Authentification unique avec ADFS

AFFICHER TOUT LE CONTENU

Table des matières

Introduction

Octopus peut se connecter à votre système d'authentification centralisée (Single Sign-On) pour faciliter l'accès à l'application.
(Noter que ce mode d'authentification n'est disponible que pour les clients hébergés)

L'authentification unique fonctionne avec :

  • Le portail Web destiné aux utilisateurs
  • L'application destinée aux intervenants
ATTENTION :

Avant de considérer cette solution, il faut s'assurer d'avoir des ressources disponibles avec l'expertise pour mettre en place et supporter cette solution. Car, l'expertise requise pour cette solution n'est pas dans le mandat d'Octopus. Nous nous limitons à activer l'option sur notre serveur. 

Préalables

Pour effectuer la mise en place de l'authentification intégrée, vous devrez au préalable avoir une infrastructure de fédération répondant aux exigences suivantes :

  • La mise en place d’Active Directory Federation Services 3.0 sans certificat d'encryptions 
  • Activer OauthClient sur le serveur ADFS.
  • Notez qu'Octopus n'offre pas de service de metadata. Vous devez configurer manuellement ADFS. 

  • Créer un Relying Party pour chacune des adresses suivantes:
     
    • https://app.octopus-itsm.com
    • https://app1.octopus-itsm.com
    • https://app3.octopus-itsm.com
    • https://app4.octopus-itsm.com
    • https://NomDeVotreBD.octopus-itsm.com  ** il faut créer un Relying Party pour chacune de vos bases de données **
       
  • Il est important de ne pas ajouter de endpoints additionnels pour chaque Relying Party.
  • Activer uniquement le support pour le protocole WS-Federation Passive, en fournissant l'URL spécifié plus haut.
  • Créer une règle personnalisée pour les claim : name, emailaddress, givenname, surname, selon la configuration suivante: 
c:[

  Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname",

  Issuer == "AD AUTHORITY"

  ]

=> issue(

  store = "Active Directory",

  types = (

    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name",

    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress",

    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname",

    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname"

    ),

  query = ";sAMAccountName,mail,givenName,sn;{0}",

  param = c.Value

);
  • La mise en place d'un serveur mandataire (proxy) de votre fédération, visible sur le Web
  • Un certificat SSL reconnu par toutes les machines voulant en bénéficier
  • L’ajout du service de fédération à la zone Intranet à toutes les machines voulant en bénéficier
  • La mise en place d'un processus visant à gérer activement le renouvellement du certificat de signature, soit en désactivant le renouvellement automatique, ou en intervenant avant le renouvellement

Les possibilités de configuration d'Active Directory étant infinies, Octopus ne peut s’engager à offrir du soutien pour la mise en œuvre de ces exigences; vous devez vous assurer d’avoir à l’interne une ressource ayant les connaissances techniques nécessaires.

En parallelle à votre mise en place ADFS, vous devrez vous assurer que les noms d'utilisateurs dans Octopus correspondent à des noms d'usagers existants dans votre ADFS.

Tâches planifiées et outils d'intégration

Une considération particulière doit être donnée aux comptes exécutant les outils d'administration, détaillée ici:

  • Les outils d'intégration (MailIntegration, ADSI, etc.) vont présenter au serveur ADFS la même identité que celle utilisée pour lancer la tâche planifiée. Vous devez donc vous assurer que les tâches planifiées dans Windows correspondent à des comptes valides dans ADFS.
  • Le serveur ADFS va ensuite présenter à Octopus cette même identité, c'est donc celle-ci qui doit au minimum correspondre à un utilisateur Octopus ayant une licence de traitement par lot et un rôle associé.
  • Lors de la mise en production d'ADFS, les commutateurs /Login et /Password seront donc superflues, nous vous recommandons de les retirer.  Le commutateur /Team doit cependant demeurer.

 

Mise en production

Une fois votre infrastructure ADFS en place, vous devrez nous communiquer les informations suivantes pour que nous puissions planifier la mise en production:

  • L’adresse complète de votre serveur mandataire publié sur Internet (par exemple: https://adfs.octopus-itsm.com).
  • L’empreinte numérique (thumbprint) du certificat SSL utilisé pour la signature des jetons de sécurité (token-signing). Par exemple: 12 d4 87 2b c3 ef 01 9e 7e 0b 6f 13 24 80 ae 29 db 5b 1c a3).
  • Le contenu complet du certificat SSL utilisé pour la signature des jetons de sécurité (token-signing) en format base 64 (voir procédure plus bas).
  • Les fonctionnalités qui devront utiliser l'authentification intégrée:
    • Le portail Web destiné aux utilisateurs.

    • L'application destinée aux intervenants (WinUI/WebTech).

    • Les deux.

Questions fréquentes relatives à la mise en place ADFS

Comment fonctionne Octopus avec ADFS ?

Lorsque le mode ADFS est en place, Octopus n'est plus responsable d'authentifier les usagers.  Lorsqu'un utilisateur tente de se connecter, le serveur Octopus va redirigé la requête d'authentification vers votre serveur ADFS, et attendre que votre ADFS lui fournisse un jeton de session (session token).  Le système de l'utilisateur va ensuite utiliser le jeton de session pour s'identifier automatiquement auprès d'Octopus.

Si mon service ADFS n’est pas disponible, comment puis-je me connecter à Octopus ?

En cas de panne ADFS, Octopus ne possède pas l'expertise nécessaire pour offrir le support pour le dépannage. L'équipe du soutien Octopus pourra suspendre la fonction ADFS et permettre aux utilisateurs de se connecter au système en utilisant leurs anciens mots de passe.  Au besoin, nous allons aussi modifier le mot de passe d'un des intervenants pour permettre l'accès.

Puis-je utiliser un certificat SSL auto-signé (self-signed) pour mettre en place ADFS ?

Oui, mais vous aurez à vous assurer que le certificat soit distribué adéquatement dans votre parc informatique.  Autrement, l’expérience des utilisateurs pourrais être affectée – chacun d’eux devra accepter le certificat comme étant digne de confiance.

Comment puis-je extraire l’empreinte de mon certificat ?

À partir du gestionnaire de service ADFS, sélectionner le certificat associé à la signature des jetons de sécurité (token-signing), aller dans la boîte de dialogue des propriétés, sélectionner l’onglet détails, puis sélectionner le champ "Thumbprint".

Comment puis-je exporter mon certificat ?

À partir du gestionnaire de service ADFS, sélectionner le certificat associé à la signature des jetons de sécurité (token-signing), aller dans la boîte de dialogue des propriétés, sélectionner l’onglet détails, puis appuyer sur le bouton « Copier dans un fichier » et suivre les étapes. Au moment de choisir le format, choisir le format Base-64.

Comment puis-je activer OauthClient ?

À partir d’une invite de commande « Powershell », taper la commande suivante en remplaçant "monsite" par le nom de votre site : 

Add-AdfsClient -Name "octopus-itsm.com" -ClientId "octopus-itsm.com" -RedirectUri @("https://monsite.octopus-itsm.com/", "https://monsite.octopus-itsm.com/octopus/", "https://app.octopus-itsm.com/monsite/", "https://app.octopus-itsm.com/monsite/octopus/", "https://app1.octopus-itsm.com/monsite/", "https://app1.octopus-itsm.com/monsite/octopus/", "https://app2.octopus-itsm.com/monsite/", "https://app2.octopus-itsm.com/monsite/octopus/", "https://app3.octopus-itsm.com/monsite/", "https://app3.octopus-itsm.com/monsite/octopus/" )

Enable-AdfsEndpoint -TargetAddress "/adfs/oauth2/"
  • Votre nom de site doit être complètement en minuscule.
  • Il faut inclure la barre oblique (slash) final dans toutes les RedirectURI

 

Octopus peut-il fonctionner avec d’autres fournisseurs d'authentification supportant la norme WS-Federation ?

Bien que théoriquement d’autres fournisseurs conformes à la norme pourraient fonctionner, aucun d’entre eux n’a été testé. Actuellement, la combinaison de produit testée et fonctionnelle est de faire fonctionner Octopus avec un ADFS 2.0 derrière un ADFS 2.0 Proxy.

Si vous hébergez un système différent conforme, mais non supporté, vous pouvez tout de même tenter de faire fonctionner l’authentification unique en nous fournissant les informations requises citées plus haut.

Comment faire fonctionner l'authentification automatique pour Chrome et Firefox?

Par défaut, ADFS 3.0 ne permet pas l'authentification automatique kerberos/NTLM pour certains browsers. Ceci fait que même si l'utilisateur est à l'interne il est redirigé à la page de connexion ADFS plutôt que de profiter de l'authentification automatique.

Voici quelques liens utiles pour comprendre et résoudre ce problème: 

- ADFS v3 on Server 2012 R2 – Allow Chrome to automatically sign-in internally
- Configuring intranet forms-based authentication for devices that do not support WIA 

Comment puis-je dépanner l’authentification unique lorsque celle-ci ne fonctionne pas ?

De la même manière que la plupart des autres services sécurisés que vous offrez sur Internet :

  • Du point de vue global, assurez-vous que le nom DNS résolve correctement votre serveur mandataire
  • Assurez-vous que votre pare-feu autorise les communications sécurisées vers votre serveur mandataire
  • Assurez-vous que votre serveur mandataire reçoive bien les tentatives de connexion provenant de vos clients
  • Assurez-vous que le service ADFS fonctionne correctement sur votre serveur mandataire

Mon équipe n’a pas d’expertise pour déployer le service de fédération, pouvez-vous nous proposer un fournisseur pouvant nous accompagner dans la démarche ?

Malheureusement, Octopus n’est pas actuellement en mesure de recommander un fournisseur de service en particulier.

X
Aidez-nous à améliorer l’article








Aidez-nous à améliorer l’article