1. Pour activer la connexion SAML , une nouvelle application doit d'abord être créée sur le cloud Entra par le client, conformément à ses instructions . Le client vous a fourni l'URL des métadonnées de fédération d'applications d' Entra .

2. La tâche de Pro pour l'authentification doit être configurée dans la plate-forme Efecte Service Management, avant de configurer le composant Efecte Secure Access .

Comment configurer la tâche de provisionnement pour l'authentification ?

3. Vérifiez que la configuration est correctement enregistrée dans Efecte Secure Access (avec les mêmes informations que celles définies dans la configuration de la tâche de provisionnement). Connectez-vous avec l'administrateur ESA (main.admin) à l'URL domain.com/auth/admin.

Sélectionnez le royaume correct dans le coin supérieur

Sélectionnez Fournisseurs d'identité dans le menu

4. Dans la liste, la même tâche de provisionnement pour l'authentification, qui a été créée sur la plate-forme Efecte Service Management, doit être affichée.

5. Copiez à partir de l'écran de configuration ESA une URL répertoriée comme URI de redirection et fournissez-la au client (nécessaire dans Entra comme URI de redirection).

6. N'oubliez pas de vérifier le paramètre « Décalage d'horloge autorisé » et de le définir par exemple sur 3 ou 5 secondes. La valeur par défaut est « 0 » (ce qui signifie que toute incompatibilité entre l'horloge interne de ESA et l'horloge Pro un fournisseur d'identité provoquera l'erreur : « Assertion expirée ».

7. Une fois la configuration ci-dessus terminée, une nouvelle option de connexion apparaît sur la page de connexion ESA

8. Ajoutez les certificats https liés à Entra ID au composant Secure Access

Ceux-ci sont nécessaires pour établir une connexion sécurisée entre les systèmes Entra ID et Secure Access .

Suivez les uid du chapitre « Ajouter des certificats Microsoft à Secure Access » : https://docs.efecte.com/configure-authentication/download-and-install-certificates-to-secure-access-esa

1. Afin d'activer la connexion basée sur SAML le client doit configurer AD avec ces instructions .
   
   
2. La tâche de Pro pour l'authentification doit être configurée dans la plate-forme Efecte Service Management, avant de configurer le composant Efecte Secure Access .
   • Comment configurer la tâche de provisionnement pour l'authentification ?
     
     

Vérifiez que la configuration est correctement stockée dans Efecte Secure Access (avec les mêmes informations que celles définies dans la configuration de la tâche de provisionnement). Connectez-vous avec l'administrateur ESA (main.admin) à l'URL domain.com/auth/admin.

1. Sélectionnez le royaume correct dans le coin supérieur
   
   
   
2. Sélectionnez Fournisseurs d'identité dans le menu
   
   
3. Dans la liste, la même tâche de provisionnement pour l'authentification, qui a été créée sur la plate-forme Efecte Service Management, doit être affichée.
   
   
4. Vérifiez que la configuration est correctement transférée de la plateforme Efecte Service Management vers le composant Efecte Secure Access .
   
   
5. Ajoutez et activez les paramètres suivants, si nécessaire :
   • Déconnexion de Backchannel
     • La déconnexion du canal arrière est un mécanisme conçu pour garantir que lorsqu'un utilisateur se déconnecte d'un fournisseur d'identité (IdP/ ESA ), il est également déconnecté de toutes les parties de confiance (RP) ou applications associées.
     • Si « Souhaiter que les demandes d'authentification soient signées » est activé dans AD FS, la déconnexion du canal arrière est obligatoire.
   • Réponse de liaison HTTP-POST
   • Liaison HTTP-POST pour AuthnRequest
   • Valider la signature
     
     
6. Si les demandes d'authentification envoyées à l'instance AD FS doivent être signées, activez l'option « Demandes d'authentification signées ». Le champ « Nom de la clé de signature SAML s'affiche.
   
   
7. Définissez l'option du champ « Nom de la clé de signature SAML sur CERT_SUBJECT. AD FS s'attend à ce que l'indication du nom de la clé de signature soit l'objet du certificat de signature.
   
   
8. Si AD FS est configuré pour répondre avec un ID de nom au format Nom qualifié de domaine Windows, définissez le champ Format de stratégie NameID en conséquence.
   

Si, par hasard, après avoir utilisé le nouveau bouton pour vous connecter à Entra , l'écran ci-dessous est visible à l'écran, cela signifie que ESA a besoin d'une configuration supplémentaire.

Pour transférer l'utilisateur d' ESA vers d'autres systèmes (ESM, ESS, IGA ), ESA doit connaître le contexte de l'utilisateur. À cette fin, ESA stocke des métadonnées décrivant chaque utilisateur ayant tenté de se connecter.

L'écran ci-dessus s'affiche car ESA n'est pas en mesure de récupérer toutes les données nécessaires auprès du Pro d'identité ( Entra ) et demande à l'utilisateur de saisir manuellement toutes les données requises.

Nous pouvons surmonter cela et préparer une automatisation qui mappera automatiquement les attributs avec les données provenant d' Entra , aux attributs requis par l'utilisateur ESA .

1. Connectez-vous avec l'administrateur ESA (main.admin) à l'URL domain.com/auth
   
   
2. Sélectionnez le royaume correct dans le menu du coin supérieur
   
   
3. Ouvrez les paramètres Pro fournisseur d'identité à partir du panneau latéral gauche
   
    
4. Accédez à la section Mappers. Voici un exemple de définition.
   
   

• Pour le courrier électronique, utilisez le type de mappeur Attribute Importer.
  Mappez l'attribut utilisateur email à http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
  
• Pour le nom d'utilisateur, utilisez le type de mappeur Username Attribute Importer.
  Mappez l'attribut de nom d'utilisateur username à http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name
  
• Pour le nom de famille, utilisez le type de mappeur Attribute Importer.
  Mappez l'attribut utilisateur lastName à http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
  
• Pour le prénom, utilisez le type de mappeur Attribute Importer.

Mappez l'attribut utilisateur firstName à http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname

Si un mappeur de groupe est nécessaire, ajoutez un mappeur de groupes dans les paramètres des fournisseurs d'identité.
Mappez les groupes d'attributs utilisateur sur http://schemas.xmlsoap.org/ws/200 8/06/identity/claims/groups

Après ces étapes :

• Assurez-vous qu'une carte de données personnelle est créée dans ESM.
• Assurez- uid que Person a la bonne valeur dans servlet.auth.person.uid.attribute.code - il sera utilisé plus tard, comme nom de connexion.

Une fois les étapes ci-dessus terminées, pendant le processus de connexion, ESM créera l'objet utilisateur manquant, le liera à la personne déjà existante et passera à la page de démarrage d'ITSM pour le rôle donné.

REMARQUE ! Si vous n'avez aucune raison d'enregistrer les utilisateurs dans ESA , vous pouvez sélectionner « Ne pas enregistrer les utilisateurs dans le fournisseur d'identité ». Cela signifie que les utilisateurs ne sont pas enregistrés dans ESA . Si les données utilisateur contiennent des informations sensibles, celles-ci peuvent être utilisées, par exemple le numéro de sécurité sociale. Notez qu'après cela, vous ne pourrez plus voir l'utilisateur dans ESA ; les mappeurs fonctionneront normalement. Par défaut, les utilisateurs sont enregistrés dans ESA .

Il y a deux options :

1. Installez le décodeur de messages SAML dans votre navigateur. Les décodeurs SAML sont disponibles sous forme d'extensions de navigateur (par exemple, SAML Tracer pour Firefox, SAML Chrome Panel pour Google Chrome).
   
   OU
2. Définir le journal ESA au niveau DEBUG
   
   
   1. À l'intérieur du conteneur ESA , modifiez ce fichier :
      /etc/containerpilot/jobs/esa/start_primary
      
      changer de ceci :
      --log-level=INFO
      
      à ceci:
      --log-level=DÉBOGAGE
      
      
   2. ensuite, tuez le processus Java :
      $ pkill java
      
      
   3. pour annuler les modifications, remettez « --log-level » en INFO, puis arrêtez le processus Java ($ pkill java)
      
      REMARQUE ! Si le conteneur ESA est redémarré, toutes les modifications seront annulées ; dans ce cas, le niveau de débogage reviendra à INFO)
      
      

Le journal ESA peut être trouvé à partir de l'interface utilisateur ESM.

1. Connectez-vous à Efecte en tant qu'utilisateur de niveau root
2. Sélectionnez le module IGA
3. Sélectionnez la configuration EPE/ ESA
4. Sélectionnez les journaux ESA et keycloak .log
   

Si le client souhaite rediriger les utilisateurs vers le fournisseur SSO (pas besoin de voir d'abord la page de connexion Secure Access ), effectuez la configuration suivante dans Secure Access .

1. Sélectionnez le royaume correct dans le menu déroulant en haut à gauche

2. Ouvrez l'authentification depuis le panneau latéral gauche

3. Dans le navigateur (intégré), sélectionnez le bouton à 3 points à gauche et sélectionnez Dupliquer

4. Donnez-lui un nom et une description, puis cliquez sur Dupliquer

Remarque ! Si vous ne créez pas de doublon et modifiez plutôt le flux de navigation intégré, la prochaine mise à niveau d' ESA Keycloak pourrait annuler vos modifications.

5. Définissez le redirecteur Pro d'identité sur « Alternatif »

REMARQUE ! Si le redirecteur du fournisseur Pro identité est absent des étapes du navigateur, vous pouvez l'ajouter ici :

4. Configurez le fournisseur d'identité par défaut à l'aide du bouton de configuration. Alias = Nom de la configuration. Pro d'identité par défaut = Pour rediriger automatiquement vers un fournisseur d'identité défini sur l'alias du fournisseur d'identité.

Vérifiez l'alias de votre fournisseur d'identité que vous avez effectué pour SAML dans les étapes précédentes de ce uid .

Configurez cet alias sur l'attribut Fournisseur Pro identité par défaut en sélectionnant la roue et en lui donnant un nouveau nom d'alias, puis définissez votre alias de fournisseur d'identité sur l'attribut Fournisseur Pro identité par défaut. Exigence : Alternative.

5. Modifiez les paramètres d'invite du Pro d'identité dans la section « Avancé » si nécessaire. Consultez la valeur correcte auprès du client, selon ses préférences en matière de connexion automatique.

• Indéterminé
  Cette option laisse la tâche de décision à Entra ID
• Aucun
  Cette option effectue toujours la connexion Entra ID , aucune possibilité d'utiliser les informations d' Entra ID manuellement
• Consentement
  Généralement non utilisé. R exige que l'utilisateur donne son consentement aux autorisations demandées. Si l'utilisateur a déjà donné son consentement, aucune interaction n'aura lieu. En revanche, s'il n'a pas encore donné son consentement, le système affichera un écran de consentement indiquant les autorisations demandées par l'application.
• Se connecter
  Par défaut. Force l'utilisateur à se connecter, même s'il est déjà authentifié. Cela garantit que l'utilisateur est ré-authentifié et qu'une nouvelle session est établie.
• Sélectionner_Compte
  L'utilisateur peut choisir le compte à partir des sessions à l'intérieur du navigateur (aucune connexion requise)
  

6. Vérifiez les flux ESA : Authentification -> Flux. Si la connexion effective est utilisée par le flux du navigateur ou si le navigateur intégré est utilisé par le flux du navigateur, remplacez votre nouveau flux par Flux du navigateur à l'étape 6.1.

6.1 Sélectionnez votre nouveau flux (dans ce cas nommé M42 browser SSO) et trois points et liez le flux

6.2 Sélectionnez le navigateur et enregistrez les modifications

7. Configurer les URL de déconnexion du portail et de l'ESM

Si vous ne les configurez pas correctement, après la déconnexion, Secure Access tentera de reconnecter automatiquement l'utilisateur à Matrix42 Core , Pro and IGA (l'utilisateur peut se retrouver dans une boucle de déconnexion-connexion. L'URL de déconnexion peut être par exemple l'adresse intranet du client ou la page que le client souhaite utiliser.

Le paramètre d'URL de déconnexion ESM se trouve sous Maintenance / Paramètres système / Modifier les paramètres de la plateforme

Paramètre : sessionterminator.redirecturl

Le format de configuration est <your matrix42 system url>/Shibboleth.sso/Logout?return=https://companyintranet.companyexample.com

à partir de la capture d'écran, indiquez l'adresse de votre page de déconnexion après ?return=

Le paramètre d'URL de déconnexion du portail (ssc) est sur ssc admin <your matrix42 system url>/ssc/admin sous Paramètres / Général

Paramètre : page de déconnexion

La page de déconnexion du portail est par locataire, donc chaque locataire peut avoir sa propre page de déconnexion si nécessaire.

8. Testez la connexion automatique et testez également la déconnexion