Passer au contenu principal
Adaptive Insights
Knowledge and Support - Adaptive Insights

SAML SSO MS-AD FS 2.0

Cet article fournit des instructions afin de configurer Adaptive Insights pour accepter les jetons SAML SSO à partir de votre instance Microsoft Active Directory Federation Services 2.0 (AD FS 2.0). En termes SAML votre instance AD FS est un fournisseur d’identité et Adaptive Insights est un fournisseur de services. Après avoir effectué les étapes ci-dessous, vous aurez configuré une connexion SSO initiée par le fournisseur d’identité à partir de votre instance AD FS 2.0 vers les applications Adaptive Suite.

Conditions préalables

Les conditions préalables à ces procédures sont les suivantes :

  • Une machine sur laquelle :
    • Windows Server 2008 R2 et AD FS 2.0 sont installés
    • le correctif AD FS 2.0 Rollup 2 est installé et l’utilisation du paramètre Relay­State est activée (voir The AD FS 2.0 Rollup 2 Hotfix pour plus de renseignements)
    • un domaine est inclus
  • Un compteAdaptive avec des autorisations d’administrateur
  • Un courriel de confirmation de Adaptive Insights indiquant que SAML a été configuré sur votre instance Adaptive
  • Une autorité de certification a vérifié le certificat de signature de jeton (voir ci-dessous)

Pour exporter le certificat de signature MS AD FS de jeton :

  1. Allez sur MS AD FS Console de gestion > Service > Certificats.

  2. Faites un clic-droit sur Signature par jeton dans la liste des certificats, puis cliquez sur Afficher le certificat. (voir l’image ci-dessous)

  3. Allez sur l’onglet Détails et cliquez sur Copier dans un fichier…

  4. Lorsque l’assistant d’exportation de certificat apparaît, cliquez sur Suivant.

  5. Sélectionnez DER encoded binary X.509 (.cer) et cliquez sur Suivant.

  6. Sélectionnez un répertoire et un nom pour enregistrer le fichier, puis cliquez sur Suivant.

  7. Cliquez sur Terminer.

    AD-FS_View_Certificate.png

Ce document utilise ADFS_HOST comme un espace réservé dans le texte pour se référer au site Web AD FS. Remplacez cela par l’adresse de votre site Web AD FS 2.0. Les captures d’écran montrent l’adresse du serveur de test.

Le AD FS 2.0 Rollup 2 Hotfix

Si vous n’avez pas encore installé le correctif, vous pouvez le télécharger ici :

http://support.microsoft.com/kb/2681584 

Après avoir installé le correctif, vous devez activer l’utilisation du paramètre RelayState dans l’authentification SSO initiée par le fournisseur d’identité, en procédant comme suit :

  1. Ouvrez le fichier inetpub\adfs\ls\web.config dans un éditeur.

  2. Localisez la section commençant par <microsoft.identityServer.web>

  3. Ajoutez la ligne ci-dessous à cette section.
    <useRelayStateForIdpInitiatedSignOn enabled="true" />

  4. Enregistrez le fichier.

Configuration d’Adaptive Insights en tant que partie utilisatrice

Une partie utilisatrice est une application Web ou un service Web qui repose sur des revendications, qui sont extraites de jetons émis par un STS (Security Token Service). Adaptive Insights est la partie utilisatrice et votre instance AD FS 2.0 est un STS.

  1. Accédez à la console AD FS 2.0 de gestion.

  2. Cliquez sur AD FS 2.0 et développez la section Relations d’approbation.

  3. Faites un clic-droit sur Relations d’approbation des parties utilisatrices et cliquez sur Ajouter une relation d’approbation de partie utilisatrice.

  4. Sur la page Sélectionner la source de données, sélectionnez Saisir les données sur les parties utilisatrices manuellement­, puis cliquez sur Suivant.

    AD-FS_Add_Relying_Party_Trust_Wizard_Select_Data_Source.png
  5. Spécifiez un nom approprié pour l’affichage (par exemple, AdaptiveInsights), saisissez les notes le cas échéant et cliquez sur Suivant.

  6. Sélectionnez AD FS 2.0 Profil.

  7. Passez l’étape Configurer le certificat.

  8. Configurez l’URL SSO d’Adaptive Insights (que vous obtiendrez à partir de l’écran Paramètres SAML dans Planification)

    comme illustré ci-dessous.

  9. Sur la page Configurer les identificateurs , saisissez the URL from the SAML Settings screen in Planning en tant qu’identificateur et cliquez sur Ajouter.

  10. Sur la page suivante, sélectionnez Autoriser tous les utilisateurs à accéder à cette partie utilisatrice (sélectionnez Refuser si vous souhaitez affecter cette application à des utilisateurs spécifiques ultérieurement) et cliquez sur Suivant.

  11. Sur la page Prêt à ajouter une approbation , cliquez sur Suivant.

  12. Sur la page Terminer , désactivez Ouvrir la boîte de dialogue Modifier les règles de revendications pour cette approbation de partie utilisatrice lorsque l’assistant se ferme, puis cliquez sur Fermer.

Configuration des règles de revendication

Dans cette section, vous allez créer des modèles de règles de revendications. Notez que vous pouvez choisir de modifier les règles de revendication pour satisfaire vos exigences d’authentification SAML .

Modèle de règle de revendication n° 1

Dans cette règle de revendication, la valeur Courriel d’un utilisateur sera envoyée en tant qu’attestation d’attribut dans la réponse SAML. Vous pouvez utiliser n’importe quel attribut LDAP dans le jeton SAML, à condition que cet attribut identifie de manière unique chaque utilisateur. De même, pour le Type de revendication sortante, choisissez-en un dans la liste ou tapez le nom.

  1. Faites un clic-droit sur l’entrée AdaptiveInsights de la liste Approbations des parties utilisatrices et sélectionnez Modifier les règles de revendication.

  2. Cliquez sur Ajouter une règle dans l’onglet Règles de transformation d’émission .

  3. Sélectionnez Envoyer l’attribut LDAP en tant que revendication à partir du menu déroulant de modèle Règle de revendication.

  4. Cliquez sur Suivant.

  5. Donnez à la revendication un nom comme Courriel en tant que revendication.

  6. Définissez le champ Magasin d’attributs sur Active Directory, l’attribut LDAP  sur Adresses courriels et Type de revendication sortante sur Adresse courriel.

  7. Cliquez sur Terminer.

Modèle de règle de revendication n° 2

Dans cette règle de revendication, nous enverrons l’adresse courriel configurée dans la règle de revendication n° 1 en tant que Nam­eID de l’objet.

  1. Cliquez sur Ajouter une règle.

  2. Sélectionnez Transformer une revendication entrante en tant que modèle de règle de revendication à utiliser.

  3. Donnez-lui un nom. Dans cet exemple, nous utilisons Adresse courriel pour ID de nom.

  4. Le type de revendication entrante doit être Adresse courriel (OU il doit correspondre au type de revendication sortante utilisé dans le modèle de règle de revendication n° 1).

  5. Définissez Type de revendication sortante sur ID de nom et le format ID de nom sortant  sur Courriel.

  6. Sélectionnez Passer par toutes les valeurs de revendication.

  7. Cliquez sur Terminer.

Cette règle enverra la valeur Adresse courriel d’un utilisateur en tant que NameID de l’objet avec le format urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress.

Configuration d’AD FS en tant que fournisseur d’identité dans Adaptive Insights

Dans cette section, vous allez configurer votre instance Adaptive Insights pour qu’elle accepte les jetons SAML/SSO de votre installation AD FS 2.0. Les étapes de cette section utilisent les modèles des règles de revendication décrits ci-dessus ; si vous avez créé des règles différentes, vous devrez modifier ces instructions en conséquence.

  1. Connectez-vous à votre instance Adaptive en tant qu’utilisateur disposant des autorisations d’administrateur.

  2. Allez sur Admin > Gérer les paramètres SAML SSO.

  3. Saisissez les paramètres suivants :

    1. Nom du fournisseur d’identité : Saisissez votre nom de serveur AD FS 2.0 ici.

    2. ID de l’entité du fournisseur d’identité : Saisissez la valeur trouvée dans la console de gestion FS Server's AD FS 2.0.
      Pour la trouver, faites un clic-droit sur Service, cliquez sur Modifier les propriétés des services de fédération et copier la valeur du champ Identificateur du service de fédération.

    3. URL de connexion unique du fournisseur d’identité : Saisissez l’URL similaire à (il s’agit de l’URL de MS AD FS pour vous connecter directement à Adaptive Insights) : https://ADFS_HOST/adfs/ls

    4. URL de déconnexion personnalisée : Facultatif. Saisissez une URL à charger lorsque l’utilisateur clique sur Déconnexion dans Adaptive suite.
      Si aucune URL n’est spécifiée, la page de connexion Adaptive Insights sera utilisée.

    5. Certificat de fournisseur d’identité : Sélectionnez le fichier de certificat inclus dans Conditions préalables.

    6.  Type d’ID utilisateur SAML : Sélectionnez l’ID de fédération de l’utilisateur.
      Si vous configurez votre règle de revendication pour utiliser l’adresse courriel de l’utilisateur et que cette adresse est identique à celle du profil de l’utilisateur, vous pouvez sélectionner le nom d’utilisateur Adaptive Insights pour l’ID utilisateur SAML.

    7. Emplacement de l’ID utilisateur SAML : Si vous avez uniquement configuré le modèle de règle de revendication n° 1 dans les règles de revendications de la partie utilisatrice, sélectionnez ID utilisateur dans l’attribut.
      Si vous avez configuré le modèle de règle de revendication n° 2, sélectionnez ID utilisateur pour NameID de l’ob­jet.

    8. Attribut SAML et format de NameID SAML : Vous devez seulement saisir l’un de ceux-ci. Si vous avez seulement configuré le modèle de règle de revendication n° 1, remplissez le champ SAML attributeavec le type de revendication sortante du modèle de règle de revendication n° 1 et laissez le champ de format  de NameID SAML vide.
      Si vous avez configuré les deux modèles de règle de revendication, vous pouvez ignorer le champ Attribut SAML et remplissez le champ NameID SAML  avec le format d’ID de nom sortant du modèle de règle de revendication n° 2 (courriel).

    9. Activer SAML : Sélectionnez Non activé (c’est la valeur par défaut). Après avoir testé la configuration, revenez à cet écran et activez SAML pour les autres utilisateurs.

  4. Cliquez sur Enregistrer.
    La page Vue d’ensemble de l’administrateur Adaptive va s’afficher.

  5. Revenez à la page Gérer les paramètres SSO SAML pour vérifier que les paramètres ont bien été enregistrés. Plus précisément, vérifiez l’émetteur et la validité du certificat du fournisseur d’identité.

  6. Recherchez URL SSO d’Adaptive Insights au bas de la page et copiez la valeur entière de la chaîne. Enregistrez cette valeur car vous en aurez besoin dans la section suivante.

Fin de la configuration de la partie utilisatrice AD FS

Dans cette section, nous allons terminer l’installation de la partie utilisatrice AD FS, qui a été démarrée lors de la Configuration d’Adaptive Insights en tant que partie utilisatrice.

  1. Revenez à votre console d’administration AD FS 2.0.

  2. Faites un clic-droit sur AdaptiveInsights dans la liste Approbations des parties utilisatrices et sélectionnez Propriétés.

  3. Cliquez sur l’onglet Points d’extrémités et cliquez sur Ajouter.

  4. Définissez Type de point d’extrémités sur SAML Assertion Consumer.

  5. Définissez Binding sur POST.

  6. Collez la valeur de l’URL SSO d’Adaptive Insights, que vous avez copiée à l’étape 6 de Configuration de MS AD FS en tant que fournisseur d’identité dans Adaptive Insights, dans le champ URL.

  7. Cliquez sur OK puis sur Appliquer dans la boîte de dialogue des propriétés.

Test de l’installation

Dans cette section, nous allons tester la connexion SAML/SSO depuis AD FS 2.0 vers Adaptive.

  1. Sélectionnez un utilisateur dans AD FS et dans Adaptive Insights. L’utilisateur du côté Adaptive Insights doit disposer d’une autorisation d’administrateur SAML.

  2. Saisissez l’adresse courriel (ou l’attribut LDAP sélectionné dans la règle de revendication n° 1) dans AD FS pour cet utilisateur.

  3. Dans Adaptive Insights, saisissez l’adresse courriel (éventuellement la même valeur) dans le champ ID de fédération SAML de l’utilisateur sur la page Administration > Utilisateurs , puis cliquez sur Envoyer.

  4. Consignez cet utilisateur AD FS dans un ordinateur qui fait partie du domaine Active Directory.

  5. Dans un navigateur de cet ordinateur, rendez-vous sur https://login.adaptiveinsights.com/app

  6. Si tout est configuré correctement, vous serez redirigé vers la page d’accueil Adaptive Insights. Saisissez le nom d’utilisateur, mais laissez le champ du mot de passe vide sur la page de connexion Adaptive. Cliquez sur Envoyer.

Si votre configuration est réussie, vous pouvez activer le SSO SAML pour vos utilisateurs. Voir Activation du SSO SAML pour tous les utilisateurs dans Adaptive.

Connexion à Excel Interface for Planning et Adaptive Office Connect à l’aide de SAML SSO

Une fois que SAML SSO a été correctement configuré et testé, les utilisateurs d’Excel Interface for Planning (interface de planification Excel) et d’Adaptive Office Connect doivent simplement indiquer leurs noms d’utilisateur sur le formulaire de connexion. Laisser le champ Mot de passe vide.

Excel Interface for Planning or Adaptive Office Connect - Logging in with SAML SSO enabled

 

  • Cet article vous a été utile ?