L’authentification unique (SSO) permet à vos utilisateurs d’accéder aux produits Nitro en s’authentifiant via votre fournisseur d’identité (IdP). Nitro prend en charge l’authentification unique avec n’importe quel 2SAML.0conforme IdP.
Remarque : cette fonctionnalité n’est disponible que pour les clients disposant d’un plan Nitro Productivity Suite Enterprise.
Configurer une connexion SAML ADFS
Créez une connexion SAML personnalisée aux services ADFS (Active Directory Federation Services) de Microsoft pour bénéficier d’une plus grande flexibilité lors de la configuration de vos mappages.
Pour créer la connexion personnalisée, vous devez :
1. Configurez ADFS.
2. Créez une connexion SAML où Nitro agit en tant que fournisseur de services.
3. Modifiez l’approbation de la partie de confiance dans ADFS.
4. Activez et testez votre intégration.
Les sections suivantes vous guideront tout au long de ce processus.
Configurer ADFS
AJOUTER UNE APPROBATION DE PARTIE DE CONFIANCE
Voir Créer une approbation de partie de confiance pour plus de détails.
1. Lancez votre instance d’ADFS et démarrez l’Assistant Ajout d’approbation de partie de confiance.
2. Sur la page Bienvenue, choisissez Claims aware (Reconnaissance des revendications) et cliquez sur Démarrer.
3. Dans la page Sélectionner la source de données, sélectionnez Entrer manuellement les données relatives à la partie de confiance, puis cliquez sur Suivant.
4. Dans la page Spécifier le nom complet, fournissez un nom descriptif pour votre partie de confiance et une brève description sous Notes. Si vous n’êtes pas sûr du nom de la connexion à ce stade, vous pouvez toujours modifier le nom de la connexion ultérieurement. Cliquez sur Suivant.
5. Dans la page Configurer le certificat, cliquez sur Suivant. (Nous reviendrons pour configurer le certificat plus tard.)
6. Sur la page Configurer l’URL, cochez la case Activer la prise en charge du 2SAML.0 Protocole WebSSO. L’Assistant demande ensuite un 2SAML de partie de confiance.0 URL du service SSO. Pour le moment, fournissez une URL d’espace réservé; Nous reviendrons sur cette étape plus tard. Cliquez sur Suivant.
7. Dans la page Configurer les identificateurs, indiquez que l’identificateur d’approbation de la partie de confiance est la valeur que vous avez utilisée comme nom complet lorsque vous avez commencé à utiliser l’Assistant. Cliquez sur Suivant.
8. Dans la page Choisir une stratégie de contrôle d’accès, sélectionnez Autoriser tout le monde et cliquez sur Suivant.
9. Vérifiez les paramètres que vous avez fournis sur la page Prêt à ajouter une approbation et cliquez sur Suivant pour enregistrer vos informations. Si vous avez réussi, vous verrez un message l’indiquant sur la page Terminer .
10. Assurez-vous que la case à cocher Configurer la stratégie d’émission des revendications pour cette application est activée, puis cliquez sur Fermer.
MODIFIER LA POLITIQUE D’ÉMISSION DES REVENDICATIONS
Après avoir fermé l’Assistant Ajout d’une approbation de partie de confiance, la fenêtre Modifier la stratégie d’émission de revendication s’affiche.
1. Cliquez sur Ajouter une règle pour lancer l’Assistant.
2. Sélectionnez Envoyer les attributs LDAP en tant que revendications pour votre modèle de règle de revendication, puis cliquez sur Suivant.
3. Indiquez une valeur pour le nom de la règle de revendication, par exemple « Attributs LDAP » (il peut s’agir de ce que vous voulez).
4. Choisissez Active Directory comme magasin d’attributs.
5. Mappez vos attributs LDAP aux types de revendications sortantes suivants :
| d’attributs LDAP Réclamation sortante
Adresses e-mail | Adresse e-mail
Nom d’affichage | Nom
Nom d’utilisateur principal | ID de nom
Prénom | Prénom
Nom de famille | Nom de famille
sAMAccountName | http://schemas.microsoft.com/identity/claims/employeeNumber
6. Toutes les revendications énumérées ci-dessus doivent être ajoutées et employeeNumber peut être défini sur ID unique représentant un utilisateur.
7. Vous pouvez ajouter des mappages de revendications supplémentaires si nécessaire. Voir Connecter votre application à Microsoft ADFS pour plus d’informations .
8. Cliquez sur Terminer.
9. Dans la fenêtre Modifier la stratégie d’émission des revendications, cliquez sur Appliquer. Vous pouvez maintenant quitter cette fenêtre.
EXPORTER LE CERTIFICAT DE SIGNATURE
Enfin, vous devrez exporter le certificat de signature depuis la console ADFS pour le télécharger dans Nitro.
1. Dans le volet de navigation de gauche, accédez à ADFS > Service > Certificates. Sélectionnez le certificat de signature de jeton, puis cliquez avec le bouton droit pour sélectionner Afficher le certificat.
2. Sous l’onglet Détails, cliquez sur Copier dans un fichier. L’Assistant Exportation de certificat s’ouvre. Cliquez sur Suivant.
3. Choisissez X, codé en64 de base.509 (. CER) comme format que vous souhaitez utiliser. Cliquez sur Suivant.
4. Indiquez l’emplacement où vous souhaitez exporter le certificat. Cliquez sur Suivant.
5. Vérifiez que les paramètres de votre certificat sont corrects et cliquez sur Terminer.
Configurer l’authentification unique dans Nitro
1. Dans le portail d’administration Nitro, sur la page Paramètres d’entreprise, recherchez la section Single Sign-On . Sélectionnez Setup SAML SSO.
2. Collez l’URL de connexion de l’étape précédente dans le champ URL de connexion.
3. Les URL de connexion et de déconnexion se présentent généralement sous la forme de https://your.adfs.server/adfs/ls
4. Téléchargez le certificat (64de base) à partir de l’étape précédente dans le champ X509 Signing Certificate (Certificat de signature de X).
5. Sélectionnez Soumettre.
6. Sélectionnez Activer l’authentification unique.
Modifier l’approbation de la partie de confiance
1. Dans la console ADFS, accédez à ADFS > Approbations de partie de confiance à l’aide du volet de navigation de gauche. Sélectionnez l’approbation de partie de confiance que vous avez créée précédemment et cliquez sur Propriétés (située dans le volet de navigation de droite).
2. Sélectionnez l’onglet Identificateurs et remplissez l’identificateur de partie de confiance avec la valeur ID d’entité de l’écran précédent. Veillez à cliquer sur Ajouter pour ajouter l’identificateur à votre liste.
3. Sélectionnez l’onglet Points de terminaison, puis sélectionnez l’URL d’espace réservé que vous avez fournie précédemment. Cliquez sur Modifier.
4. Remplissez l’URL approuvée avec la valeur d’URL ACS de Nitro.
5. Cliquez sur OK. Enfin, cliquez sur Appliquer et quittez la fenêtre Propriétés.
Activer et tester votre intégration
Avant de tester votre intégration, assurez-vous d’avoir effectué les étapes suivantes :
- Créez un utilisateur sur l’IdP que vous pouvez utiliser pour tester votre nouvelle connexion.
- Activez l’authentification unique dans Nitro.
Pour tester votre connexion
1. Accédez à Connexions > Entreprise > ADFS.
2. Cliquez sur la ligne ADFS (ou sur l’icône hamburger à droite) pour afficher la liste de vos connexions ADFS.
3. Sélectionnez celui que vous souhaitez tester et cliquez sur le bouton de lecture pour tester la connexion.