Exemple de configuration SAML avec le composant Active Directory Federation Services (ADFS)
Cette page de documentation décrit les étapes de configuration permettant d’activer l’authentification SAML dans Cyberwatch via l’utilisation d’un Fournisseur d’Identité Microsoft ADFS.
Elle constitue un exemple simplifié, permettant de mettre en place une configuration minimale pour le fonctionnement du service SAML.
Prérequis
La procédure d’exemple suppose les prérequis suivants :
- un Serveur Windows 2019 fonctionnel ;
- une instance Active Directory dans laquelle l’attribut « email » des utilisateurs est définie ;
- un certificat SSL pour la configuration côté ADFS ;
- ADFS installé sur votre serveur Windows.
Ceux-ci peuvent bien entendu être adaptés à votre environnement, la procédure fonctionnera par exemple de façon similaire avec un serveur Windows 2016 plutôt qu’un serveur Windows 2019.
Obtention du certificat de l’IDP
Avant tout, récupérer le certificat de l’IDP qui sera renseigné dans Cyberwatch à l’étape 5°).
Télécharger le fichier XML de métadonnées de l’IDP depuis l’URL : https://[URL_IDP]/federationmetadata/2007-06/federationmetadata.xml
Le fichier obtenu doit contenir deux certificats contenu dans des champs <X509Certificate>
. Extraire le premier certificat contenu dans la section <ds:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
du XML.
Conserver le certificat, il sera utilisé dans la prochaine étape pour la configuration SAML dans Cyberwatch.
Configuration SAML dans Cyberwatch
Commencer par configurer la partie SAML dans Cyberwatch, depuis le menu Administration > Fournisseur d’identité.
- Dans le champ « Label », renseigner la valeur souhaitée, par exemple
Connexion ADFS
. Celle-ci sera réutilisée pour le bouton de connexion SAML sur la page d’authentification de Cyberwatch - Dans le champ « SP Entity ID », renseigner l’identificateur d’approbation de partie de confiance de votre IDP, par exemple
CYBERWATCH
- Dans le champ « URL cible SSO IDP », renseigner l’URL d’authentification SSO de l’ADFS. Celui-ci doit prendre la forme
https://[URL_IDP]/adfs/ls
- Pour le « Format du nom d’identification », renseigner
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
- Pour le « Certificat IDP », renseigner le certificat exporté à l’étape précédente
- (OPTIONNEL) Pour le champ « Attribut des rôles », spécifier la revendication à utiliser pour la gestion des droits utilisateur. Dans cet exemple, nous allons faire en sorte que la revendication sortante de l’ADFS utilise les groupes. La documentation ADFS spécifie que la valeur envoyée est la suivante :
http://schemas.xmlsoap.org/claims/Group
- (OPTIONNEL) Renseigner les groupes d’appartenance LDAP pour lesquels les utilisateurs seront Administrateur de Cyberwatch, ces groupes doivent correspondre aux groupes LDAP de votre utilisateur
- Sauvegarder la configuration
Une fois la configuration sauvegardée, l’URL des métadonnées SP Cyberwatch
devient disponible et propose un lien permettant de télécharger le fichier XML de métadonnées de l’application Cyberwatch nommé saml_metadata
. Le télécharger, celui-ci sera utilisé pour automatiser une partie de la configuration dans l’ADFS.
Configuration ADFS
Création d’une approbation de partie de confiance
Depuis le serveur ADFS, ouvrir la console nommée « Gestion AD FS ».
Ajouter une approbation de partie de confiance en suivant les étapes ci-dessous :
- Ouvrir le dossier « AD FS » dans le menu de navigation de la console
- Clic droit « Approbations de partie de confiance »
- Sélectionner « Ajouter une approbation de partie de confiance… », l’assistant d’Ajout d’approbation de partie de confiance s’ouvre
- À l’étape « Bienvenue » de l’assistant, choisir l’option « Prise en charge des revendications »
- À l’étape « Sélectionner une source de données », sélectionner « Importer les données concernant la partie de confiance à partir d’un fichier » et importer le fichier
saml_metadata
généré plus tôt depuis Cyberwatch - À l’étape « Entrer le nom complet », renseigner un nom permettant d’identifier facilement la partie de confiance : par exemple
Cyberwatch SAML
- À l’étape « Sélectionner une stratégie de contrôle d’accès », sélectionner « Autoriser tout le monde » ou toute autre option que vous souhaiteriez configurer
- L’étape « Prêt à ajouter l’approbation » permet simplement à vérifier les éléments configurés si vous le souhaitez
- À l’étape « Terminer », cocher l’option « Configurer une stratégie d’émission de revendications pour cette application » et valider
Création des Règles de Revendications
Une fois l’approbation de partie de confiance créée, l’ajout de règles de revendication va permettre d’envoyer à Cyberwatch les informations nécessaires pour l’authentification.
Notre exemple propose de créer deux règles qui suffiront pour rendre l’authentification SAML fonctionnelle, selon la procédure suivante :
- Sur l’approbation de partie de confiance
Cyberwatch SAML
nouvellement créée, clic droit « Éditer la stratégie d’émission de revendication… » - Une fenêtre s’ouvre, permettant la création de « Règles de transformation d’émission »
- Cliquer sur « Ajouter une règle… »
- À l’étape « Choisir le type de règle », sélectionner « Envoyer les attributs LDAP en tant que revendications »
-
À l’étape « Configurer la règle de revendication » :
- nommer la règle de revendication
- sélectionner le magasin d’attribut « Active Directory »
- dans le menu « Mappage des attributs LDAP aux types de revendications sortantes », sélectionner
E-Mail-Addresses
pour l’attribut LDAP etAdresse de messagerie
pour le type de revendication sortante - pour la gestion permissions dans Cyberwatch par la suite, sélectionner par exemple une autre entrée
Token-Groups - Noms non qualifiés
pour l’attribut LDAP etGroupe
pour le type de revendication sortante - confirmer la création de la règle
-
Ajouter une nouvelle règle, cette fois en sélectionnant
Transformer une revendication entrante
pour le modèle de la règle. Dans l’étape de configuration de la règle :- nommer la règle de revendication
- sélectionner
Adresse de messagerie
pour le champ « Type de revendication entrante » - laisser
Non spécifié
pour le « Format d’ID de nom entrant » - sélectionner
ID de nom
pour le champ « Type de revendication sortante » - sélectionner
Adresse de messagerie
pour le champ « Format d’ID de nom sortant » - sélectionner l’option
Passer toutes les valeurs de revendication
- valider la règle
La configuration côté ADFS devrait alors être valide.
Vérification du fonctionnement et troubleshooting
Ouvrir une nouvelle fenêtre de navigation privée et se rendre sur la page d’authentification de Cyberwatch.
Un nouveau bouton bleu Connexion ADFS
(en fonction de la valeur renseignée à l’étape 1°) de la configuration dans Cyberwatch) devrait être disponible.
Cliquer sur ce bouton, si les configurations côté ADFS et Cyberwatch sont valides, le navigateur vous redirige vers la page d’authentification ADFS.
Renseigner les identifiants de votre compte LDAP pour vous authentifier au service SAML ADFS. Le navigateur vous redirige et vous authentifie sur l’application Cyberwatch avec votre utilisateur.
N.B. Vérifier ne pas déjà avoir un compte local/LDAP créé dans Cyberwatch utilisant la même adresse e-mail que celle utilisée pour l’authentification SAML, ou vous obtiendrez une erreur lors de votre tentative de connexion.
Aide au troubleshooting
Des étapes de troubleshooting peuvent s’avérer nécessaires, celles-ci sont possibles via la visualisation des requêtes SAML.
La visualisation de ces requêtes peuvent généralement se faire à l’aide d’une extension de navigateur comme SAML-tracer
par exemple.
N’hésitez pas à nous contacter à l’adresse e-mail support@cyberwatch.fr
pour tout accompagnement technique à la configuration.