML nouvellement créée, clic droit « Éditer la stratégie d’émission de revendication… »
  2. Une fenêtre s’ouvre, permettant la création de « Règles de transformation d’émission »
  3. Cliquer sur « Ajouter une règle… »
  4. À l’étape « Choisir le type de règle », sélectionner « Envoyer les attributs LDAP en tant que revendications »
  5. À l’étape « Configurer la règle de revendication » :

    • nommer la règle de revendication
    • sélectionner le magasin d’attribut « Active Directory »
    • dans le menu « Mappage des attributs LDAP aux types de revendications sortantes », sélectionner E-Mail-Addresses pour l’attribut LDAP et Adresse de messagerie pour le type de revendication sortante
    • pour la gestion permissions dans Cyberwatch par la suite, sélectionner par exemple une autre entrée Token-Groups - Noms non qualifiés pour l’attribut LDAP et Groupe pour le type de revendication sortante
    • confirmer la création de la règle
  6. Ajouter une nouvelle règle, cette fois en sélectionnant Transformer une revendication entrante pour le modèle de la règle. Dans l’étape de configuration de la règle :

    • nommer la règle de revendication
    • sélectionner Adresse de messagerie pour le champ « Type de revendication entrante »
    • laisser Non spécifié pour le « Format d’ID de nom entrant »
    • sélectionner ID de nom pour le champ « Type de revendication sortante »
    • sélectionner Adresse de messagerie pour le champ « Format d’ID de nom sortant »
    • sélectionner l’option Passer toutes les valeurs de revendication
    • valider la règle

La configuration côté ADFS devrait alors être valide.

Vérification du fonctionnement et troubleshooting

Ouvrir une nouvelle fenêtre de navigation privée et se rendre sur la page d’authentification de Cyberwatch.

Un nouveau bouton bleu Connexion ADFS (en fonction de la valeur renseignée à l’étape 1°) de la configuration dans Cyberwatch) devrait être disponible.

Cliquer sur ce bouton, si les configurations côté ADFS et Cyberwatch sont valides, le navigateur vous redirige vers la page d’authentification ADFS.

Renseigner les identifiants de votre compte LDAP pour vous authentifier au service SAML ADFS. Le navigateur vous redirige et vous authentifie sur l’application Cyberwatch avec votre utilisateur.

N.B. Vérifier ne pas déjà avoir un compte local/LDAP créé dans Cyberwatch utilisant la même adresse e-mail que celle utilisée pour l’authentification SAML, ou vous obtiendrez une erreur lors de votre tentative de connexion.

Aide au troubleshooting

Des étapes de troubleshooting peuvent s’avérer nécessaires, celles-ci sont possibles via la visualisation des requêtes SAML.

La visualisation de ces requêtes peuvent généralement se faire à l’aide d’une extension de navigateur comme SAML-tracer par exemple.

N’hésitez pas à nous contacter à l’adresse e-mail support@cyberwatch.fr pour tout accompagnement technique à la configuration.