L’objectif de cet article est d’expliquer la solution HEFLO et l’intégration de l’authentification avec les fournisseurs d’identité utilisant le protocole SAML (SAML 2.0). Cet article passe en revue l’ensemble de l’architecture d’intégration SAML, explique en détail comment configurer le fournisseur de services (HEFLO) pour SAML et montre un exemple de configuration du fournisseur d’identité (ADFS).
Architecture d’intégration
** Après la réponse SAML, HEFLO crée les données de l’utilisateur local s’il s’agit de la première procédure d’authentification, s’il s’agit d’un utilisateur existant basé sur les informations d’utilisateurs, il attribue les autorisations OAuth appropriées.
Configuration du fournisseur de services (HEFLO)
Pour configurer HEFLO en tant que fournisseur de services pour l’intégration SSO, vous devez renseigner les adresses SSO à l’adresse suivante : https://app.heflo.com/Auth/Manage.
Cliquez sur « Configurer SSO » et remplissez le champ « Adresse » avec les informations SAML :
Configuration du fournisseur d’identité
Une fois la configuration du fournisseur de services sur HEFLO terminée, il faut également configurer les fournisseurs d’identité.
Cet article présente l’URL du fournisseur de services et les champs que notre intégration doit recevoir comme revendications sur l’intégration SAML, puis présente des exemples de configuration de ces revendications dans certains fournisseurs d’identité.
| Région | URL |
| Irlande | https://eu-west-1-prod-auth.heflo.com/Saml2 |
| São Paulo | https://sa-east-1-prod-auth.heflo.com/Saml2 |
Tableau 1 : Liste des URL SAML HEFLO par région du service
L’URL du service est utilisée dans la configuration du fournisseur d’identité, l’URL ci-dessus fournit les métadonnées SAML2 pour configurer l’intégration.
Pour effectuer l’intégration, vous devez au moins renvoyer le champ de courrier électronique qui sera demandé et l’identifiant de l’utilisateur.
| Nom de domaine | Obligatoire | Plusieurs | Prétendre ARN |
| Nom identifiant | Oui | Non | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier |
| Prénom | Non * | Non | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name |
| Nom | Non * | Non | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname |
| Rôle | Non | Oui | http://schemas.microsoft.com/ws/2008/06/identity/claims/role |
| Oui | Non | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress |
Tableau 2 : Liste des champs utilisés sur l’intégration SSO. ( * au moins un des champs de nom est obligatoire)
Active Directory Federation Services (ADFS)
Les services ADFS (Active Directory Federation Services) constituent un formulaire facile à intégrer à la mise en œuvre LDAP Active Directory, offrant une intégration Web SSO à l’aide de SAML 2.0.
Cet article n’explique pas comment configurer Active Directory ni même comment installer le service ADFS. Cet article explique comment configurer les autorisations et l’ajout de la partie de confiance pour HEFLO (en tant que fournisseur de services).
Tout d’abord, sur le panneau de configuration ADFS, accédez à l’écran « Relying Party Trusts » :
Sur l’écran « Relying Party Trusts », cliquez sur « Add Relying Party Trust… » et sélectionnez l’option « Claims aware » :
À l’étape suivante, indiquez l’adresse des métadonnées de fédération (avec l’adresse HEFLO appropriée présentée dans le tableau 1) pour importer automatiquement la configuration du fournisseur de services :
Après avoir confirmé la source de données, entrez un nom d’affichage pour la connexion à l’étape suivante et passez à l’étape suivante. Ensuite, il est possible de configurer la stratégie de contrôle d’accès pour cette intégration. Cet article abordera seulement deux configurations simples, la première où l’intégration permet à tout le monde d’utiliser et donc de se connecter au fournisseur de services, et la seconde où seul un groupe spécifique est autorisé.
Pour autoriser tout le monde à utiliser cette intégration, sélectionnez simplement la première option « Autoriser tout le monde » (Permit everyone) et passez à l’étape suivante.
Afin de restreindre l’accès à un groupe spécifique, faites défiler barre de défilement de la stratégie de contrôle d’accès, sélectionnez l’option « Autoriser un groupe spécifique », puis sélectionnez le groupe dans l’écran « Stratégie » (Policy) :
L’étape suivante consiste simplement à valider les paramètres avec une vue d’ensemble. Ensuite il faut confirmer la configuration de l’intégration :
Après cette étape, le mappage des revendications doit être configuré, où la configuration minimale pour la revendication obligatoire de « Nom identifiant » sera démontrée.
Tout d’abord, nous ajoutons une règle de revendication de transformation pour le « Nom identifiant » :
Nous devons configurer le type entrant en tant qu’adresse e-mail et le type de réclamation sortant en nom id. Le format de la réclamation doit être E-mail.
Important : L’utilisateur doit avoir un courrier électronique enregistré pour pouvoir se connecter à l’outil.
Pour mapper les revendications telles que l’adresse e-mail, il est possible d’utiliser le mappage de revendication simple « Envoyer les attributs LDAP en tant que revendications » avec la configuration suivante :
Après avoir validé toutes les données, la configuration est terminée et la connexion unique peut être réalisée via l’URL précédemment configurée sur HEFLO, dans cet exemple : https://mycompany.heflo.com.