ADFS - Authentification unique

Ce document fournit des instructions sur la façon de configurer Workvivo pour s'authentifier via Single Sign On (SSO) en utilisant Microsoft Active Directory Federation Services (ADFS) comme solution de fournisseur d'identité (IdP) dans une configuration SSO SAML2. Les informations contenues dans ce document ne sont données qu'à titre indicatif. Il peut y avoir des différences importantes dans une configuration ADFS donnée qui nécessitent l'adoption d'une approche différente.

Ces directives ont été rédigées sur la base de la configuration d'un environnement ADFS 3.0 fonctionnant sous Windows Server 2012 R2. Les étapes peuvent être différentes sur les autres versions d'ADFS ou de Windows Server.

La première étape pour configurer Workvivo dans ADFS est de l'ajouter en tant que partie de confiance.

Dans l'outil de gestion ADFS, accédez à " Trust Relationships → Reying Party Trusts ", dans le panneau de navigation de gauche.

Ensuite, clique sur " Add Relying Party Trust... " dans le volet Actions situé à droite de la fenêtre. Cela lancera le " Add Relying Party Trust Wizard ".

Cliquez sur le bouton " Start " pour commencer. Sur l'écran " Select Data Source ", vérifie que l'option " Importer les données relatives à la partie utilisatrice publiées en ligne ou sur un réseau local " est sélectionnée, et saisis l'URL suivante dans le champ " Adresse de métadonnées fédérée (nom d'hôte ou URL) " :

https://[companyname].workvivo. [com] [.us] [.me] /saml/metadata

Remarque : le format de l'adresse ci-dessus peut être différent si ton organisation a configuré un nom de domaine personnalisé pour Workvivo. Si tu ne connais pas ton nom de domaine Workvivo, contacte notre équipe d'assistance via le bouton « Soumettre une demande » pour obtenir de l'aide.

Appuie sur le bouton " Next " pour continuer.

Sur l'écran suivant, n'hésite pas à personnaliser le nom d'affichage et à ajouter les notes pertinentes si tu le souhaites.
Sinon, clique sur " Next " pour passer à autre chose.

Pour le " Configurer l'authentification multifactorielle maintenant ? Étape ", laisse cette option par défaut "Je ne veux pas configurer les paramètres d'authentification multifactorielle pour le moment ", et appuie sur "Suivant ".

Sur le paramètre " Choose Issue Authorization Rules ", laisse-le par défaut " Autoriser tous les utilisateurs à accéder à cette partie utilisatrice " et clique sur " Next ".

Sur l'écran " Ready to Add Trust ", n'hésite pas à revoir les paramètres. Quand tu seras prête à continuer, appuie sur " Next ".

Sur l'écran final de " Finish ", tu verras l'option " Ouvre la boîte de dialogue Modifier les règles de réclamation pour cette partiede confiance lorsque le magicien ferme ". Vérifie que c'est coché et appuie sur le bouton " Fermer ".

Nous aborderons le processus de configuration des règles de réclamation dans la section suivante.

Dans cette section, nous aborderons la configuration des règles de réclamation ADFS, qui définissent les attributs Active Directory envoyés par ADFS à Workvivo dans une réponse SAML2. C'est important, car nous l'utilisons pour identifier l'utilisateur dans la base de données Workvivo.

À la fin de la section précédente, après avoir cliqué sur le bouton " Fermer ", une fenêtre " Edit Claim Rules " aurait dû s'ouvrir.

Cliquez sur le bouton " Ajouter une règle " pour lancer l'assistant " Add Transform Claim Rule Wizard ". Sur le premier écran, laisse l'option par défaut " Envoyer les attributs LDAP en tant que réclamations " sélectionnée et clique sur " Suivant ".

Sur l'écran " Configure Claim Rule ", donne un nom à la règle (par ex. E-mail LDAP " ("). Sélectionnez " Active Directory " dans la liste déroulante " Attribute Store ".

Nous allons créer un mappage unique. Dans la colonne de gauche (" LDAP Attribute "), sélectionnez " E-Mail-Addresses ", et dans la colonne de droite (" Type de réclamation sortante "), sélectionnez " Adresse e-mail ". Cliquez sur " Finish " pour créer la règle.

Ensuite, nous allons créer une deuxième règle. Cliquez à nouveau sur " Ajouter la règle ".

Cette fois, sélectionne " Transform an Incoming Claim " selon le modèle " de règle de réclamation ".

Donne un nom à la règle (par ex. " Email Transform "), et sélectionne les options suivantes :

À ce stade, tu as terminé la configuration de l'ADFS et tu es prête à recueillir des informations auprès de l'ADFS à envoyer à Workvivo pour la configuration finale.

Afin de configurer votre IdP ADFS dans Workvivo, nous devons rassembler les informations suivantes pour votre installation ADFS :

Pour les trois premières options, elles sont généralement les mêmes sur la plupart des installations ADFS. Tu peux vérifier les points de terminaison des métadonnées et de l'authentification unique dans l'outil de gestion ADFS de ton serveur.

Dans le volet de navigation de gauche, sélectionne " ADFS → Service → Endpoints ".

Tu trouveras le point de terminaison Single Sign On dans la section " Token Issuance ". Il sera de type " SAML 2.0/WS-Federation " et sera généralement " /adfs/ls/ ".

Le point de terminaison des métadonnées se trouve dans la section " Metadata ". Il est de type "Federation Metadata " et possède généralement la valeur " /FederationMetadata/2007-06/FederationMetadata.xml ".

Le terminal de déconnexion unique n'apparaît pas toujours sur cet écran, mais il se présente généralement sous la forme " /adfs/ls/ ? wa=signout1.0 ".

Lorsque vous capturez ces points de terminaison à des fins de configuration, assurez-vous d'ajouter le nom de domaine complet au point de terminaison. Voici des exemples de ce à quoi peuvent ressembler ces points de terminaison :

Le dernier élément dont nous avons besoin pour configurer le SSO est un certificat X.509 codé en Base64 pour ta configuration ADFS.

Sur ton serveur ADFS, ouvre l'outil de gestion ADFS. Dans le volet de navigation de gauche, accédez à " ADFS → Service → Certificates ".

Dans le corps principal, tu devrais voir un certain nombre de certificats. Trouve le certificat sous le titre " Token-signing " et clique dessus avec le bouton droit de la souris, en sélectionnant " Afficher le certificat " dans le menu déroulant.

Sélectionne l'onglet " Details " dans la fenêtre qui s'ouvre, puis clique sur le bouton " Copier dans le fichier ".

Cela ouvrira l'assistant d'exportation de certificats " ". Sur le premier écran, clique sur " Next " pour commencer.

Dans le format de fichier d'exportation, vérifie que X.509 (.CER) " encodé " en Base-64 est sélectionné et appuie sur "Next ".

Remarque : certaines versions d'ADFS peuvent te demander si tu souhaites exporter une clé privée. Si tu vois cette clé, sélectionne " Non, ne pas exporter la clé privée ".

Sur l'écran " File to Export ", sélectionne l'emplacement du fichier du certificat et donne-lui un nom (par ex. workvivo-adfs.cer).

Sur l'écran " Completing the Certificate Export Wizard ", appuie sur " Finish " pour fermer l'assistant. Une boîte de dialogue s'affichera pour confirmer que l'exportation a été effectuée avec succès.

Trouve le fichier de certificat que tu viens d'exporter. Ouvre le fichier dans un éditeur de texte. Tu devrais voir une grande partie du texte codé en Base64 entourée d'une ligne -----BEGIN CERTIFICATE----- et -----END CERTIFICATE-----. Le contenu de ce fichier est le certificat dont nous avons besoin. Prends donc note de ces informations, ainsi que des points de terminaison susmentionnés.

Une fois ces informations collectées, veuillez terminer la configuration sur Workvivo.

3. Configuration finale dans Workvivo