Création du connecteur SSO (interconnexion ADFS)

Préambule

L'interconnexion de l'application LockSelf à une fédération d'identité se fait via le protocole SAMLv2. Il est donc possible d'interconnecter l'application avec votre compte entreprise ADFS. 

Avant d'établir cette interconnexion, il faudra vérifier que l'IDP peut négocier des requêtes HTTPS en TLS 1.2 minimum pour configurer le connecteur de façon automatique. Les versions inférieures à TLS 1.2 ou les versions SSL sont désactivées sur le serveur web LockSelf pour raison de sécurité.

Si la configuration de votre IDP ne le permet pas, il faudra mettre en place une configuration manuelle.

Attention, suivant les versions de Windows Server utilisées, les screenshots et les options proposés pourraient légèrement varier.

 

Étape 1 : Déposer sur LockSelf les metadatas de l'IDP

Cette première étape consiste à récupérer le fichier de metadata issus de votre IDP. Généralement, le fichier XML de metadata peut être récupéré via l'URL suivante :

https://FQDN/FederationMetadata/2007-06/FederationMetadata.xml

(où FQDN remplace le nom de domaine de votre IDP)

Une fois le fichier récupéré, vous devrez l'envoyer à votre Gestionnaire de Comptes dédié.

 

Étape 2 : Récupérer les metadatas de l'application

Une fois votre fichier XML de metadata issus de votre IDP déposé sur LockSelf, vous pourrez récupérer les metadatas de l'application qui vous serviront à créer le connecteur à l'URL suivante : 

https://FQDN/saml2/metadata

(où FQDN remplace le nom de domaine de votre installation LockSelf)

 

Étape 3 : Créer le connecteur sur l'IDP

Afin de réaliser les opérations, il faudra vous connecter sur votre serveur Windows et vous rendre dans le module ADFS.

  • Etape 1 : Une fois sur le module, cliquez sur « Add Relying Party Trust »

Screenshot_2022-02-08_at_10.46.33_AM.png

  • Etape 2 : Puis cliquez sur « Start », afin de démarrer la configuration

Screenshot_2022-02-08_at_10.48.21_AM.png

Comme indiqué dans le préambule, deux possibilités s'offrent à vous pour la configuration du connecteur.

Si votre ADFS permet des connexions en TLS1.2 minimum, vous aurez la possibilité de choisir la première option, qui permet de charger la configuration depuis une URL. Dans ce cas, sélectionnez la première checkbox, et entrez l'URL de metadata de l'application LockSelf :

Screenshot_2022-02-08_at_10.51.23_AM.png

Si vous avez une erreur à cette étape, vous avez deux solutions : 

Pour ce faire, vous devrez récupérer le fichier XML de l'application (disponible en allant directement sur l'URL de l'étape 2) et mettre ce fichier sur le serveur ADFS. Une fois fait, vous pourrez cliquez sur « Browse », et chercher votre fichier.

Une fois cela fait, cliquez sur « Next ».

  • Etape 3 : Choisir un nom pour le connecteur. Ce nom est indicatif, vous pouvez choisir celui que vous souhaitez. Vous pouvez également ajouter une note relative au connecteur.

Screenshot_2022-02-08_at_10.57.13_AM.png

  • Etape 4 : Choisissez vos politiques de connexion. Nous préconisons de ne pas configurer de MFA à cette étape, afin de pouvoir faire les premiers tests sans restriction. Une fois les tests réalisés et validés, vous pourrez revenir sur ce connecteur, et changer ce point de configuration.

Screenshot_2022-02-08_at_10.58.31_AM.png

  • Etape 5 : Choisissez maintenant la politique d'accès à ce connecteur par utilisateur. Pour les tests de connexion, nous préconisons de permettre à tous les utilisateurs de pouvoir se connecter. Vous pourrez faire une restriction par la suite, une fois l'installation vérifiée et validée.

Screenshot_2022-02-08_at_12.19.57_PM.png

  • Etape 6 : Une fois que vous aurez cliqué sur « Next », vous aller vérifier plusieurs onglets du récapitulatif final.
    • Dans l'onglet Identifiers, vérifiez que l'URL des metadatas de l'application est présente : 

Screenshot_2022-02-08_at_12.24.37_PM.png

    • Dans les onglets Encryption et Signature, vérifiez que le certificat correspond au certificat de votre installation LockSelf.

    • Dans l'onglet Endpoints, vérifiez que vous avez les deux URL comme sur le screenshot ci-dessous :

Screenshot_2022-02-08_at_12.56.59_PM.png

    • Une fois terminé, cliquer sur « Next » puis sur « Close ». Une nouvelle fenêtre apparait alors pour la création des règles de claims.


Étape 4 : Créer la première claim

La première claim permettra d'envoyer plusieurs informations concernant l'utilisateur à LockSelf. Notamment son nom, son prénom et son email afin de pouvoir l'authentifier sur l'application LockSelf.

  • Etape 1 : Cliquez sur « Add Rule »

Screenshot_2022-02-08_at_1.13.32_PM.png

  • Etape 2 : Sélectionnez dans la liste « Send LDAP Attributes as Claims » puis cliquez sur « Next »

Screenshot_2022-02-08_at_1.19.34_PM.png

  • Etape 3 :
    • Écrire dans le premier champ avec un nom de claim. Ce nom est à titre indicatif.
    • Dans le menu select « Start » , sélectionnez « Active Directory ». Puis mappez les attributs comme sur le screenshot ci-dessous : 

Screenshot_2022-02-08_at_1.29.07_PM.png

Les éléments de la première colonne sont à sélectionner dans la liste. Attention, si vous avez votre annuaire en Francais, Surname est indiqué Nom.

Les éléments de la seconde colonne sont à écrire au clavier. Ce sont les noms d'attributs qui doivent être récupérés par LockSelf. Attention à bien les respecter.

 

Étape 5 : Créer la seconde claim

La seconde claim permettra d'envoyer le name id de l'utilisateur à l'application LockSelf.

  • Etape 1 : Cliquez de nouveau sur « Add Rule » et choisissez dans le menu déroulant « Transform an Incoming Claim ».

Screenshot_2022-02-08_at_1.58.12_PM.png

  • Etape 2 : Le nom de l'attribut est encore une fois à titre indicatif.
    • Dans le premier menu déroulant Incoming Claim Type, choisissez « UPN »
    • Dans le second menu déroulant Outgoing Claim Type, choisissez « Name ID » (attention, pour les ADFS en Francais, le champ est ID de nom)
    • Enfin, dans le dernier menu déroulant Outgoing name ID format, choisissez « Transient Identifier »  (attention, pour les ADFS en Francais, le champ est Identificateur temporaire).

Screenshot_2022-02-08_at_2.00.18_PM.png

Cliquez sur « Finish ».

 

Étape 6 : Vérifier la connexion

Une fois ces 5 étapes réalisées, vous aller pouvoir tester le connecteur.

  • Etape 1 : Afin de pouvoir tester correctement, ouvrez une navigation privée et rendez-vous sur l'URL de votre infrastructure (https://FQDN/?sso). Si vous utilisez l'extension navigateur, cliquez sur la roue crantée, puis sur « Vider le cache ».

  • Etape 2 : Sur l'onglet SSO, renseignez votre email dans le champ affiché ou cliquez directement sur le bouton « Me connecter ».

  • Etape 3 : Vous allez à cette étape être redirigé sur le portail SSO ADFS de votre organisation où vous pourrez vous authentifier.

  • Etape 4 : Une fois authentifié, vous serez redirigé sur LockSelf, qui vous demandera de créer le code PIN associé à votre compte.

 

Étape 7 : Mise à jour du connecteur

Deux cas nécessitent une mise à jour du connecteur.

  • Cas 1 : Une mise à jour des certificats de signature / chiffrement de jeton est effectuée sur l'ADFS. Dans ce cas, il faudra prévenir votre account manager en amont et fournir le nouveau fichier de FederationMedata.xml afin que les équipes LockSelf puisse mettre à jour la partie applicative (cf: Étape 1).

  • Cas 2 : Une mise à jour des certificats SSL est faite sur votre installation LockSelf. Dans ce cas, vous allez devoir mettre à jour le connecteur sur le module ADFS.
    • Si vous avez créé le connecteur via l'URL : vous pouvez faire un clic droit sur le connecteur et cliquer sur "Update from Federation Metadata" :
      Screenshot_2022-03-15_at_1.24.54_PM.png
    • Si vous avez créé le connecteur via le fichier Metadata de l'application : vous devrez faire la mise à jour via Powershell.

Mise à jour