Ajouter AD FS en tant que fournisseur d’identité

Introduction

Authentification unique ou Single Sign-On (SSO) est la fonction qui permet aux utilisateurs de s'authentifier une seule fois et d'obtenir accès à plusieurs applications/services autorisés sans contrainte de renseigner à nouveau les informations d'identification.

Quand un portail web comprend plusieurs sections indépendantes (forum, chat, blogue etc.), une fois connecté à un service, l'utilisateur est automatiquement connecté aux autres et n'a plus besoin de se connecter aux différentes applications une par une.

La technologie d'authentification unique repose sur l'opération conjointe de deux applications: le fournisseur d'identité et le fournisseur de service (ci-après dénommées IdP et SP). L'authentification unique ONLYOFFICE SSO est réalisé uniquement en tant que fournisseur de service (SP). Plusieurs fournisseurs peuvent agir en tant que fournisseur d'identité (IdP), mais cet article examine la réalisation Services de fédération Active Directory (AD FS) .

Préparer AD FS pour la configuration de SSO

  1. Installer la version la plus récente AD DS (Service de domaine Active Directory) avec toutes les mises à jour et correctifs officiels.
  2. Installer la version la plus récente AD FS avec toutes les mises à jour et correctifs officiels.
    Pour déployer AD FS à partir de zéro, veuillez suivre ces instructions.
  3. Vérifiez si les méta données AD FS sont accessibles au public. Pour ce faire,
    1. Dans Server Manager, accédez à Tools -> AD FS Management,
    2. Passez à AD FS \ Service \ Endpoints,
    3. Recherchez la ligne Federation Metadata dans le tableau. Le lien vers les métadonnées IdP construit selon le schéma suivant:
      https://{ad-fs-domain}/{path-to-FederationMetadata.xml}

      Vous pouvez également utiliser la commande PowerShell:

      PS C:\Users\Administrator> (Get-ADFSEndpoint | Where {$_.Protocol -eq "FederationMetadata" -or $_.Protocol -eq "Federation Metadata"}).FullUrl.ToString()

      En conséquence, votre lien doit ressembler à ceci:

      https://myportal-address.com/FederationMetadata/2007-06/FederationMetadata.xml
    4. Pour vérifier que l'installation de AD FS s'est déroulée correctement, ouvrez le lien depuis votre navigateur. Il faut afficher ou télécharger le fichier xml.
      Comment configurer ONLYOFFICE SP et AD FS IdPComment configurer ONLYOFFICE SP et AD FS IdP

      Copiez le lien dans le fichier de métadonnées xml car vous en aurez besoin lors de l'étape suivante. Assurez-vous que vous êtes connecté à votre compte ONLYOFFICE DocSpace en tant qu'administrateur. Accédez à Paramètres -> Intégration -> Authentification unique.

Configurer le fournisseur de service ONLYOFFICE

  1. Comment configurer ONLYOFFICE SP et AD FS IdPComment configurer ONLYOFFICE SP et AD FS IdP
    Activez l'option Activer l'authentification unique et collez le lien que vous avez copié depuis AD FS dans le champ URL vers le fichier XML de métadonnées fournisseur d'identité.
    Comment configurer ONLYOFFICE SP et AD FS IdPComment configurer ONLYOFFICE SP et AD FS IdP
  2. Appuyez sur le bouton flèche vers le haut pour télécharger des métadonnées fournisseur d'identité. Le formulaire Paramètres du fournisseur de service ONLYOFFICE sera rempli automatiquement avec les données depuis AD FS de fournisseur d'identité.
    Comment configurer ONLYOFFICE SP et AD FS IdPComment configurer ONLYOFFICE SP et AD FS IdP
  3. Dans le sélecteur NameID Format, choisissez la valeur suivante: urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress.
    Comment configurer ONLYOFFICE SP et AD FS IdPComment configurer ONLYOFFICE SP et AD FS IdP
  4. Dans la section Certificats publics du fournisseur d'identités \ Paramètres avancé, désactivez l'option Vérifier la signature des réponses d'authentification car elle n'est pas nécessaire à AD FS par défaut.
    Comment configurer ONLYOFFICE SP et AD FS IdPComment configurer ONLYOFFICE SP et AD FS IdP
  5. Maintenant, il faut ajouter les certificats à Certificats du fournisseur de service. Vous pouvez générer des certificats auto-signés ou ajouter d'autres certificats.
    Importantdans la fenêtre Nouveau certificat, sélectionnez signature et chiffrement dans Utiliser pour car le fournisseur d'identité AD FS est réglé à vérifier des signatures numériques et à chiffrer des données.
    Comment configurer ONLYOFFICE SP et AD FS IdPComment configurer ONLYOFFICE SP et AD FS IdP
  6. Dans la section Certificats du fournisseur de service \ Paramètres avancés, désactivez l'option Vérifier la signature des réponses d'authentification car elle n'est pas nécessaire à AD FS par défaut.
    Comment configurer ONLYOFFICE SP et AD FS IdPComment configurer ONLYOFFICE SP et AD FS IdP
  7. Il n'est pas nécessaire d'ajuster le formulaire Mappage d'attributs parce que nous allons configurer ces paramètres dans le fournisseur d'identité AD FS plus tard.
  8. Cliquez sur le bouton Save (Enregistrer).
  9. La section Les métadonnées du fournisseur de service ONLYOFFICE s'affichera.
    Comment configurer ONLYOFFICE SP et AD FS IdPComment configurer ONLYOFFICE SP et AD FS IdP
  10. Vérifiez si les paramètres sont accessibles au public en cliquant sur le bouton Télécharger le fichier XML des métadonnées du fournisseur de services. Le contenu du fichier XML doit s'afficher.
    Comment configurer ONLYOFFICE SP et AD FS IdPComment configurer ONLYOFFICE SP et AD FS IdP
  11. Copiez le lien vers les métadonnées du fournisseur de services ONLYOFFICE depuis le champ ID d'entité du fournisseur de service (lien vers le fichier XML des métadonnées) où AD FS est installé.
    Comment configurer ONLYOFFICE SP et AD FS IdPComment configurer ONLYOFFICE SP et AD FS IdP

Configurer le fournisseur d'identité AD FS

  1. Dans Server Manager, (Gestionnaire de serveur) accédez à Tools -> AD FS Management (Outils -> Gestion AD FS),
    Comment configurer ONLYOFFICE SP et AD FS IdPComment configurer ONLYOFFICE SP et AD FS IdP
  2. Sur le panneau AD FS Management (Outils -> Gestion AD FS), sélectionnez Trust Relationships > Relying Party Trusts (Relation d'approbation > Approbation de partie de confiance). Cliquez sur l'option Add Relying Party Trust (Ajouter une approbation de partie de confiance) à droite. L'assistant Add Relying Party Trust (Ajouter une approbation de partie de confiance) s'affichera,
    Comment configurer ONLYOFFICE SP et AD FS IdPComment configurer ONLYOFFICE SP et AD FS IdP
  3. Dans la fenêtre de l'assistant, activez le bouton radio Import data about the relying party published online or on a local network (Importer les données, publiées en ligne ou sur un réseau local, concernant la partie de confiance), collez le lien copié dans le champ Federation metadata address (host name or URL) (Adresse de métadonnées de fédération (nom d'hôte ou URL)) des métadonnées du fournisseur de service ONLYOFFICEbet cliquez sur le bouton Next (Suivant),
    Comment configurer ONLYOFFICE SP et AD FS IdPComment configurer ONLYOFFICE SP et AD FS IdP
  4. Dans le champ Display name (Nom d'affichage), indiquez le nom et cliquez sur le bouton Next (Suivant),
    Comment configurer ONLYOFFICE SP et AD FS IdPComment configurer ONLYOFFICE SP et AD FS IdP
  5. Sélectionnez l'application Consumer (Consommateur) et cliquez sur le bouton Next (Suivant);
    Comment configurer ONLYOFFICE SP et AD FS IdPComment configurer ONLYOFFICE SP et AD FS IdP
  6. Vérifiez la configuration résultante et cliquez sur le bouton Next (Suivant),
    Comment configurer ONLYOFFICE SP et AD FS IdPComment configurer ONLYOFFICE SP et AD FS IdP
  7. Laissez l'option par défaut active et cliquez sur le bouton Close (Fermer),
    Comment configurer ONLYOFFICE SP et AD FS IdPComment configurer ONLYOFFICE SP et AD FS IdP
  8. Une nouvelle fenêtre s'affiche. Sous l'onglet Edit Claim Issuance Policy (Modifier la stratégie d'émission de revendications), cliquez sur le bouton Add Rule... (Ajouter une règle),
    Comment configurer ONLYOFFICE SP et AD FS IdPComment configurer ONLYOFFICE SP et AD FS IdP
  9. Sélectionnez l'option Send LDAP Attributes as Claims (Envoyer des attributs LDAP en tant que revendications) dans la liste Claim rule template (Modèle de règle de revendication) et cliquez sur le bouton Next (Suivant),
    Comment configurer ONLYOFFICE SP et AD FS IdPComment configurer ONLYOFFICE SP et AD FS IdP
  10. Saisissez un nom dans le champ Claim rule name (Nom de la règle de revendication). Sélectionnez l'option Active Directory dans la liste Attribute store (Nom de la règle de revendication) et remplissez le formulaire Mapping of LDAP attributes to outgoing claim types (Mappage d'attributs LDAP à des types de revendications sortantes) selon le tableau ci-après. Une fois terminé, cliquez sur Finish (Terminer).
    Attribut LDAP (sélectionnez ou saisissez pour ajouter plus d'options)Revendication sortante (sélectionnez ou saisissez pour ajouter plus d'options)
    Given-NamegivenName
    Surnamesn
    E-Mail-Addressesmail
    Comment configurer ONLYOFFICE SP et AD FS IdPComment configurer ONLYOFFICE SP et AD FS IdP
  11. Dans la fenêtre Edit Claim Rules (Modifier les règles de revendication), cliquez sur le bouton Add Rule (Ajouter une règle) encore une fois, sélectionnez l'option Transform an Incoming Claim (Transformer une revendication entrante) dans la liste Claim rule template (Modèle de règle de revendication) et cliquez sur le bouton Next (Suivant),
    Comment configurer ONLYOFFICE SP et AD FS IdPComment configurer ONLYOFFICE SP et AD FS IdP
  12. Saisissez un nom dans le champ Claim rule name (Nom de la règle de revendication) et sélectionnez les options suivantes:
    • Incoming claim type (Type de revendication entrante): mail,
    • Outgoing claim type (Type de revendication sortante): Name ID,
    • Outgoing name ID format (Format d'ID de nom sortant): Email
    Comment configurer ONLYOFFICE SP et AD FS IdPComment configurer ONLYOFFICE SP et AD FS IdP

    Une fois que vous avez terminé, cliquez sur Finish (Terminer).

  13. Si la déconnexion AD FS ne fonctionne pas, il est donc recommandé d'ajouter une règle de revendication personnalisée (Custom Claim Rule) et remplacer {portal-domain} par votre domaine fournisseur de service et changer {ad-fs-domain} à votre domaine fournisseur d'identité:
    c:[Type == "mail"]
     => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://{ad-fs-domain}/adfs/services/trust", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "https://{portal-domain}/sso/metadata");
    Comment configurer ONLYOFFICE SP et AD FS IdPComment configurer ONLYOFFICE SP et AD FS IdP
  14. Cliquez sur OK,
  15. Ouvrez les propriétés de la partie utilisatrice que vous venez de créer et passez à l'onglet Advanced (Avancé),

    Sélectionnez l'option SHA-1 dans la liste Secure hash algorithm (Algorithme de hachage sécurisé).

    Comment configurer ONLYOFFICE SP et AD FS IdPComment configurer ONLYOFFICE SP et AD FS IdP

Hébergez ONLYOFFICE DocSpace sur votre serveur ou utilisez dans le cloud

Articles avec le tag :
Parcourir tous les tags