Passer au contenu principal

logoCorrectSize.png

Workday Adaptive Planning Knowledge Center

SAML SSO MS-AD FS 3.0

Fournit des instructions pour configurer Adaptive Insights pour accepter les tokens SSO SAML de votre instance de Microsoft Active Directory Federation Services 3.0 (MS AD FS 3.0). Dans les termes SAML, votre instance de MS AD FS est un fournisseur d’identité et Adaptive Insights est un fournisseur de services. Après avoir effectué ces étapes, vous aurez configuré un identifiant SSO initiée par le fournisseur d’identité de votre instance MS AD FS 3.0 pour Adaptive Insights.

Conditions préalables

  • Un ordinateur qui :
    • A Windows Server 2008 R2 ou le paramètre RelayState activé. Voir MS AD FS 3.0 RelayState pour plus d’informations.
    • Est inclus dans un domaine
  • Un compte Adaptive Insights avec autorisations administratives
  • Un courriel de confirmation de Adaptive Insights indiquant que SAML a été provisionné sur votre instance.
  • Un certificat de signature de jeton vérifié par une autorité de certification

Pour exporter le certificat de signature du jeton MS AD FS :

  1. Allez à Console de gestion MS AD FS > Service > Certificats.
  2. Cliquez avec le bouton droit sur Signature de jeton dans la liste des certificats, puis cliquez sur Afficher le certificat. 

    AD-FS_View_Certificate_3.0.png
  3. Allez sur l'onglet Détails et cliquez sur Copier dans un fichier.

  4. Lorsque l’ Assistant d’exportation de certificat apparaît, cliquez sur Suivant.

  5. Sélectionnez DER codé binaire X.509 (.cer), et cliquez sur Suivant.

  6. Sélectionnez un répertoire pour enregistrer le fichier, nommez-le, et cliquez sur Suivant.

  7. Cliquez surTerminer.

Ce document utilise ADFS_HOST comme espace réservé dans le texte pour se référer au site Web MS AD FS. Remplacez-le par votre adresse du site Web MS AD FS 3.0. Les captures d’écran montrent l’adresse du serveur test.

MS AD FS 3.0 RelayState

SSO initiée par le fournisseur d’identité en suivant les étapes suivantes :

  1. Pour ADFS 3.0, ouvrez le fichier suivant dans Notepad :
    %systemroot%\ADFS\Microsoft.IdentityServer.Servicehost.exe.config

  2. Dans la sectionmicrosoft.identityServer.web ajoutez une ligne pour useRelayStateForIdpInitiatedSignOncomme suit, et enregistrez la modification :

    <microsoft.identityServer.web>   

    ...    

    <useRelayStateForIdpInitiatedSignOn enabled="true" />

     </microsoft.identityServer.web>

  3. Enregistrez le fichier.

  4. Redémarrez le service Active Directory Federation Services (adfssrv).

Configuration de Adaptive Insights en tant que Partie utilisatrice

Une partie utilisatrice est une application Web ou un service Web qui se fie à des revendications, extraites des jetons émis par un STS (Security Token Service). Adaptive Insights est la partie utilisatrice et votre instance MS AD FS 3.0 est un STS.

  1. Accédez à la console de gestion MS AD FS 3.0.

  2. Cliquez sur MS AD FS 3.0 et développez Relations de confiance.

  3. Cliquez avec le bouton droit sur Parties utilisatrices de confiance et cliquez sur Ajouter une partie utilisatrice de confiance.

  4. Sur la page Sélectionner une source de données, sélectionnez Entrer les données de la partie utilisa­trice manuellement, et cliquez sur Suivant.

    SAML_ADFS3_02_Select_Data_Source_3.0.png
  5. Spécifiez un nom approprié pour le nom d’affichage (par exemple, AdaptiveInsights), saisissez les notes éventuelles, ensuite cliquez sur Suivant.

  6. Sélectionnez Profil AD FS.

  7. Ignorez l’étape Configurer le certificat.

  8. Configurer l‘URLAdaptive Insights SSO  (que vous allez obtenir dans l’écran Paramètres SAML dans Planification).

    comme illustré ci-dessous

  9. Sur la page Configurer les identifiants , entrez l’URL de l’écran Paramètres SAML dans Planification comme identifiant et cliquez sur Ajouter.

  10. Sur la page suivante, sélectionnez Permettre à tous les utilisateurs d’accéder à cette partie utilisatrice (sélectionner Refuser si vous souhaitez affecter cette application à des utilisateurs spécifiques ultérieurement), ensuite cliquez sur Suivant.

  11. Sur la page Prêt à ajouter une partie de confiance , cliquez sur Suivant.

  12. Sur la page Terminer , effacez Ouvrir la boîte de dialogue Modifier les règles de réclamation pour cette partie utilisatrice quand l’assistant se ferme, et cliquez sur Fermer.

Configuration des règles de revendication

Vous allez créer des exemples de règle de revendication. Vous pouvez choisir de modifier les règles de revendication pour satisfaire vos exigences pour l’authentification SAML.

Exemple de règle de revendication n° 1

Dans cette règle de revendication, la valeur Adresse courriel d’un utilisateur sera envoyée comme une expression d’attribut dans la réponse SAML. Vous pouvez utiliser n’importe quel attribut LDAP dans le jeton SAML tant que cet attribut identifie de manière unique chaque utilisateur. De même, pour le type de revendication sortante, choisissez-en un dans la liste ou saisissez le nom.

  1. Cliquez avec le bouton droit sur l’entrée AdaptiveInsights  dans la liste Parties utilisatrices de confiance et sélectionnez Modifier les règles de revendication.

  2. Cliquez sur Ajouter une règle dans l’onglet Règles de transformation d’émission .

  3. Sélectionnez Envoyer l’attribut LDAP comme Revendication depuis la liste déroulante des exemples de règle de revendication .

  4. Cliquez surSuivant.

  5. Donnez un nom à la revendication telle queCourriel comme revendication.

  6. Définissez le champ Magasin d’attributs sur Active Directory, l’Attribut LDAP sur Adresses courriel, et le Type de revendication sortante sur Adresse courriel.

  7. Cliquez sur Terminer.

    AD-FS_Edit_Rule_3.0.png
  8. Attribut SAML : Si vous avez configuré une seule règle de revendication n° 1, pour entrer le type de revendication sortante à partir de la règle de revendication n° 1.
    1. Pour trouver le type de revendication sortante, allez à la console de gestion ADFS.

    2. Cliquez sur Service > Descriptions des revendications

    3. Cliquez avec le bouton droit sur le type de revendication que vous utilisez et cliquez sur Propriétés.

    4. Copiez la valeur dans "Type de revendication" et collez-la dans le nom d’attribut SAML. Cela peut ressembler à
      "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" ou le nom abrégé que vous avez peut-être tapé. AD-FS_Edit_Claim_Rules_3.0.png

Exemple de règle de revendication n° 2

Dans cette règle de revendication, nous enverrons l’adresse courriel configurée dans la règle de revendication n° 1 comme NameID de l’objet.

  1. Cliquez sur Ajouter une règle.

  2. Sélectionnez Transformer une revendication entrante en modèle de règle de revendication à utiliser.

  3. Donnez-lui un nom. Dans cet exemple, nous utilisons Adresse courriel à ID nom.

  4. Le type de revendication entrante doit êtreAdresse courriel (OU il doit correspondre au type de revendication sortante utilisée dans l’exemple de règle de revendication n° 1).

  5. Définissez le Type de revendication sortante sur ID nom et Format d’ID de nom sortant sur Courriel.

  6. SélectionnezTransférer toutes les valeurs de revendication.

  7. Cliquez sur Terminer.

Cette règle enverra la valeur Courriel d’un utilisateur comme NameID d’objet avec le format urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress.

AD-FS_Edit_Rule_-_email_to_nameID_3.0.png

Configurer MS AD FS comme fournisseur d’identité dans Adaptive Insights

Dans cette section, vous allez configurer votre instance Adaptive Insights pour accepter les jetons SAML/SSO de votre installation MS AD FS 3.0. Les étapes de cette section utilisent les exemples de règle de revendication décrits ci-dessus ; si vous avez créé des règles différentes, vous devrez modifier ces instructions en conséquence.

  1. Connectez-vous à votre instance Adaptive Insights comme utilisateur avec les autorisations Administrateur utilisateur.

  2. Allez à Admin >Gérer les paramètres SSO SAML.

    SAML_SSO_Settings_full_3.0.png
  3. Entrez les paramètres suivants :

  1. Nom du fournisseur d'identité: Saisissez ici le nom du serveur MS AD FS 3.0.

  2. ID d'entité du fournisseur d'identité : Saisissez la valeur trouvée sur la console de gestion MS AD FS 3.0 de FS Server.
    Pour trouver ce résultat, cliquez avec le bouton droit de la souris sur Service, cliquez Modifier les propriétés des services de fédération, et copiez la valeur du champ Identificateur de service de fédération.

    AD-FS_Federation_Service_Properties_3.0.png
  3.  URL de connexion unique du fournisseur d’identité : Entrez l’URL similaire à (ceci est l’URL du côté MS AD FS pour se connecter directement à Adaptive Insights) :
    https://ADFS_HOST/adfs/ls

  4.  URL de déconnexion personnalisée: Facultatif. Saisissez une URL à charger lorsque l’utilisateur clique sur Déconnexion de Adaptive Suite.
    Si aucune URL n'est précisée, les utilisateurs sont redirigés vers la page de connexion Adaptive Insights.

  5. Certificat de  fournisseur d'identité : Sélectionnez le fichier de certificat décrit dans les Conditions préalables.

  6. Type d’ID utilisateur SAML : Sélectionnez l’ID de fédération de l’utilisateur.
    Si vous configurez votre règle de revendication pour utiliser l’adresse courriel de l’utilisateur et que cette adresse est la même que le champ de connexion du profil de l’utilisateur, vous pouvez sélectionner Nom d’utilisateur Adaptive Insights de l’utilisateur pour ID utilisateur SAML.

  7. Emplacement d'ID utilisateur SAML : Si vous avez uniquement configuré l’exemple de règle de revendication n° 1 dans les règles de réclamation de la partie utilisatrice, sélectionnez ID utilisateur dans Attribut.
    Si vous avez configuré la règle de réclamation d’échantillon n°2, sélectionnez ID utilisateurpour NameId de l’ob­jet.

  8. Attribut SAML et Format NameID SAML : Il vous suffit de saisir l’un de ces éléments. Si vous avez uniquement configuré que l’exemple de règle de revendication n° 1, renseignez le champ Attribut SAML avec le type de revendication sortante à partir de l’exemple de règle de revendication n° 1 et laissez le champ de format NameID SAML vide.
    Si vous avez configuré les deux exemples de règles de revendication, vous pouvez ignorer le champ Attribut SAML et renseigner le champ NameID SAML avec le format d’ID de nom sortant à partir de l’exemple de règle de revendication n° 2 (Courriel).

  9.  Activer SAML: Sélectionnez Non activé (c’est la valeur par défaut). Après avoir testé la configuration, revenez sur cet écran et activez SAML pour d’autres utilisateurs.

  1. Cliquez sur Enregistrer.
    La vue d’ensemble Administration Adaptive s’affiche.
  2. Revenez à la page Gérer les paramètres SSO SAML  pour vérifier que les paramètres ont été enregistrés avec succès. Vérifiez l’émetteur et la validité du certificat du fournisseur d’identité.
  3. Recherchez URL SSO Adaptive Insights au bas de la page et copiez la valeur de la chaîne entière. Enregistrez cette valeur car vous en aurez besoin dans la section suivante.
    saml_sso_enable_and_direct_w_login_url_adfs_3_0.png
 

Compléter la configuration de la partie utilisatrice MS AD FS

Dans cette section, nous allons compléter la configuration de la partie utilisatrice MS AD FS, que vous avez commencée dans Configurer Adaptive Insights en tant que Partie utilisatrice.

  1. Revenez à votre console d’administration MS AD FS 3.0.

  2. Cliquez avec le bouton droit sur AdaptiveInsightsdans la liste Parties utilisatrices de confiance et sélectionnez Propriétés.

  3. Cliquez sur l’onglet Points terminaux et cliquez sur Ajouter.

  4. Définissez le Type de point terminal sur SAML Assertion Consumer.

  5. Définissez Liaison surPOST.

  6. Collez la valeur de l’URL SSO Adaptive Insights dans le champ URL. Notez que vous avez copié l’URL dans l’étape Configurer MS AD FS comme fournisseur d’identité dans Adaptive Insights.

    Edit_Endpoint_3.0.png
  7.    Cliquez surOK et cliquez sur Appliquer dans la boîte de dialogue Propriétés.

Tester la configuration

Testez la connexion SSO/SAML depuis MS AD FS 3.0 dans Adaptive Insights.

  1. Sélectionnez un utilisateur sur le côté MS AD FS et le côté Adaptive Insights. L’utilisateur Adaptive Insights doit avoir une autorisation administrateur SAML.

  2. Saisissez l’adresse courriel (ou l’attribut LDAP sélectionné dans la règle de revendication n° 1) dans MS AD FS pour cet utilisateur.

  3. Dans Adaptive Insights, saisissez l’adresse courriel (peut-être même la même valeur) dans le champID de fédération SAML pour l’utilisateur sur la page Admin >Modifier l’utilisateur .

  4. Connectez l’utilisateur AD FS à un ordinateur faisant partie du domaine Active Directory.

  5. Dans un navigateur Web sur cet ordinateur, visitez https://login.adaptiveinsights.com/app

  6. Si tout est configuré correctement, vous serez redirigé vers la page d’accueil Adaptive Insights. Saisissez le nom d’utilisateur mais laissez le champ Mot de passe vide sur la page de connexion. Cliquez sur Soumettre.

Après avoir testé avec succès votre configuration, vous pouvez activer la SSO SAML pour vos utilisateurs. Voir Activer la SSO SAML pour tous les utilisateurs dans Adaptive Insights.

Logging in to Excel Interface for Planning and Adaptive Office Connect using SAML SSO

Once SAML SSO has been successfully configured and tested, Excel Interface for Planning and Adaptive Office Connect users only need to provide their usernames in the login form. Leave the password field blank.

Excel Interface for Planning or Adaptive Office Connect - Logging in with SAML SSO enabled

  • Cet article vous a été utile ?