Configuration au moyen d'AD FS

Dans le cadre de ces instructions, nous supposons que vous utilisez l'infrastructure d'identité des services AD FS 2.0 (Active Directory Federation Services) de Windows. Si vous utilisez une version ultérieure, assurez-vous que l'Authentification des formulaires Intranet est activée (Stratégies d'authentification > Authentification principale > Authentification des formulaires Intranet).

Configurer ADFS

  1. Connectez-vous à votre console de gestion ADFS.
  2. Dans le volet de navigation à gauche, sélectionnez Approbation de la partie de confiance. Dans le volet de navigation à droite, cliquez sur Ajouter une approbation de la partie de confiance.
  3. Cliquez sur Démarrer.
  4. Dans Sélectionner la source de données, choisissez Saisir les données sur la partie de confiance manuellement.
  5. Dans Indiquer le nom complet, saisissez le nom (par exemple, Lifesize Cloud) de la partie de confiance que vous créez (plus des remarques éventuelles).
  6. Choisissez Profil AD FS 2.0.
  7. Rendez-vous dans Service > Certificats.
  8. Sélectionnez Certificat de signature de jetons et faites un clic droit pour ouvrir les propriétés. Dans le volet des détails du certificat, effectuez une exportation vers un fichier au format CER Base 64.
  9. Ouvrez le fichier CER Base 64 dans un éditeur de texte, puis collez son contenu dans la section Certificat X.509 du volet de l'administrateur, en veillant à inclure les éléments -Begin- et -End-.
  10. Copiez le certificat de sécurité Lifesize X.509 et enregistrez-le sous le nom de fichier lifesize.crt.

    -----BEGIN CERTIFICATE-----
    MIIEHzCCAwegAwIBAgIJAOeNkbnxVVV/MA0GCSqGSIb3DQEBBQUAMIGlMQswCQYD
    VQQGEwJJTjELMAkGA1UECAwCS0ExEjAQBgNVBAcMCUJhbmdhbG9yZTERMA8GA1UE
    CgwITGlmZXNpemUxFzAVBgNVBAsMDkNvbW11bmljYXRpb25zMRowGAYDVQQDDBFs
    aWZlc2l6ZWNsb3VkLmNvbTEtMCsGCSqGSIb3DQEJARYecHJvZHVjdG1hbmFnZW1l
    bnRAbGlmZXNpemUuY29tMB4XDTE1MDcwNjEwMTIxNloXDTI1MDcwMzEwMTIxNlow
    gaUxCzAJBgNVBAYTAklOMQswCQYDVQQIDAJLQTESMBAGA1UEBwwJQmFuZ2Fsb3Jl
    MREwDwYDVQQKDAhMaWZlc2l6ZTEXMBUGA1UECwwOQ29tbXVuaWNhdGlvbnMxGjAY
    BgNVBAMMEWxpZmVzaXplY2xvdWQuY29tMS0wKwYJKoZIhvcNAQkBFh5wcm9kdWN0
    bWFuYWdlbWVudEBsaWZlc2l6ZS5jb20wggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAw
    ggEKAoIBAQDN6r/qWOveMypCpRBksGEVkLAeDcC08lQ0yxB3s3hEmAU6I7ZCr6JU
    sS1ldHXRR7ZJhKk148LOa0p5/3kbyD5p4rpG03LEVPNi43P8SA6Uct7OEu3to/aV
    jQlkLyXw9f2bX5BhdqGV7ftr8n1O9GMZAUwjd7LfrEvGrOM8R/IH60/L1SMpCyx2
    yIJ4vQ80gSonPYXvc7AnmnFjGLkYSOzBfETpxzGkgr9jqotADRjF6oEerxBhKcjQ
    VHIjQvW1Dt4jEQT1ndOzLt0Kw/MzrbxkokQ2JhGuGUWX1o/OPDrQ5nflYN9rhJgO
    SiTsB1e4T9loeZTUjDPi3y2dVWDZXM8tAgMBAAGjUDBOMB0GA1UdDgQWBBSe51Gq
    i8w/xJp/QMlTiHlY/hqwXzAfBgNVHSMEGDAWgBSe51Gqi8w/xJp/QMlTiHlY/hqw
    XzAMBgNVHRMEBTADAQH/MA0GCSqGSIb3DQEBBQUAA4IBAQB6O0X7VS9dFaDQI30N
    Mgabvc3RRkn0QiIC42uX3NB9Lt75k/KWK5keOlTci339qZHatEii6ZkGp9eLrW/9
    7sCitBrM7RXRpYf7IVGTRLb6NYrKitM5wAxpFwj18/2DZi4ugg3DaFCAUz7jMi1L
    UMeu/X59ilFn5sx7wz+J/VJAHF2W17vdpBY6qXXAdv9BwO5ii4g5W0gWAcVQKL8k
    7kz7ZEx+Fpn3HT3vB09ZWrtIZlFttc/+B7C9kAvR69H73Exg1wHAuFfXeIwC3zTs
    sV7JXD2YJOCmC9Tp8mpXEAN9nEMFKBBmVVUCHQIn0tkt+LzJjFq0AkCNg542kTWg
    vWjt
    -----END CERTIFICATE-----

  11. Dans AD FS > Configurer le certificat, utilisez le bouton Parcourir pour rechercher le certificat et le charger, puis cliquez sur Suivant.
  12. Dans Configurer l'URL, sélectionnez Activer la prise en charge du protocole WebSSO SAML 2.0 et saisissez l'URL suivante :

    https://login.lifesizecloud.com/ls/?acs

  13. Dans Configurer les identifiants, saisissez cette URL dans l'identificateur d’approbation des parties de confiance, en vous assurant d'inclure la barre oblique finale ( / ) :

    https://login.lifesizecloud.com/ls/metadata/

  14. Cliquez sur Ajouter pour déplacer l'identifiant dans la liste d'affichage, puis cliquez sur Suivant.
  15. Dans Choisir les règles d'autorisation d'émission, sélectionnez Autoriser l'accès de tous les utilisateurs à cette partie de confiance, puis cliquez sur Suivant.
  16. Dans Prêt pour l'ajout d'une partie de confiance, passez en revue les paramètres puis cliquez sur Suivant pour ajouter la partie à la base de données de configuration AD FS.

Vous avez créé et défini une partie de confiance. Ensuite, créez une règle de revendication déterminant comment cette partie de confiance communique avec Active Directory.

 

Ajouter une règle de revendication

  1. Si la fenêtre Modifier les règles de revendication n'est pas ouverte, faites un clic droit sur la partie de confiance que vous avez créée (Relations de confiance > Approbations de la partie de confiance) et sélectionnez Modifier les règles de revendication.
  2. Sélectionnez l'onglet Règles de transformation d'émission, puis cliquez sur Ajouter une règle.
  3. Dans Sélectionner un modèle de règle, choisissez Envoyer les attributs LDAP en tant que revendications dans le menu déroulant du modèle de règle de revendication, puis cliquez sur Suivant.
  4. Dans Configurer la règle, nommez cette règle de revendication en lui donnant un nom qui décrit son objectif, par exemple Obtenir les attributs de courrier électronique à partir d'AD.
  5. Sélectionnez Active Directory dans le menu déroulant du magasin d'attributs.
  6. Faites correspondre vos attributs LDAP locaux aux valeurs Types de revendications sortantes correspondantes. Les noms ou énoncés d'attributs (prénomnom, adresse électronique) doivent correspondre à ceux de Lifesize Cloud.
  7. Cliquez sur Terminer.
  8. Dans Modifier les règles de revendication, sélectionnez l'onglet Règles de transformation d'émission, puis cliquez sur Ajouter une règle.
  9. Dans Sélectionner un modèle de règle, choisissez Envoyer les revendications en utilisant une règle personnalisée, puis cliquez sur Suivant.
  10. Attribuez un nom, puis saisissez la définition suivante dans le champ Règle personnalisée :

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]
    => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier",
    Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType,
    Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"]
    = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"]
    = "https://login.lifesizecloud.com/ls/metadata/");

  11. Cliquez sur Terminer, puis sur OK ou sur Appliquer pour enregistrer la règle.
  12. Dans la fenêtre AD FS principale, sélectionnez Approbations de la partie de confiance dans la navigation de gauche.
  13. Faites un clic droit sur l'approbation de la partie de confiance que vous venez d'ajouter et sélectionnez Propriétés.
  14. Sélectionnez l'onglet Signature, puis cliquez sur Ajouter.
  15. Recherchez le fichier de certificat lifesize.crt enregistré précédemment et chargez-le dans AD FS.
  16. Sélectionnez l'onglet Avancé et configurez l'option Algorithme de hachage sécurisé sur SHA-1.
  17. Cliquez sur OK une fois cette opération terminée.

Configurer, tester et activer SSO dans l'application Lifesize

La configuration d'ADFS sur votre serveur Windows crée automatiquement un fichier de métadonnées XML dans :

https://Votre_Nom_De_Domaine/FederationMetadata/2007-06/FederationMetadata.xml

Ces métadonnées sont échangées entre AD FS et l'application Lifesize lorsqu'un utilisateur est authentifié, pour servir de base à une approbation de confiance.

Tout d'abord, recherchez le fichier FederationMetadata.xml sur votre serveur Windows. Ouvrez-le avec un éditeur de texte standard.

  1. Connectez-vous à la console d’administration Lifesize.
  2. Cliquez sur votre nom de profil et choisissez Paramètres avancés.
  3. Accédez à Intégration SSO > Configuration SSO et remplissez ces champs en utilisant le contenu de votre fichier de métadonnées AD FS :
    • Fournisseur d’identité (émetteur) : copiez l'attribut <entityID> de votre fichier de métadonnées et collez l'URL dans ce champ.
      Par exemple, si votre attribut <entityID> ressemble à :

      <EntityDescriptor
      xmlns="urn:oasis:names:tc:SAML:2.0:metadata"
      entityID="http://votre_domaine/adfs/services/
      trust" ID="_ad6616ef-6c0d-4866-b8ed-4d2c24e98e91">

      Votre entrée pour ce champ est la suivante :

      http://votre_domaine/adfs/services/trust

    • URL de connexion : copiez l'attribut <SingleSignOnService Location> dans votre fichier de métadonnées et copiez l'URL dans ce champ.
      Par exemple, si votre attribut <SingleSignOnService Location> ressemble à :

      <SingleSignOnService Location="https://votre_domaine/adfs/ls/"
      Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect"/>

      Votre entrée pour ce champ est la suivante :

      https://votre_domaine/adfs/ls

    • Certificat : copiez l'attribut du certificat de sécurité X.509 au sein de la définition Signature de votre fichier de métadonnées, puis collez-le dans ce champ.

    REMARQUE : n'utilisez pas le certificat contenu dans la définition <KeyDescriptor>.

  4.  Dans Mappage d'attribut SAML, saisissez les valeurs de l'URI de votre fichier de métadonnées pour les attributs de mappage suivants :
    • Prénom : si votre fichier de métadonnées contient un type de revendication décrivant le prénom comme ceci :

      <auth:ClaimType xmlns:auth="http://docs.oasisopen.org/wsfed/authorization/200706"
      Optional="true" Uri="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname">
      <auth:DisplayName>Prénom</auth:DisplayName> <auth:Description>Prénom de l'utilisateur</auth:Description></auth:ClaimType>

      Votre entrée dans le champ Prénom est la suivante :

      http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname

    • Nom : utilisez la même méthode pour l'attribut du nom. Dans cet exemple, votre entrée est la suivante :

      http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname

    • E-mail : utilisez la même méthode pour l'attribut de l'adresse électronique. Dans cet exemple, votre entrée est la suivante :

      http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

  5. Cliquez sur Test pour valider vos paramètres sur le serveur du fournisseur d'identité AD FS.
  6. Après avoir testé votre configuration, sélectionnez Activer SSO, puis cliquez sur Mettre à jour.
  7. Cliquez sur Enregistrer.