Ce guide vous accompagne dans l'intégration de l'authentification unique (SSO) Active Directory Federation Services (ADFS) avec Axya en utilisant SAML 2.0. Une fois configurée, vos utilisateurs peuvent se connecter à Axya en utilisant leurs identifiants Active Directory existants.
Envoyez les informations suivantes à l'équipe de sécurité d'Axya à security@axya.co :
| Information | Description |
|---|---|
| Nom de domaine utilisateur | Le domaine de courriel utilisé pour le SSO (p. ex., utilisateur@votreentreprise.com) |
| URL des métadonnées de fédération | Votre point de terminaison de métadonnées de fédération ADFS (préféré), typiquement https://adfs.votreentreprise.com/FederationMetadata/2007-06/FederationMetadata.xml |
| URL SSO ADFS | Le point de terminaison d'authentification unique SAML 2.0 (si l'URL des métadonnées n'est pas disponible) |
| Certificat de signature de jeton | Le certificat de signature de jeton ADFS (si l'URL des métadonnées n'est pas disponible) |
| Compte de test | Un utilisateur de test avec des identifiants Active Directory valides pour qu'Axya puisse valider le flux SSO |
Considération sur site : ADFS est typiquement hébergé sur site. Pour que l'intégration SSO fonctionne, Axya doit pouvoir atteindre vos points de terminaison ADFS par Internet. Si votre serveur ADFS n'est pas accessible publiquement, vous devrez utiliser un proxy ADFS (Web Application Proxy) ou vous assurer que les règles de pare-feu appropriées sont en place. Discutez-en avec votre équipe réseau et avec security@axya.co avant de procéder.
Après avoir ajouté l'approbation de partie de confiance, vous devez configurer les règles de revendication pour envoyer les attributs utilisateur à Axya.
Dans Gestion ADFS, faites un clic droit sur l'approbation de partie de confiance Axya et sélectionnez Modifier la politique d'émission de revendications (ou Modifier les règles de revendication sur les versions ADFS plus anciennes).
Cliquez sur Ajouter une règle.
Sélectionnez le modèle Envoyer les attributs LDAP comme revendications et cliquez sur Suivant.
Entrez un nom de règle (p. ex., « Envoyer les attributs utilisateur à Axya »).
Définissez le magasin d'attributs à Active Directory.
Ajoutez les mappages d'attributs LDAP suivants :
| Attribut LDAP | Type de revendication sortante |
|---|---|
| E-Mail-Addresses | Adresse de courriel |
| Given-Name | Prénom |
| Surname | Nom de famille |
Cliquez sur Terminer.
Cliquez de nouveau sur Ajouter une règle.
Sélectionnez le modèle Transformer une revendication entrante et cliquez sur Suivant.
Entrez un nom de règle (p. ex., « Transformer le courriel en Name ID »).
Définissez :
Sélectionnez Transmettre toutes les valeurs de revendication.
Cliquez sur Terminer, puis OK pour fermer le dialogue des règles de revendication.
Comme ADFS est typiquement sur site, assurez-vous que les points de terminaison suivants sont accessibles depuis Internet :
https://adfs.votreentreprise.com/FederationMetadata/2007-06/FederationMetadata.xmlhttps://adfs.votreentreprise.com/adfs/ls/Si ces points de terminaison ne sont pas accessibles publiquement, configurez un Web Application Proxy (WAP) ou un proxy inverse équivalent pour les publier. Contactez votre équipe réseau ou infrastructure pour de l'aide.
Règles de pare-feu : Au minimum, HTTPS (port 443) doit être ouvert pour le trafic entrant vers votre proxy ADFS ou serveur WAP depuis Internet.
Envoyez les éléments suivants par courriel à security@axya.co :
L'équipe de sécurité d'Axya configurera la connexion SSO et fournira l'URL ACS, l'ID d'entité ou l'URL de métadonnées si elle n'a pas déjà été partagée.
Erreur « Approbation de partie de confiance introuvable » ou « Partie de confiance inconnue »
L'approbation de partie de confiance pour Axya n'est peut-être pas configurée correctement, ou l'ID d'entité ne correspond pas. Vérifiez que l'identifiant de l'approbation de partie de confiance correspond à l'ID d'entité fourni par Axya.
Les règles de revendication n'envoient pas les attributs attendus
Les utilisateurs peuvent voir des erreurs d'authentification si la revendication Name ID ou courriel est manquante. Ouvrez l'approbation de partie de confiance Axya, modifiez la politique d'émission de revendications et vérifiez que les mappages d'attributs LDAP et la règle de transformation du Name ID sont configurés comme décrit à l'étape 2.
Les points de terminaison ADFS ne sont pas accessibles depuis Internet
Si Axya ne peut pas atteindre votre serveur ADFS, le flux SSO échouera. Vérifiez que votre Web Application Proxy ou vos règles de pare-feu autorisent le trafic HTTPS entrant vers les points de terminaison ADFS. Testez l'accessibilité en chargeant votre URL de métadonnées de fédération depuis un réseau externe.
Certificat de signature de jeton expiré ou renouvelé
ADFS renouvelle automatiquement les certificats de signature de jeton par défaut. Si le SSO cesse de fonctionner de manière inattendue, vérifiez si le certificat a été renouvelé. Envoyez le nouveau certificat (ou confirmez que l'URL de métadonnées de fédération est toujours accessible) à security@axya.co pour qu'Axya puisse mettre à jour la configuration.
Note : Ce guide couvre la configuration générale du SSO ADFS. Les étapes de configuration peuvent varier selon votre version d'ADFS (ADFS 3.0, 4.0 ou 5.0) et votre version de Windows Server. Consultez la documentation officielle ADFS de Microsoft pour les instructions les plus récentes.
Pour de l'aide, contactez l'équipe de sécurité d'Axya à security@axya.co.