Se connecter à Microsoft AD FS avec SAML 2.0
FoxIDs peut être connecté à AD FS avec une méthode d’authentification SAML 2.0. AD FS est un fournisseur d’identité SAML 2.0 (IdP) et FoxIDs agit comme Relying Party (RP) SAML 2.0.
Configurer AD FS comme Identity Provider (IdP)
1 - Commencez par créer une méthode d’authentification SAML 2.0 dans FoxIDs Control Client
La méthode d’authentification SAML 2.0 peut être configurée soit en utilisant les métadonnées AD FS https://...adfs-domain.../federationmetadata/2007-06/federationmetadata.xml soit en ajoutant manuellement les détails SAML 2.0.
Bindings SAML 2.0 recommandés :
- Binding de requête et réponse Authn : Post
- Binding de requête et réponse Logout : Post
Remarque : le binding redirect de la requête Authn peut entraîner une longue chaîne de requête qui peut poser problème sur certains appareils. Le binding Post est donc préférable.
Consultez la configuration d’exemple AD FS dans FoxIDs Control : https://control.foxids.com/test-corp
Obtenez l’accès en lecture avec l’utilisateurreader@foxids.comet le mot de passegEh#V6kSw, puis sélectionnez l’environnementProductionet l’ongletAuthentication.
La capture d’écran suivante montre la configuration de base de la méthode d’authentification SAML 2.0 FoxIDs en utilisant les métadonnées AD FS dans FoxIDs Control Client.
L’endpoint de métadonnées AD FS doit être accessible en ligne pour effectuer la configuration SAML 2.0 avec les métadonnées AD FS. Sinon, vous devez faire la configuration manuellement.
Davantage d’options de configuration sont disponibles en cliquant sur
Show advanced.
2 - Allez ensuite dans AD FS et créez le Relying Party (RP)
Dans cette partie de la configuration, vous devez utiliser les métadonnées de la méthode d’authentification SAML 2.0. Il est possible d’appeler des métadonnées fictives de méthode d’authentification SAML 2.0 dans FoxIDs et ainsi, si souhaité, effectuer l’étape 2 en première étape.
Métadonnées de la méthode d’authentification SAML 2.0 FoxIDs
https://foxids.com/tenant-x/environment-y/(adfs-saml-idp1)/saml/spmetadata
pourtenant-xetenvironment-yavec le nom de méthode d’authentificationadfs-saml-idp1.
Configurez le Relying Party (RP) dans AD FS en utilisant les métadonnées de la méthode d’authentification SAML 2.0.
Alternativement, le Relying Party (RP) peut être configuré manuellement dans AD FS avec les propriétés suivantes :
- Le certificat de l’environnement public FoxIDs ('tenant-x' et 'environment-y')
- Algorithme de hachage, par défaut SHA-256
- L’identifiant d’environnement FoxIDs
https://foxids.com/tenant-x/environment-y/ou un autre identifiant si configuré - Endpoint Assertion Consumer Service
https://foxids.com/tenant-x/environment-y/(adfs-saml-idp1)/saml/acs - Endpoint du service Single Logout (logout)
https://foxids.com/tenant-x/environment-y/(adfs-saml-idp1)/saml/singlelogout/
3 - Allez ensuite dans la configuration des revendications d’émission du Relying Party (RP) AD FS
Il est recommandé d’ajouter la revendication NameID http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier (dans AD FS appelée NameIdentifier) pour activer le SessionIndex.
Sans la revendication NameID AD FS n’ajoute pas le SessionIndex au jeton SAML et il ne sera donc pas possible de faire un logout ou un single logout.
FoxIDs exige qu’AD FS émette l’identité des utilisateurs dans le NameID ou au moins dans l’une des revendications suivantes :
- NameID
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier - UPN
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn - Email
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress - Name
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name
Les autres revendications sont optionnelles et peuvent être reçues et transformées dans FoxIDs.