Connectez votre application à ADFS

Pour connecter votre application aux Services de fédération Active Directory (ADFS) de Microsoft, vous devez fournir les informations suivantes à votre administrateur ADFS :

  • Identifiant de domaine : urn:auth0:{yourTenant}

  • Point de terminaison : https://{yourDomain}/login/callback ou https://<YOUR CUSTOM DOMAIN>/login/callback, si vous utilisez un custom domain.

Métadonnées fédérées

Le fichier Federation Metadata (métadonnées fédérées) contient des informations à propos des certificats du serveur ADFS. Si le point de terminaison Federation Metadata (métadonnées fédérées) (/FederationMetadata/2007-06/FederationMetadata.xml) est activé dans ADFS, Auth0 peut périodiquement (une fois par jour) vérifier la configuration pour y rechercher des modifications, par exemple l’ajout d’un certificat de signature pour préparer un transfert. Pour cette raison, activer le point de terminaison des métadonnées de fédération est préférable à fournir un fichier de métadonnées autonome. Si vous fournissez un fichier de métadonnées autonome, nous vous informerons par courriel lorsque les certificats seront proches de leur date d’expiration.

Vous pouvez utiliser un script pour configurer la connexion ou la configurer manuellement.

Configuration par script

Exécutez les deux commandes suivantes dans la fenêtre Windows PowerShell.

(new-object Net.WebClient -property @{Encoding = [Text.Encoding]::UTF8}).DownloadString("https://raw.github.com/auth0/adfs-auth0/master/adfs.ps1") | iex

Was this helpful?

/

AddRelyingParty "urn:auth0:{yourTenant}" "https://{yourDomain}/login/callback"

Was this helpful?

/

Pour l’intégration automatisée, ce script utilise le composant logiciel enfichable ADFS PowerShell pour créer et configurer un Partie de confiance qui émettra, pour l’utilisateur authentifié, les revendications suivantes : email, upn, prénom, et nom de famille.

Le script crée l’approbation de la partie de confiance, comme suit :

$realm = "urn:auth0:{yourTenant}";
$webAppEndpoint = "https://{yourDomain}/login/callback";
Add-PSSnapin Microsoft.Adfs.Powershell
Add-ADFSRelyingPartyTrust -Name $realm -Identifier $realm -WSFedEndpoint $webAppEndpoint
$rp = Get-ADFSRelyingPartyTrust -Name $realm

Was this helpful?

/

Le script crée aussi des règles pour émettre les attributs les plus courants, tels que le courriel, l’UPN, le prénom ou le nom de famille :

$rules = @'
@RuleName = "Store: ActiveDirectory -> Mail (ldap attribute: mail), Name (ldap attribute: displayName), Name ID (ldap attribute: userPrincipalName), GivenName (ldap attribute: givenName), Surname (ldap attribute: sn)"
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"]
=> issue(store = "Active Directory",
    types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress",
             "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name",
             "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier",
             "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname",
             "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname"), query = ";mail,displayName,userPrincipalName,givenName,sn;{0}", param = c.Value);
'@
Set-ADFSRelyingPartyTrust –TargetName $realm -IssuanceTransformRules $rules
$rSet = New-ADFSClaimRuleSet –ClaimRule '=> issue(Type = "http://schemas.microsoft.com/authorization/claims/permit", Value = "true");'
Set-ADFSRelyingPartyTrust –TargetName $realm –IssuanceAuthorizationRules $rSet.ClaimRulesString

Was this helpful?

/

Configuration manuelle 1ere partie : Ajoutez une approbation de la partie de confiance

  1. Ouvrez la console de gestion ADFS

  2. Sur le côté droit de la console, cliquez sur Ajoutez une approbation de la partie de confiance*

  3. Cliquez sur Démarrer.

  4. Sélectionnez Saisir les données concernant la partie de confiance manuellement, puis cliquez sur Suivant.

  5. Entrez un nom (tel que {yourAppName}), puis cliquez sur Suivant.

  6. Utilisez le paramètres par défaut (ADFS 2.0 profile), puis cliquez sur Suivant.

  7. Utilisez le paramètre par défaut (no encryption certificate), puis cliquez sur Suivant.

  8. Cochez Activer le support de la WS-Federation..., et saisissez cette valeur dans la zone de texte : https://{yourDomain}/login/callback,ou si vous utilisez un domaine personnalisé, utilisez https://<YOUR CUSTOM DOMAIN>/login/callback

  9. Cliquez sur Suivant.

  10. Ajoutez un identifiant d’approbation de la partie de confiance avec cette valeur : urn:auth0:{yourTenant}

  11. Cliquez sur Ajouter, et ensuite sur Suivant.

  12. Laissez le paramètre par défaut Permit all users..., puis cliquez sur Suivant.

  13. Cliquez sur Suivant, et ensuite sur Fermer.

Configuration manuelle 2e partie : Ajoutez une règle de politique d’émission de demande

  1. Si vous utilisez Windows Server 2019, la boîte de dialogue Modifier la politique d’émission de demandes s’ouvre automatiquement lorsque vous finissez avec l’assistant Ajouter une approbation de la partie de confiance. Si vous utilisez Windows 2012 ou 2016, suivez ces étapes :

    Dans Windows Server 2012 Dans Windows Server 2016
    Dans le panneau Actions sur le côté droit de la console, accédez à Approbation de la partie de confiance que vous venez de créer. En-dessous, dans l’arborescence de la console, sous ADFS, cliquez sur Modifier la politique d’émission de demandes. Dans l’arborescence de la console, sous ADFS, cliquez sur Approbation de la partie de confiance. Dans la partie droite de la console, recherchez l’Approbation de la partie de confiance que vous venez de créer. Cliquez dessus avec le bouton droit de la souris et cliquez sur Modifier la politique d’émission de demandes.

  2. Dans la fenêtre Edit Claim Issuance Policy (Modifier la politique d’émission de demandes), dans Issuance Transform Rules (Règles de transformation d’émission), cliquez sur Add Rule (Ajouter une règle)....

  3. Laissez le paramètre par défaut Envoyer les attributs LDAP en tant que demandes.

  4. Donnez à la règle un nom qui décrit ce qu’elle fait.

  5. Dans Magasin d’attributs, sélectionnez Active Directory.

  6. Sélectionnez ces mappings dans Mappages des attributs LDAP aux types de demandes sortants, puis cliquez sur Terminer.

    Attribut LDAP Types de demandes sortantes
    Adresses courriel Adresse courriel
    Display-Name Nom
    User-Principal-Name ID du nom
    Given-Name Prénom
    Surname Nom de famille

Ajoutez des attributs LDAP supplémentaires

Les mappages des étapes précédentes sont les plus couramment utilisés, mais si vous avez besoin d’attributs LDAP supplémentaires contenant des informations sur l’utilisateur, vous pouvez ajouter d’autres mappages de demandes.

  1. Si vous avez fermé la fenêtre à l’étape précédente, sélectionnez Modifier les règles de demandes dans le menu contextuel de l’approbation de la partie de confiance que vous avez créée, puis modifiez la règle.

  2. Créez une ligne supplémentaire pour chaque attribut LDAP dont vous avez besoin, en choisissant le nom de l’attribut dans la colonne de gauche et le type de demande souhaité dans la colonne de droite.

  3. Si le type de demande que vous recherchez n’existe pas, vous avez deux options :

    1. Entrez un nom qualifié de namespace pour la nouvelle demande (par exemple, http://schemas.xmlsoap.org/ws/2005/05/identity/claims/department).

    2. Enregistrez un nouveau type de demande (dans ADFS > Services > Description de demandes dans la console d’administration ADFS), et utilisez le nom de la demande dans le mapping. Auth0 utilise la partie nom du type de revendication (par exemple, department dans http://schemas.xmlsoap.org/ws/2005/05/identity/claims/department) comme nom d’attribut du profil utilisateur.

Prochaines étapes

Maintenant que vous avez une connexion fonctionnelle, l’étape suivante consiste à configurer votre application afin de l’utiliser. Vous pouvez suivre nos guides rapides étape par étape ou utiliser nos bibliothèques et notre API.