Active Directory Federation Services avec SAML

Les instructions ci-dessous permettent de configurer l'authentification unique (SSO) pour Claris Studio avec les Federation Services de votre instance Active Directory à l'aide du langage SAML (Security Assertion Markup Language). Étapes clés à l'établissement de la confiance entre votre instance AD et votre équipe Claris Studio :

Créer une approbation de partie de confiance.
Ajouter des mappages de revendications.
Entrer l'URL des métadonnées dans Claris Studio.

Ouvrir la page de configuration de Claris Studio

Connectez-vous à votre équipe Claris Studio.
Cliquez sur l'onglet Utilisateurs à gauche, puis sur Configurer l'IdP externe.
Dans la boîte de dialogue Configurer le fournisseur d'identité externe, pour Protocole, choisissez SAML. Laissez cette page ouverte afin de pouvoir y revenir plus tard.

Ajouter une approbation de partie de confiance

Dans votre instance Windows Server, connectez-vous avec votre compte administrateur. Dans le menu Démarrer, cliquez sur Windows Administrative Tools (Outils d'administration Windows) sous la section Windows Server à droite.
Dans la nouvelle fenêtre de l'explorateur de fichiers, ouvrez le raccourci AD FS Management (Gestion AD FS).
Dans la barre latérale gauche de la fenêtre AD FS, cliquez avec le bouton droit de la souris sur Relying Party Trusts > Add Relying Party Trust (Approbation de partie de confiance > Ajouter une approbation de partie de confiance).
Dans l'assistant, choisissez Claims aware (Qui prend en charge les revendications), puis cliquez sur Start (Démarrer).
Choisissez Enter data about the relying party manually (Entrer manuellement des données sur la partie de confiance), puis cliquez sur Next (Suivant).
Donnez à votre nouvelle intégration un nom dans la rubrique Display name (Nom d'affichage) et ajoutez toute Notes (Remarque) susceptible d'aider votre équipe Claris Studio à distinguer cette intégration des autres. Cliquez sur Next (Suivant).
Laissez la configuration du certificat vide.

Cliquez sur Next (Suivant).
Sélectionnez l'option Enable support for the SAML 2.0 WebSSO Protocol (Activer la prise en charge du protocole SAML 2.0 WebSSO). Ensuite, dans Claris Studio, copiez la valeur URL du service consommateur d'assertion (consultez la section « Ouvrir la page de configuration de Claris Studio » plus haut) et collez-la ici.

Cliquez sur Next (Suivant).
Pour la rubrique Relying party trust identifier (Identifiant d'approbation de partie de confiance), dans Claris Studio, copiez la valeur ID de l'entité (consultez la section « Ouvrir la page de configuration de Claris Studio » plus haut) et collez-la ici.

Cliquez ensuite sur Add (Ajouter), puis sur Next (Suivant).
Choisissez une politique d'accès pour déterminer quels utilisateurs de votre organisation peuvent accéder à cette équipe Claris Studio.

Par exemple, l'option Permit Everyone (Autoriser tout le monde) permet à tous les utilisateurs de votre instance Active Directory d'accéder à cette équipe Claris Studio.

Cliquez sur Next (Suivant).
Sur l'écran Ready to Add Trust (Prêt à ajouter une confiance), cliquez sur Next (Suivant) sans rien modifier.
Assurez-vous que l'option Configure claims issuance policy (Configurer la politique d'émission des revendications) est sélectionnée pour cette application.

Cliquez sur Close (Fermer).

Ajouter des mappages

Les propriétés des utilisateurs dans Active Directory doivent être mappées à des noms que Claris Studio comprendra.

Dans Relying Party Trusts (Approbations de partie de confiance), sélectionnez la confiance que vous venez d'ajouter, puis cliquez sur Edit Claim Issuance Policy (Modifier la politique d'émission des revendications) dans la barre latérale de droite.
Dans la boîte de dialogue, cliquez sur Add Rule (Ajouter une règle).
Dans le nouvel assistant de règle, pour Claim rule template (Modèle de règle pour les revendications), laissez l'option Send LDAP Attributes as Claims (Envoyer les attributs LDAP en tant que revendications) sélectionnée.

Cliquez sur Next (Suivant).
Dans la rubrique Claim rule name (Nom de la règle pour les revendications), donnez à la règle un nom descriptif. Laissez Attribut store (Répertoire d'attributs) défini sur Active Directory.

Cliquez ensuite sur la flèche d'option et choisissez E-Mail-Addresses (Adresses e-mail) en tant qu'attribut LDAP pour la première ligne. Sur la ligne suivante, sélectionnez l'option Given-Name (Prénom), et sur la troisième ligne, sélectionnez Surname (Nom de famille).

Dans la colonne Outgoing Claim Type (Type de revendication sortante) de chaque ligne, saisissez la valeur suivante pour chaque attribut LDAP. Assurez-vous de saisir les types de revendication exactement comme indiqué, car ils sont sensibles à la casse.
- Adresse e-mail → E-mail
- Prénom → Prénom
- Nom → Nom de famille
Cliquez sur Finish (Terminer) lorsque vous avez terminé.
Dans la boîte de dialogue, cliquez sur Apply (Appliquer).

Et voilà ! Vous pouvez maintenant fermer toutes les fenêtres restantes et vous déconnecter de votre instance Windows Server.

Entrer des valeurs dans Claris Studio

Revenez à la page Claris Studio que vous avez ouverte précédemment (consultez la section « Ouvrir la page de configuration de Claris Studio »).
Dans la boîte de dialogue Configurer le fournisseur d'identité externe, pour Protocole, choisissez SAML. Ensuite, dans Métadonnée, saisissez l'URL suivante :

https://<Domaine AD FS>/federationmetadata/2007-06/FederationMetadata.xml

où <Domaine AD FS> est votre nom de domaine AD FS ou votre adresse IP
Sélectionnez un ou plusieurs Groupes par défaut que vous souhaitez connecter à l'aide de cet IdP externe, puis cliquez sur Appliquer.

Si vous n'avez aucun groupe, vous pouvez en créer un ici et y ajouter des utilisateurs plus tard. Consultez la section Utiliser des groupes pour obtenir des informations supplémentaires.
Sur la page Utilisateurs, copiez le lien intitulé URL de connexion à l'application et fournissez-le aux utilisateurs. L'utilisation de cette URL leur permet de se connecter à Claris Studio avec leurs identifiants SSO.