Configurer des applications WS-Fed

Vous pouvez configurer une application WS-Fed (fournisseur de services) pour qu’elle utilise Auth0 comme fournisseur d’identité. Certaines applications WS-Fed couramment utilisées sont préconfigurées dans Auth0 et disponibles via Intégrations à authentification unique. Si une application WS-Fed n’est pas listée dans l'Intégrations à authentification unique, la configuration de l’application WS-Fed est accessible en suivant les étapes ci-après.

1. Allez dans Dashboard >Applications > Applications.

2. Cliquez sur Créer une application.

3. Saisissez un nom et cliquez sur Enregistrer.

4. Accédez à l’onglet Modules complémentaires.

   L’activation des modules complémentaires SAML et WS-Fed pour un seul client n’est pas prise en charge et peut entraîner un comportement incohérent. Utilisez un client distinct pour chaque module complémentaire.

5. Faites défiler jusqu’à WS-Fed Web App (Application Web WS-Fed), et saisissez l’URL de rappel de l’application. Il s’agit de votre URL de rappel dans l’application WS-Fed à laquelle la réponse WS-Fed sera envoyée. Elle peut également être appelée ACS ou URL du Service consommateur d'assertions (ACS) dans certaines applications.

6. Saisir le Domaine. Il s’agit d’un identifiant envoyé par l’application WS-Fed et utilisé pour identifier l’application dans la réponse.

Contrairement à l’extension SAML Web App, l’extension WS-Fed Web App n’inclut pas de réglages de configuration permettant de configurer le jeton généré par Auth0. Si vous souhaitez modifier les paramètres par défaut, vous pouvez créer une règle similaire à celle-ci :

function (user, context, callback) {

  // only apply changes for the WS-Fed application
  if (context.clientName !== 'Your ws-fed application name') {
    return callback(null, user, context);
  }

  // exclude the upn claim creation (defaults to true)
  context.samlConfiguration.createUpnClaim = false;

  // exclude the identities array (defaults to true)
  context.samlConfiguration.mapIdentities = false;

  // exclude claims that were not explicitly mapped (defaults to true)
  context.samlConfiguration.passthroughClaimsWithNoMapping = false;

  // this is the default mapping. Remove or change as you like.
  // Note that the key (left side) is the attribute name (namespace-qualified)
  // and the value (right side) is the property name from the user object.
  // you can also use transient values from the user object. For example, for:
  //    user.calculated_field = <some expression>;
  // then add this mapping:
  //    'some_claim': 'calculated_field', 
  context.samlConfiguration.mappings = {
    'http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier': 'user_id',
    'http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress': 'email',
    'http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name': 'name',
    'http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname': 'given_name',
    'http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname': 'family_name',
    'http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn': 'upn',
    'http://schemas.xmlsoap.org/claims/Group': 'groups'
  };

  callback(null, user, context);
}

Pour utiliser vos applications WS-Fed avec un domaine personnalisé et avec Auth0 comme IdP, mettez à jour votre fournisseur de services avec les nouvelles métadonnées de fournisseur d’identité d’Auth0. Vous pouvez obtenir les métadonnées à partir de :

https://<YOUR CUSTOM DOMAIN>/wsfed/FederationMetadata/2007-06/FederationMetadata.xm.

Si vous avez besoin de réponses cryptées, vous devez utiliser SAML pour vous connecter à ADFS. Pour en savoir plus, lisez Configurer ADFS en tant que fournisseur d’identité SAML et Signer et crypter les requêtes SAML.

• Domaines personnalisés
• Intégrations Auth0