Passer au contenu principal

logoCorrectSize.png

Workday Adaptive Planning Knowledge Center

SAML SSO MS-AD FS 2.0

Explique comment configurer Adaptive Insights pour accepter des jetons SAML SSO depuis votre instance de Microsoft Active Directory Federation Services 2.0 (AD FS 2.0). Votre instance de AD FS est un fournisseur d’identité et Adaptive Insights est un fournisseur de services. Après avoir terminé ces étapes, vous aurez configuré une connexion SSO initiée par fournisseur d’identité pour se connecter à partir de votre instance AD FS 2.0 à Adaptive Insights.

Conditions préalables

  • Une machine qui :
    • A Windows Server 2008 R2 et AD FS 2.0 installés
    • A le correctif AD FS 2.0 Rollup 2 installé et le paramètre utilisation de Relay­State activé. Voir The AD FS 2.0 Rollup 2 Hotfix pour en savoir plus.
    • Est inclus dans un domaine
  • Un compte Adaptive Insights avec autorisations administratives
  • Un courriel de confirmation de Adaptive Insights indiquant que SAML a été provisionné sur votre instance Adaptive Insights
  • Un certificat de signature de jeton vérifié par une autorité de certification.

Pour exporter le certificat de signature du jeton MS AD FS :

  1. Allez à MS AD FS Console de gestion > Service > Certificats.

  2. Cliquez avec le bouton droit Signature de jeton dans la liste des certificats et cliquez sur Afficher le certificat
    AD-FS_View_Certificate.png
     

  3. Allez sur l'onglet Détails et cliquez sur Copier dans un fichier…

  4. Lorsque l’Assistant d'exportation de certificat apparaît, cliquez sur Suivant.

  5. Sélectionnez DER codé binaire X.509 (.cer), et cliquez sur Suivant.

  6. Sélectionnez un répertoire pour enregistrer le fichier et donnez-lui un nom, ensuite cliquez sur Suivant.

  7. Cliquez sur Terminer.

Ce document utilise ADFS_HOST en tant qu’espace réservé dans le texte pour se référer au site Web AD FS. Remplacez-le par votre adresse du site Web AD FS 2.0

Le AD FS 2.0 Rollup 2 Hotfix

Si vous n’avez pas encore installé le correctif, allez ici :

http://support.microsoft.com/kb/2681584 

Après avoir installé le correctif, activez l’utilisation du paramètre RelayState dans la SSO initiée par fournisseur d’identité :

  1. Ouvrez le fichier inetpub\adfs\ls\web.config dans un éditeur.

  2. Localisez la section commençant par <microsoft.identityServer.web>

  3. Ajoutez cette ligne  à cette section :
    <useRelayStateForIdpInitiatedSignOn enabled="true" />

  4. Enregistrez le fichier.

Configurer Adaptive Insights en tant que Partie utilisatrice

Une partie utilisatrice est une application Web ou un service Web qui se fie à des revendications, extraites des jetons émis par un STS (Security Token Service). Adaptive Insights est la partie utilisatrice et votre instanceAD FS 2.0  est un STS.

  1. Accédez à la console de gestionAD FS 2.0 .

  2. Cliquez sur AD FS 2.0 et développez Relations de confiance.

  3. Cliquez avec le bouton droit sur Parties utilisatrices de confiance et cliquez sur Ajouter une partie utilisatrice de confiance.

  4. Sur la page Sélectionner une source de données, sélectionnez Entrer les données de la partie utilisa­trice manuellement, et cliquez sur Suivant.

    AD-FS_Add_Relying_Party_Trust_Wizard_Select_Data_Source.png
  5. Spécifiez un nom approprié pour le nom d’affichage (par exemple, AdaptiveInsights), saisissez les notes éventuelles, ensuite cliquez sur Suivant.

  6. Sélectionnez AD FS 2.0 Profil.

  7. Ignorez l’étape Configurer le certificat.

  8. Configurer l’Adaptive Insights URL SSO que vous allez obtenir dans l’écran Paramètres SAML.

    comme illustré ci-dessous.

  9. Sur la page Configurer les identifiants , entrez the URL from the SAML Settings screen in Planning comme identifiant et cliquez sur Ajouter.

  10. Sur la page suivante, sélectionnezPermettre à tous les utilisateurs d’accéder à cette partie utilisatrice.  Sélectionnez Refuser si vous souhaitez assigner cette application à des utilisateurs spécifiques ultérieurement, ensuite cliquez sur Suivant.

  11. Sur la page Prêt à ajouter une partie de confiance , cliquez sur Suivant.

  12. Sur la page Terminer , effacez Ouvrir la boîte de dialogue Modifier les règles de réclamation pour cette partie utilisatrice quand l’assistant se ferme, et cliquez sur Fermer.

Configuration des règles de revendication

Vous allez créer des exemples de règle de revendication. Vous pouvez modifier les règles de revendication pour satisfaire vos exigences pour l’authentification SAML .

Exemple de règle de revendication n° 1

Dans cette règle de revendication, la valeur Adresse courriel d’un utilisateur sera envoyée comme une expression d’attribut dans la réponse SAML. Vous pouvez utiliser n’importe quel LDAP attribut dans le jeton SAML tant que cet attribut identifie de manière unique chaque utilisateur. De même, pour le type de revendication sortante, choisissez-en un dans la liste ou saisissez le nom.

  1. Cliquez avec le bouton droit sur l’entrée AdaptiveInsights dans la liste Parties utilisatrices de confiance et sélectionnez Modifier les règles de revendication.

  2. Cliquez sur Ajouter une règle dans l’onglet Règles de transformation d’émission .

  3. SélectionnezEnvoyer l’attribut LDAP comme Revendication dans la liste déroulante Règle de revendication.

  4. Cliquez sur Suivant.

  5. Donnez un nom à la revendication tel que Courriel comme revendication.

  6. Définissez le champ Magasin d’attributs sur Active Directory, l’ attribut LDAP  sur Adresses courriel, et le Type de revendication sortante sur Adresse courriel.

  7. Cliquez sur Terminer.

Exemple de règle de revendication n° 2

Dans cette règle de revendication, nous enverrons l’adresse courriel configurée dans la règle de revendication n° 1 commeName­ID de l’objet.

  1. Cliquez sur Ajouter une règle.

  2. Sélectionnez Transformer une revendication entrante en modèle de règle de revendication à utiliser.

  3. Donnez-lui un nom. Dans cet exemple, nous utilisons Adresse courriel à ID nom.

  4. Le type de revendication entrante doit êtreAdresse courriel (OU il doit correspondre au type de revendication sortante utilisée dans l’exemple de règle de revendication n° 1).

  5. Définissez le Type de revendication sortante sur ID nom et Format d’ID de nom sortant  sur Courriel.

  6. Sélectionnez Transférer toutes les valeurs de revendication.

  7. Cliquez sur Terminer.

Cette règle enverra la valeur Courriel d’un utilisateur comme NameID d’objet avec le format urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress.

Configuration d’AD FS en tant que fournisseur d’identité dans Adaptive Insights

Dans cette section, vous allez configurer votre instance Adaptive Insights pour accepter les jetons SAML/SSO de votre installation AD FS 2.0. Les étapes de cette section utilisent les exemples de règle de revendication décrits ci-dessus ; si vous avez créé des règles différentes, vous devrez modifier ces instructions en conséquence.

  1. Connectez-vous à votre instance Adaptive comme utilisateur avec les autorisations Administrateur utilisateur.

  2. Allez à Admin > Gérer les paramètres SAML SSO .

  3. Entrez les paramètres suivants :

    1. Nom du fournisseur d'identité: Entrez le nom de votre serveur AD FS 2.0  ici.

    2. ID d’entité du fournisseur d’identité : Saisissez la valeur trouvée sur la console de gestion FS Server's AD FS 2.0 .
      Pour trouver ce résultat, cliquez avec le bouton droit de la souris sur Service, cliquez Modifier les propriétés des services de fédération, et copiez la valeur du champ Identificateur de service de fédération.

    3. Connexion unique du fournisseur d’identitéURL : Saisissez l’URL similaire à (il s’agit de l’URL du côté MS AD FS pour se connecter directement à Adaptive Insights.) :https://ADFS_HOST/adfs/ls

    4. URL de déconnexion personnalisée: Facultatif. Saisissez une URL à charger lorsque l’utilisateur clique sur Déconnexion  de Adaptive Insights.
      Si aucune URL n'est précisée, les utilisateurs sont redirigés vers la page de connexion Adaptive Insights.

    5. Certificat de fournisseur d'identité : Sélectionnez le fichier de certificat inclus dans Conditions préalables.

    6.  Type d’ID utilisateur SAML  : Sélectionnez l’ID de fédération de l’utilisateur.
      Si vous configurez votre règle de revendication pour utiliser l’adresse courriel de l’utilisateur et que cette adresse est la même que le champ de connexion du profil de l’utilisateur, vous pouvez sélectionner Nom d’utilisateur Adaptive Insights de l’utilisateur pour ID utilisateur SAML.

    7. Emplacement d'ID utilisateur SAML : Si vous avez uniquement configuré l’exemple de règle de revendication n° 1 dans les règles de réclamation de la partie utilisatrice, sélectionnez ID utilisateur dans Attribut.
      Si vous avez configuré la règle de réclamation d’échantillon n°2, sélectionnez ID utilisateurpour NameId de l’ob­jet.

    8. Attribut SAML et Format NameID SAML : Il vous suffit de saisir l’un de ces éléments. Si vous avez uniquement configuré que l’exemple de règle de revendication n° 1, renseignez le champ Attribut SAMLavec le type de revendication sortante à partir de l’exemple de règle de revendication n° 1 et laissez le champ de format  NameID SAML vide.
      Si vous avez configuré les deux exemples de règles de revendication, vous pouvez ignorer le champ Attribut SAML et renseigner le champ NameID SAML avec le format d’ID de nom sortant de l’exemple de règle de revendication n° 2 (Courriel).

    9. Activer SAML: SélectionnezNon activé (c’est la valeur par défaut). Après avoir testé la configuration, revenez sur cet écran et activez SAML pour d’autres utilisateurs.

  4. Cliquez sur Enregistrer.
    La page Vue d’ensemble Admin Adaptive Insights se chargera.

  5. Revenez à la page Gérer les paramètres SSO SAML pour vérifier que les paramètres ont été enregistrés avec succès. En particulier, vérifiez l’émetteur et la validité du certificat du fournisseur d’identité.

  6. Recherchez Adaptive Insights URL SSO au bas de la page et copiez la valeur de la chaîne entière. Enregistrez cette valeur car vous en aurez besoin dans la section suivante.

Compléter la configuration de la partie utilisatrice AD FS

Vous terminerez la configuration de la partie utilisatrice AD FS, que vous avez commencée dans Configuration de Adaptive Insights en tant que partie utilisatrice.

  1. Revenez à votre console d’administration AD FS 2.0.

  2. Cliquez avec le bouton droit sur AdaptiveInsights dans la liste Parties utilisatrices de confiance et sélectionnez Propriétés.

  3. Cliquez sur l’onglet Points terminaux et cliquez sur Ajouter.

  4. Définissez le Type de point terminal sur SAML Assertion Consumer.

  5. Définissez Liaison sur POST.

  6. Collez la valeur de l’URL SSO Adaptive Insights que vous avez copiée dans l’étape 6 de Configuration de MS AD FS comme fournisseur d’identité dans Adaptive Insights, dans le champ URL.

  7. Cliquez sur OK et cliquez sur Appliquer dans la boîte de dialogue Propriétés.

Tester la configuration

Vous devez tester la connexion SSO SAML-  depuis MS AD FS 2.0 à Adaptive Insights.

  1. Sélectionner un utilisateur sur AD FS et  Adaptive Insights. L’Adaptive Insights utilisateur  doit avoir une autorisation administrateur SAML.

  2. Saisissez l’adresse courriel (ou l’attribut LDAP sélectionné dans la règle de revendication n° 1) dans AD FS pour cet utilisateur.

  3. Dans Adaptive Insights, saisissez l’adresse courriel (peut-être même la même valeur) dans le champID de fédération SAML pour l’utilisateur sur la page Admin > Utilisateurs , ensuite cliquez sur Envoyer.

  4. Connectez l’utilisateur AD FS à un ordinateur faisant partie du domaine Active Directory.

  5. Dans un navigateur Web sur cet ordinateur, allez à https://login.adaptiveinsights.com/app.

  6. Si tout est configuré correctement, vous serez redirigé vers la page d’accueil Adaptive Insights . Saisissez le nom d’utilisateur mais laissez le champ Mot de passe vide sur la page de connexion. Cliquez sur Envoyer.

Après avoir testé avec succès votre configuration,  activez la SSO SAML pour vos utilisateurs. Voir Activer la SSO SAML pour tous les utilisateurs dans Adaptive Insights.

Logging in to Excel Interface for Planning and Adaptive Office Connect using SAML SSO

Once SAML SSO has been successfully configured and tested, Excel Interface for Planning and Adaptive Office Connect users only need to provide their usernames in the login form. Leave the password field blank.

Excel Interface for Planning or Adaptive Office Connect - Logging in with SAML SSO enabled

 

  • Cet article vous a été utile ?