Passer au contenu principal

logoCorrectSize.png

Adaptive Insights French

SAML SSO MS-AD FS 2.0

Explique comment configurer Adaptive Planning pour accepter des jetons SAML SSO depuis votre instance de Microsoft Active Directory Federation Services 2.0 (AD FS 2.0). Votre instance de AD FS est un fournisseur d’identité et Adaptive Planning est un fournisseur de services. Après avoir terminé ces étapes, vous aurez configuré une connexion SSO initiée par fournisseur d’identité pour se connecter à partir de votre instance AD FS 2.0 à Adaptive Planning.

Conditions préalables

  • Une machine qui :
    • A Windows Server 2008 R2 et AD FS 2.0 installés
    • A le correctif AD FS 2.0 Rollup 2 installé et le paramètre utilisation de Relay­State activé. Voir The AD FS 2.0 Rollup 2 Hotfix  pour en savoir plus.
    • Est inclus dans un domaine
  • Un compteAdaptive Planning avec autorisations administratives
  • Un courriel de confirmation de Adaptive Planning indiquant que SAML a été provisionné sur votre instance Adaptive Planning
  • Un certificat de signature de jeton vérifié par une autorité de certification.

Pour exporter le certificat de signature du jeton MS AD FS :

  1. Allez à MS AD FS Console de gestion > Service > Certificats.

  2. Cliquez avec le bouton droit sur Signature de jeton dans la liste des certificats et cliquez sur Afficher le certificat
    AD-FS_View_Certificate.png
     

  3. Allez sur l'onglet Détails et cliquez sur Copier dans un fichier…

  4. Lorsque l’ Assistant d’exportation de certificat apparaît, cliquez sur Suivant.

  5. Sélectionnez DER codé binaire X.509 (.cer), et cliquez sur Suivant.

  6. Sélectionnez un répertoire pour enregistrer le fichier et donnez-lui un nom, ensuite cliquez sur Suivant.

  7. Cliquez sur Terminer.

Ce document utilise ADFS_HOST en tant qu’espace réservé dans le texte pour se référer au site Web AD FS. Remplacez-le par votre adresse du site Web AD FS 2.0

Le AD FS 2.0 Rollup 2 Hotfix

Si vous n’avez pas encore installé le correctif, allez ici :

http://support.microsoft.com/kb/2681584 

Après avoir installé le correctif, activez l’utilisation du paramètre RelayState dans la SSO initiée par fournisseur d’identité :

  1. Ouvrez le fichier inetpub\adfs\ls\web.config dans un éditeur.

  2. Localisez la section commençant par <microsoft.identityServer.web>

  3. Ajoutez cette ligne  à cette section :
    <useRelayStateForIdpInitiatedSignOn enabled="true" />

  4. Enregistrez le fichier.

Configurer Adaptive Planning en tant que Partie utilisatrice

Une partie utilisatrice est une application Web ou un service Web qui se fie à des revendications, extraites des jetons émis par un STS (Security Token Service). Adaptive Planning est la partie utilisatrice et votre instanceAD FS 2.0  est un STS.

  1. Accédez à la console de gestionAD FS 2.0 .

  2. Cliquez sur AD FS 2.0 et développez Relations de confiance.

  3. Cliquez avec le bouton droit sur Parties utilisatrices de confiance et cliquez sur Ajouter une partie utilisatrice de confiance.

  4. Sur la page Sélectionner une source de données, sélectionnez Entrer les données de la partie utilisa­trice manuellement, et cliquez sur Suivant.

    AD-FS_Add_Relying_Party_Trust_Wizard_Select_Data_Source.png
  5. Spécifiez un nom approprié pour le nom d’affichage (par exemple, AdaptivePlanning), saisissez les notes éventuelles, ensuite cliquez sur Suivant.

  6. Sélectionnez AD FS 2.0 Profil.

  7. Ignorez l’étape Configurer le certificat.

  8. Configurer l’Adaptive Planning URL SSO que vous allez obtenir dans l’écran Paramètres SAML.

  9. Sur la page Configurer les identifiants , entrez the URL from the SAML Settings screen in Planning comme identifiant et cliquez sur Ajouter.

  10. Sur la page suivante, sélectionnez Permettre à tous les utilisateurs d’accéder à cette partie utilisatrice.  Sélectionnez Refuser si vous souhaitez assigner cette application à des utilisateurs spécifiques ultérieurement, ensuite cliquez sur Suivant.

  11. Sur la page Prêt à ajouter une partie de confiance , cliquez sur Suivant.

  12. Sur la page Terminer , effacez Ouvrir la boîte de dialogue Modifier les règles de réclamation pour cette partie utilisatrice quand l’assistant se ferme, et cliquez sur Fermer.

Configuration des règles de revendication

Vous allez créer des exemples de règle de revendication. Vous pouvez modifier les règles de revendication pour satisfaire vos exigences pour l’authentification SAML .

Exemple de règle de revendication n° 1

Dans cette règle de revendication, la valeur Adresse courriel d’un utilisateur sera envoyée comme une expression d’attribut dans la réponse SAML. Vous pouvez utiliser n’importe quel LDAP attribut dans le jeton SAML tant que cet attribut identifie de manière unique chaque utilisateur. De même, pour le type de revendication sortante, choisissez-en un dans la liste ou saisissez le nom.

  1. Cliquez avec le bouton droit sur l’entrée AdaptivePlanning dans la liste Parties utilisatrices de confiance et sélectionnez Modifier les règles de revendication.

  2. Cliquez sur Ajouter une règle dans l’onglet Règles de transformation d’émission .

  3. SélectionnezEnvoyer l’attribut LDAP comme Revendication dans la liste déroulante Règle de revendication.

  4. Cliquez sur Suivant.

  5. Donnez un nom à la revendication tel que Courriel comme revendication.

  6. Définissez le champ Magasin d’attributs sur Active Directory, l’ attribut LDAP  sur Adresses courriel, et le Type de revendication sortante sur Adresse courriel.

  7. Cliquez sur Terminer.

Exemple de règle de revendication n° 2

Dans cette règle de revendication, nous enverrons l’adresse courriel configurée dans la règle de revendication n° 1 commeName­ID de l’objet.

  1. Cliquez sur Ajouter une règle.

  2. Sélectionnez Transformer une revendication entrante en modèle de règle de revendication à utiliser.

  3. Donnez-lui un nom. Dans cet exemple, nous utilisons Adresse courriel à ID nom.

  4. Le type de revendication entrante doit êtreAdresse courriel (OU il doit correspondre au type de revendication sortante utilisée dans l’exemple de règle de revendication n° 1).

  5. Définissez le Type de revendication sortante sur ID nom et Format d’ID de nom sortant  sur Courriel.

  6. Sélectionnez Transférer toutes les valeurs de revendication.

  7. Cliquez sur Terminer.

Cette règle enverra la valeur Courriel d’un utilisateur comme NameID d’objet avec le formaturn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress.

Configurer AD FS comme fournisseur d’identité dans Adaptive Planning

Dans cette section, vous allez configurer votre instance Adaptive Planning  pour accepter les jetons SAML/SSO de votre installation AD FS 2.0. Les étapes de cette section utilisent les exemples de règle de revendication décrits ci-dessus ; si vous avez créé des règles différentes, vous devrez modifier ces instructions en conséquence.

  1. Connectez-vous à votre instance Adaptive Planning  comme utilisateur avec les autorisations Administrateur utilisateur.

  2. Allez à Admin > Gérer les paramètres SAML SSO .

  3. Entrez les paramètres suivants :

    1. Nom du fournisseur d’identité : Entrez le nom de votre serveur AD FS 2.0  ici.

    2. ID d’entité du fournisseur d’identité : Saisissez la valeur trouvée sur la console de gestion FS Server's AD FS 2.0 .
      Pour trouver ce résultat, cliquez avec le bouton droit de la souris sur Service, cliquez Modifier les propriétés des services de fédération, et copiez la valeur du champ Identificateur de service de fédération.

    3. Connexion unique du fournisseur d’identitéURL : Saisissez l’URL similaire à (il s’agit de l’URL du côté MS AD FS pour se connecter directement à Adaptive Planning.) :https://ADFS_HOST/adfs/ls

    4. URL de déconnexion personnalisée: Facultatif. Saisissez une URL à charger lorsque l’utilisateur clique sur Déconnexion  de Adaptive Planning.
      Si aucune URL n’est précisée, la page de connexion Adaptive Planning sera utilisée.

    5. Certificat de fournisseur d'identité : Sélectionnez le fichier de certificat inclus dans Conditions préalables.

    6.  Type d’ID utilisateur SAML : Sélectionnez l’ID de fédération de l’utilisateur.
      Si vous configurez votre règle de revendication pour utiliser l’adresse courriel de l’utilisateur et que cette adresse est la même que le champ de connexion du profil de l’utilisateur, vous pouvez sélectionner Nom de l’utilisateurAdaptive Planning  pour ID utilisateur SAML.

    7. Emplacement d'ID utilisateur SAML : Si vous avez uniquement configuré l’exemple de règle de revendication n° 1 dans les règles de réclamation de la partie utilisatrice, sélectionnez ID utilisateur dans Attribut.
      Si vous avez configuré la règle de revendication d’échantillon n° 2, sélectionnez ID utilisateur pour ID nom de l’objet­.

    8. Attribut SAML et Format NameID SAML : Il vous suffit de saisir l’un de ces éléments. Si vous avez uniquement configuré que l’exemple de règle de revendication n° 1, renseignez le champ Attribut SAML avec le type de revendication sortante à partir de l’exemple de règle de revendication n° 1 et laissez le champ de format NameID SAML vide.
      Si vous avez configuré les deux exemples de règles de revendication, vous pouvez ignorer le champ Attribut SAML et renseigner le champ NameID SAML avec le format d’ID de nom sortant de l’exemple de règle de revendication n° 2 (Courriel).

    9. Activer SAML: Sélectionnez Non activé (c’est la valeur par défaut). Après avoir testé la configuration, revenez sur cet écran et activez SAML pour d’autres utilisateurs.

  4. Cliquez sur Enregistrer.
    La page Vue d’ensemble Admin Adaptive Planning se chargera.

  5. Revenez à la page Gérer les paramètres SSO SAML pour vérifier que les paramètres ont été enregistrés avec succès. En particulier, vérifiez l’émetteur et la validité du certificat du fournisseur d’identité.

  6. Recherchez Adaptive Planning URL SSO au bas de la page et copiez la valeur de la chaîne entière. Enregistrez cette valeur car vous en aurez besoin dans la section suivante. Par exemple :

https://login.adaptiveplanning.com:443/samlsso/VkdHUKVFTkNPQURGU0MzNA--

Compléter la configuration de la partie utilisatrice AD FS

Vous terminerez la configuration de la partie utilisatrice AD FS que vous avez commencée dans Configuration d’Adaptive Planning en tant que partie utilisatrice.

  1. Revenez à votre console d’administration AD FS 2.0.

  2. Cliquez avec le bouton droit sur AdaptivePlanning dans la liste Parties utilisatrices de confiance et sélectionnez Propriétés.

  3. Cliquez sur l’onglet Points terminaux et cliquez sur Ajouter.

  4. Définissez le Type de point terminal sur SAML Assertion Consumer.

  5. Définissez Liaison sur POST.

  6. Collez la valeur de l’URL SSO Adaptive Planning que vous avez copiée dans l’étape 6 de Configuration de MS AD FS comme fournisseur d’identité dans Adaptive Planning dans le champ URL.

  7. Cliquez sur OK et cliquez sur Appliquer dans la boîte de dialogue Propriétés.

Tester la configuration

Vous devez tester la connexion SSO SAML-  depuis MS AD FS 2.0 à Adaptive Planning.

  1. Sélectionner un utilisateur sur AD FS et  Adaptive Planning. L’Adaptive Planning utilisateur  doit avoir une autorisation administrateur SAML.

  2. Saisissez l’adresse courriel (ou l’attribut LDAP sélectionné dans la règle de revendication n° 1) dans AD FS pour cet utilisateur.

  3. Dans Adaptive Planning, saisissez l’adresse courriel (peut-être même la même valeur) dans le champID de fédération SAML pour l’utilisateur sur la page Admin > Utilisateurs , ensuite cliquez sur Envoyer.

  4. Connectez l’utilisateur AD FS à un ordinateur faisant partie du domaine Active Directory.

  5. Dans un navigateur Web sur cet ordinateur, allez à https://login.adaptiveinsights.com/app.

  6. Si tout est configuré correctement, vous serez redirigé vers la page d’accueil Adaptive Planning . Saisissez le nom d’utilisateur mais laissez le champ Mot de passe vide sur la page de connexion. Cliquez sur Envoyer.

Après avoir testé avec succès votre configuration,  activez la SSO SAML pour vos utilisateurs. Voir Activation du SSO SAML pour tous les utilisateurs dans Adaptive Planning.

Connexion à Excel Interface for Planning et Office Connect à l’aide de SAML SSO

Une fois que SAML SSO a été correctement configuré et testé, les utilisateurs Excel Interface for Planning et OfficeConnect doivent simplement indiquer leurs noms d’utilisateur sur le formulaire de connexion. Laisser le champ Mot de passe vide.

 

  • Cet article vous a été utile ?