Configurer ADFS comme fournisseur d’identité SAML

Créez une connexion SAML personnalisée avec Active Directory Federation Services (ADFS) de Microsoft pour bénéficier d’une plus grande souplesse dans la configuration de vos mappages. Pour créer la connexion personnalisée, vous devrez :

1. Configurer ADFS.

2. Créer une connexion SAML dans laquelle Auth0 joue le rôle de fournisseur de services.

3. Modifier l’approbation de partie de confiance dans ADFS.

4. Activer et tester l’intégration.

Pour savoir comment ajouter une approbation de partie de confiance, consultez Créer une approbation de partie de confiance à l’URL https://docs.microsoft.com.

Suivez les étapes de Créer une partie utilisatrice de confiance informée des demandes à l’aide de métadonnées de fédération (MSDN). Pour la Adresse des métadonnées de la fédération de l’étape 4, l’URL saisie doit être dans l’un des formats suivants :

É.-U. : https://{yourTenantName}.auth0.com/samlp/metadata?connection={connectionName}

UE : https://{yourTenantName}.eu.auth0.com/samlp/metadata?connection={connectionName}

AU : https://{yourTenantName}.au.auth0.com/samlp/metadata?connection={connectionName}

JP : https://{yourTenantName}.jp.auth0.com/samlp/metadata?connection=CONNECTION_NAME

Domaine personnalisé : https://{yourTenantName}/samlp/metadata?connection={connectionName}

Passez à la section suivante une fois la création de l’approbation de la partie de confiance terminée.

1. Lancez votre instance d’ADFS et démarrez l’assistant Ajouter une approbation de partie de confiance.

2. Sur la page de Bienvenue, sélectionnez Informé des demandes et cliquez sur Démarrer.

3. Sur la page Sélectionner la source de données, sélectionnez Saisir manuellement les données relatives à la partie de confiance et cliquez sur Suivant.

4. Sur la page Préciser le nom d’affichage, donnez un nom descriptif à votre partie de confiance (le format type est le suivant urn:auth0:{yourTenant}:{yourConnectionName}) et une brève description sous Remarques. Assurez-vous de remplacer {yourConnectionName} avec un nom unique que vous utiliserez également pour créer une connexion dans Auth0 dans une étape ultérieure. Vous pouvez toujours modifier le nom de la connexion ultérieurement si vous n’êtes pas sûr du nom de la connexion à ce stade. Cliquez sur Suivant.

5. Sur la page Configurer le certificat, cliquez sur Suivant. (Nous reviendrons plus tard sur la configuration du certificat).

6. Sur la page Configurer l’URL, cochez la case pour Activer la prise en charge du protocole SAML 2.0 WebSSO. L’assistant demande ensuite l’URL du Service SSO SAML 2.0 de la partie de confiance. Pour l’instant, fournissez une URL fictive; nous reviendrons à cette étape ultérieurement. Cliquez sur Suivant.

7. Sur la page Configurer les identifiants, indiquez que l’Identifiant de la partie de confiance est urn:auth0:{yourTenant}:{yourConnectionName} (ou la valeur que vous avez utilisée comme nom d’affichage lorsque vous avez commencé à utiliser l’assistant). Cliquez sur Suivant.

8. Sur la page Choisir la politique de contrôle d’accès, sélectionnez Autoriser tous et cliquez sur Suivant.

9. Passez en revue les paramètres que vous avez définis sur la page Prêt à ajouter une partie de confiance et cliquez sur Suivant pour enregistrer vos informations. Si vous avez réussi, vous verrez un message l’indiquant sur la page Terminer.

10. Assurez-vous que la case Configurer la politique d’émission des demandes pour cette application est sélectionnée, et cliquez sur Fermer.

Après avoir fermé l’assistant Ajouter une partie de confiance, la fenêtre Modifier la politique d’émission des demandes s’affiche.

1. Cliquez sur Ajouter une règle… pour démarrer l’assistant.

2. Sélectionnez Envoi d’attributs LDAP en tant que demandes pour votre Modèle de règle de demande d’indemnisation, et cliquez sur Suivant.

3. Indiquez une valeur pour le Nom de la règle de demande, par exemple « Attributs LDAP » (vous pouvez choisir n’importe quelle valeur).

4. Choisissez Active Directory en tant que Magasin d’attribut.

5. Mappez vos attributs LDAP aux types de demandes sortantes suivants :

   LDAP Attribut	Demande sortante
   Adresses courriel	Adresse courriel
   Display-Name	Nom
   User-Principal-Name	ID du nom
   Given-Name	Prénom
   Nom de famille	Nom de famille

   La demande sortante Identifiant du nom doit toujours être présente pour garantir le bon traitement de la session. Nous vous recommandons vivement d’ajouter toutes les mentions énumérées ci-dessus, en particulier l’Adresse courriel, car ce sont celles qui sont le plus souvent utilisées. Vous pouvez ajouter des mappages de demandes supplémentaires si nécessaire.

6. Cliquez sur Terminer.

7. Dans la fenêtre Modifier la politique d’émission des demandes, cliquez sur Appliquer. Vous pouvez maintenant quitter cette fenêtre.

Enfin, vous devrez exporter le certificat de signature depuis la console ADFS pour le téléverser dans Auth0.

1. Dans le volet de navigation de gauche, rendez-vous à ADFS > Service > Certificats. Sélectionnez le certificat Signature de jetons, et cliquez avec le bouton droit de la souris pour sélectionner Afficher le certificat.

2. Sur l’onglet Détail, cliquez sur Copier dans le fichier…. Le Assistant d’exportation de certificats est alors lancé. Cliquez sur Suivant.

3. Choisissez le format Base-64 encoded X.509 (.CER) comme format à utiliser. Cliquez sur Suivant.

4. Indiquez l’emplacement où vous souhaitez que le certificat soit exporté. Cliquez sur Suivant.

5. Vérifiez que les réglages de votre certificat sont corrects et cliquez sur Terminer.

1. Suivez le tutoriel sur la création d’une connexion SAML où Auth0 joue le rôle de fournisseur de services. Lorsque vous y êtes invité, téléversez le certificat de signature que vous avez exporté depuis ADFS.

   Les URL de connexion et de déconnexion se présentent généralement sous la forme de https://your.adfs.server/adfs/ls.

2. Cliquez sur Enregistrer. Une page contenant des directives pour la création d’une nouvelle partie de confiance dans ADFS s’affiche avec les valeurs exactes requises pour votre compte/connexion Auth0. Notez ces valeurs. Voici un exemple :

   Paramètre	Valeur exemple
   URL de renvoi
   	https://{yourDomain}/login/callback?connection=YOUR_CONNECTION_NAME si vous n’utilisez pas de domaines personnalisés
   Identifiant entité	urn:auth0:{yourTenant}:YOUR_CONNECTION_NAME

1. Dans la console ADFS, rendez-vous dans la section Approbations de partie de confiance en utilisant le volet de navigation de gauche. Sélectionnez la partie de confiance que vous avez créée précédemment et cliquez sur Propriétés (situé dans le volet de navigation de droite).

2. Sélectionnez l’onglet Identifiants, et remplissez le Identifiant de la partie de confiance avec la valeur de l’ID de l’entité de l’écran précédent. Assurez-vous de cliquer sur Ajouter pour ajouter l’identifiant à votre liste.

3. Sélectionnez l’onglet Points de terminaison, et sélectionnez l’URL fictive que vous avez fournie précédemment. Cliquez sur Modifier….

4. Renseignez l’URL de confiance avec la valeur de l’URL de renvoi.

5. Cliquez sur OK. Enfin, cliquez sur Appliquer et quittez la fenêtre Propriétés.

Il est possible de signer les requêtes SAML adressées au serveur ADFS.

1. Rendez-vous à la page Réglages pour votre fournisseur d’identité SAML-P dans Auth0 Dashboard.

2. Activez Requêtes de signature.

3. Juste en dessous de la bascule Requêtes de signature se trouve un lien permettant de télécharger votre certificat.

4. Retournez dans ADFS et chargez le certificat téléchargé en utilisant l’onglet Signatures de la boîte de dialogue Propriétés de la partie de confiance.

Avant de tester votre intégration, assurez-vous d’avoir effectué les étapes suivantes :

• Créé un utilisateur sur le fournisseur d’identité que vous pouvez utiliser pour tester votre nouvelle connexion.

• Activé votre connexion pour au moins une application.

1. Allez à Authentification > Entreprise > SAML.

2. Sélectionnez la connexion que vous souhaitez tester et cliquez sur les ellipses (...) puis sur Essayer. L’écran de connexion Microsoft s’affichera. Connectez-vous et cliquez sur Suivant.

• Dépanner des configurations SAML