Notes sur la configuration de l'authentification unique SAML

Cette rubrique présente des notes consécutives à nos tests de l'authentification unique basée sur SAML avec les différents fournisseurs d’identité pris en charge. Ces notes peuvent vous être utiles pour savoir comment configurer et tester votre implémentation.

Remarque : Votre organisation a peut-être des exigences supplémentaires pour les fournisseurs d’identité par rapport à la configuration MOVEit requise. Nous ne pouvons donc pas indiquer la procédure étape par étape complète pour configurer chaque fournisseur d’identité. Reportez-vous à la documentation de votre fournisseur d’identité pour obtenir des informations de configuration détaillées.

Consultez la page Authentification d’utilisateur - Authentification unique pour obtenir des informations sur les paramètres MOVEit requis pour prendre en charge l'authentification unique SAML.

Remarque : Pour utiliser des certificats client, vous devez configurer leur prise en charge par le fournisseur d’identité. Le processus d'authentification unique SAML dans MOVEit Transfer ne prend pas en charge les certificats client. Dans MOVEit Transfer, dans le profil utilisateur des utilisateurs SAML, l’option SSL Client Certificate Required (Certificat client SSL requis) doit être définie sur No (Non).

Notes sur ADFS (Active Directory Federated Services)

Ces notes sont consécutives à nos tests de configuration avec le fournisseur d’identité ADFS. Dans ces notes, il est supposé qu’ADFS est connecté à un serveur Active Directory.

À partir de Windows Server 2012, Microsoft fait référence à ADFS comme Windows Server AD FS. Les deux abréviations s'étendent à Services de fédération Active Directory.

Notes relatives à l’installation/la configuration du fournisseur d’identité

• Vous avez besoin d’un serveur ADFS ayant accès à un système Active Directory existant (dans le même domaine réseau).
• Si vous prévoyez d’utiliser la liaison HTTP-Artifact, le serveur ADFS doit stocker ses informations de configuration et la base de données d’artefacts sur un serveur SQL Server. Un serveur ADFS peut être converti en serveur SQL Server.
• Une fois que le serveur ADFS est installé, ses interfaces Web (via IIS) doivent être sécurisées au moyen d’un certificat SSL. MOVEit Transfer utilise aussi un certificat SSL pour protéger son interface Web IIS. Pour prendre en charge les demandes directes entre les serveurs MOVEit Transfer et ADFS pour télécharger directement les fichiers de métadonnées, ainsi que les demandes de résolution d’artefact, chaque serveur doit être configuré pour approuver le certificat SSL de l’autre serveur. Pour cela, ajoutez la partie publique du certificat SSL de chaque serveur à la liste des certificats approuvés par une autorité de confiance sur l’ordinateur local.

Configuration du fournisseur de services

Configurez les paramètres MOVEit requis par ADFS.

• Certificats : les demandes et réponses SAML doivent généralement être signées. OASIS recommande également de renforcer la sécurité au moyen du cryptage. Pour assurer la prise en charge de la signature et du cryptage des messages SAML, créez un certificat de signature et un certificat de cryptage.
• Interface consommateur d’assertion : Par défaut, MOVEit Transfer active uniquement l’interface HTTP-Post pour la réception et la consommation des assertions SAML envoyées par le fournisseur d’identité. Si vous voulez utiliser l’interface HTTP-Artifact, vous devez l’activer et l’ajouter en haut de la liste des interfaces consommateur d’assertion.

Inscription de MOVEit en tant que fournisseur de services/tiers de confiance

Le fournisseur de services et le fournisseur d’identité SAML doivent être inscrits l’un auprès de l’autre pour pouvoir approuver les demandes et assertions transmises entre les deux serveurs. Cela s’effectue généralement en échangeant des fichiers de métadonnées, qui contiennent les descriptions XML des services, des points de terminaison et des certificats du serveur.

Inscrivez MOVEit en tant que tiers de confiance dans ADFS. Pour ajouter un tiers de confiance, vous pouvez utiliser la console de gestion ADFS. dans laquelle vous spécifiez l’URL du fichier de métadonnées (MOVEit) du fournisseur de services ou ajoutez directement une copie du fichier de métadonnées.

Définition des attributs utilisateur

Les attributs utilisateur sont définis à la fois dans la configuration du fournisseur d’identité et dans les paramètres MOVEit. Ces paramètres déterminent quelles informations utilisateur (comme le nom de compte, le nom commun, l’adresse e-mail) sont envoyées à MOVEit Transfer dans les assertions d’authentification.

Dans ADFS, vous devez définir les attributs utilisateur, ou « revendications », dans la boîte de dialogue Add Claim Rules (Ajouter des règles de revendication) de la console de gestion ADFS.

Les attributs suivants sont définis :

• Ajout d’une revendication d’ID de session temporaire : ces règles doivent être paramétrées comme indiqué ci-dessous.

  Dans l’onglet Issuance Transform Rules (Règles de transformation d’émission), cliquez sur le bouton Add Rule (Ajouter une règle).

  Sélectionnez Send Claims Using a Custom Rule (Envoyer des revendications à l’aide d’une règle personnalisée).

  Entrez un nom de règle (par exemple, « Créer un ID de session temporaire »).

  Entrez le texte de règle suivant :

  c1:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]

  && c2:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationinstant"]

  => add(store = "_OpaqueIdStore",

  types = ("http://example.com/transientsessionid"),

  query = "{0};{1};{2};{3};{4}",

  param = "useEntropy",

  param = c1.Value,

  param = c1.OriginalIssuer,

  param = "",

  param = c2.Value);

  Cliquez sur Finish (Terminer) pour ajouter la règle.

  Cliquez de nouveau sur le bouton Add Rule (Ajouter une règle).

  Sélectionnez Transform an Incoming Claim (Transformer une revendication entrante).

  Entrez un nom de règle (par exemple, « Envoyer un ID de session temporaire comme ID de nom »).

  Comme type de revendication entrante, entrez : http://example.com/transientsessionid

  Sélectionnez Name ID (ID de nom) comme type de revendication sortante.

  Sélectionnez Transient Identifier (Identificateur temporaire) comme format d’ID de nom sortant.

  Cliquez sur Finish (Terminer) pour ajouter la règle.

• Ajout d’attributs Active Directory en tant que revendications : vous pouvez choisir de fournir les attributs requis par votre organisation, en plus des attributs (revendications) suivants à utiliser dans MOVEit : Windows account name (Nom de compte Windows), Common name (Nom commun), Email address (Adresse de messagerie) et Group list (Liste des groupes).

Dans les paramètres de la connexion unique (MOVEit), sélectionnez Edit (Modifier) pour modifier le fournisseur d’identité et, dans User Settings (Paramètres utilisateur), définissez les paramètres suivants :

• Nom de connexion : Nom de compte Windows (seul paramètre obligatoire)
• Nom complet : Nom d’usage
• E-mail : Adresse e-mail

Définissez les autres paramètres de groupe ou d’utilisateur souhaités.

Inscrire ADFS en tant que fournisseur d’identité

MOVEit Transfer est maintenant inscrit auprès du serveur ADFS. Vous devez faire la même opération dans l’autre sens. Comme précédemment, vous pouvez télécharger les métadonnées du serveur ADFS (généralement stockées dans « <ADFS Server URL>/FederationMetadata/2007-06/FederationMetadata.xml »), ou fournir l’URL des métadonnées à MOVEit Transfer comme élément de configuration du fournisseur d’identité.

Tester l’authentification avec SAML

Pour tester la configuration, ouvrez une session MOVEit en tant qu’administrateur de l’organisation, puis copiez l’URL Direct User Signon Link (Lien de connexion de l’utilisateur direct) de la page Edit Federated Identity Provider Settings (Modifier les paramètres d’un fournisseur d’identité fédéré) pour le fournisseur d’identité configuré. Fermez la session MOVEit, puis collez cette URL dans la barre d’adresse de votre navigateur. S’il a été configuré correctement, le fournisseur d’identité vous authentifie, puis vous redirige vers la session MOVEit Transfer ouverte. (Selon la configuration choisie, le fournisseur d’identité peut vous demander vos informations d’identification.)

Remarque : L’invite de connexion n’est pas la page de connexion MOVEit. C’est celle du fournisseur d’identité (ADFS utilise une fenêtre de navigateur par défaut pour l’entrée des informations d’identification).

Pour connaître les problèmes de configuration les plus courants, reportez-vous à la page Résolution des problèmes de connexion unique.

Notes sur Shibboleth

Ces notes sont consécutives à nos tests de configuration avec le fournisseur d’identité Shibboleth. Dans ces notes, il est supposé que vous avez configuré Shibboleth en tant que référentiel d’utilisateurs ou que vous êtes connecté à un serveur Active Directory.

Notes relatives à l’installation/la configuration du fournisseur d’identité

• Testez le serveur Tomcat utilisé par Shibboleth pour vérifier qu’il accepte les connexions SSL\TLS et qu’il a accès au fournisseur d’identité Shibboleth. Pour tester le serveur Tomcat après avoir installé Shibboleth, ouvrez : C:\Program Files (x86)\Internet2\Shib2IdP\conf\ReadMe.html. Dans la section Étapes suivantes de ce document, vous trouverez plusieurs liens vers les tests réalisables.
• Vérifiez que le fournisseur d’identité peut accéder à LDAP à l’aide de TLS. LDAP doit être configuré pour accepter les connexions SSL\TLS. Pour vous assurer que c’est bien le cas, accédez à C:|Program Files (x86)\Internet2\CaptiveTomcat 6.0\conf, puis vérifiez ce paramètre dans attribute-resolver.xml : UseStartTLS doit être défini sur « false ». Dans le même répertoire, dans login.config, tls doit être défini sur « false ».
• Redémarrez le service Tomcat6.
• Pour vérifier que le fournisseur d’identité a accès au répertoire LDAP\Active Directory, ouvrez le fichier ReadMe.html et sélectionnez le lien Test the IDP Status page here (Tester la page Statut IDP ici).
• Une fois que le serveur Shibboleth est installé, ses interfaces Web (via IIS) doivent être sécurisées au moyen d’un certificat SSL. MOVEit Transfer utilise aussi un certificat SSL pour protéger son interface Web IIS. Pour prendre en charge les demandes directes entre les serveurs MOVEit Transfer et Shibboleth pour télécharger directement les fichiers de métadonnées, ainsi que les demandes de résolution d’artefact, chaque serveur doit être configuré pour approuver le certificat SSL de l’autre serveur. Pour cela, ajoutez la partie publique du certificat SSL de chaque serveur à la liste des certificats approuvés par une autorité de confiance sur l’ordinateur local.

Configuration du fournisseur de services

Configurez les paramètres MOVEit requis par Shibboleth.

• Certificats : les demandes et réponses SAML doivent généralement être signées. OASIS recommande également de renforcer la sécurité au moyen du cryptage. Pour assurer la prise en charge de la signature et du cryptage des messages SAML, créez un certificat de signature et un certificat de cryptage.
• Interface consommateur d’assertion : Par défaut, MOVEit Transfer active uniquement l’interface HTTP-Post pour la réception et la consommation des assertions SAML envoyées par le fournisseur d’identité. Si vous voulez utiliser l’interface HTTP-Artifact, vous devez l’activer et l’ajouter en haut de la liste des interfaces consommateur d’assertion.

Remarque : Si vous utilisez des certificats auto-signés, quand vous configurez le fournisseur d’identité, vous devez copier le fichier de métadonnées de MOVEit au lieu de spécifier l’URL des métadonnées.

Inscription de MOVEit en tant que fournisseur de services/tiers de confiance

Le fournisseur de services et le fournisseur d’identité SAML doivent être inscrits l’un auprès de l’autre pour pouvoir approuver les demandes et assertions transmises entre les deux serveurs. Cela s’effectue généralement en échangeant des fichiers de métadonnées, qui contiennent les descriptions XML des services, des points de terminaison et des certificats du serveur.

• À partir des paramètres du fournisseur de services dans MOVEit, copiez le fichier de métadonnées (cliquez avec le bouton droit sur l’URL des métadonnées du fournisseur de services, puis enregistrez la cible dans le fichier DMZ-Metadata.xml). Collez ensuite ce fichier sur le système Shibboleth, dans le répertoire :
  C:\Program Files (x86)\Internet2\Shib2ldp\metadata\ ; puis redémarrez le service Tomcat6 sur le système Shibboleth.
• Sur le système Shibboleth, inscrivez MOVEit en tant que fournisseur de services/tiers de confiance. Pour cela, modifiez le fichier relying-party.xml, puis ajoutez l’emplacement des métadonnées dans la section « Metadata Configuration ». Exemple :
  <metadata:MetadataProvider id="DMZTestOrg" xsi:type="metadata:FileBackedHTTPMetadataProvider"
  metadataURL=https://<dmz-server>/<org-ID>/SAML/Metadata.xml
  disregardSsslCertificate="true"
  backingFile="C:\Program Files (x86)\Internet2\Shib2ldp\metadata\DMZ-Metadata.xml" />

Remarque : Actuellement, Shibboleth ne prend pas en charge le téléchargement du fichier de métadonnées du fournisseur de services à partir de MOVEit Transfer. Vous devez donc copier ce fichier comme indiqué à la première étape.

• Par ailleurs, si vous utilisez la méthode HTTP-Artifact pour l’interface consommateur d’assertion (définie dans la configuration MOVEit), l’option Client Cert Auth (Authentification des certificats client) doit être désactivée dans Shibboleth. Pour cela, Modifiez le fichier C:\Program Files\Internet2\CaptiveTomcat 6.0\conf\server.xml, et, sous <Connector port="8443 »>, remplacez clientAuth="TRUE" par clientAuth="FALSE". Sauvegardez les modifications et redémarrez Tomcat.

Définition des attributs utilisateur

Les attributs utilisateur sont définis à la fois dans la configuration du fournisseur d’identité et dans les paramètres MOVEit. Ces paramètres déterminent quelles informations utilisateur (comme le nom de compte, le nom commun, l’adresse e-mail) sont envoyées à MOVEit Transfer dans les assertions d’authentification.

• Dans Shibboleth, définissez les attributs utilisateur à envoyer à MOVEit dans les assertions d’authentification. Pour paramétrer les attributs, accédez à C:\Program Files\Internet2\Shib2IdP\conf\ et modifiez le fichier attribute-resolver.xml.
  
• Publiez les attributs sur MOVEit Transfer. Pour ce faire, modifiez les paramètres du fichier attribute-filter.xml.
  
• Publiez les attributs dans le fichier metadata.xml du fournisseur d’identité. Pour ce faire, modifiez les paramètres du fichier idp-metadata.xml
  .
• Dans les paramètres de la connexion unique (MOVEit), sélectionnez Edit (Modifier) pour modifier le fournisseur d’identité et, dans User Settings (Paramètres utilisateur), définissez les paramètres suivants :
  • Nom de connexion : Nom de compte (seul paramètre obligatoire)
  • Nom complet : Nom d’usage
  • E-mail : Adresse e-mail

  Définissez les autres paramètres de groupe ou d’utilisateur souhaités.

Inscrire Shibboleth en tant que fournisseur d’identité

MOVEit Transfer est maintenant inscrit auprès du serveur Shibboleth. Vous devez faire la même opération dans l’autre sens. Comme précédemment, vous avez la possibilité de télécharger les métadonnées du serveur Shibboleth, ou de fournir l’URL des métadonnées à MOVEit Transfer comme élément de configuration du fournisseur d’identité.

Vous pouvez sélectionner une copie locale du fichier de métadonnées du fournisseur d’identité [C:\[folder]\Metadata.xml] ou bien copier l’URL de la page https://<idp-machine>:<port>/idp/shibboleth, sélectionner l’option d’ajout d’un fournisseur d’identité, puis coller l’URL dans la zone Identity Provider Metadata URL (URL de métadonnées du fournisseur d’identité).

Tester l’authentification avec SAML

Pour tester la configuration, ouvrez une session MOVEit en tant qu’administrateur de l’organisation, puis copiez l’URL Direct User Signon Link (Lien de connexion de l’utilisateur direct) de la page Edit Federated Identity Provider Settings (Modifier les paramètres d’un fournisseur d’identité fédéré) pour le fournisseur d’identité configuré. Fermez la session MOVEit, puis collez cette URL dans la barre d’adresse de votre navigateur. S’il a été configuré correctement, le fournisseur d’identité vous authentifie, puis vous redirige vers la session MOVEit Transfer ouverte. (Selon la configuration choisie, le fournisseur d’identité peut vous demander vos informations d’identification.)

Remarque : L’invite de connexion n’est pas la page de connexion MOVEit. Il s'agit de celle du fournisseur d’identité (Shibboleth utilise un écran de démarrage Shibboleth.).

Pour connaître les problèmes de configuration les plus courants, reportez-vous à la page Résolution des problèmes de connexion unique.

Notes sur OneLogin

Ces notes sont consécutives à nos tests de configuration avec le fournisseur d’identité OneLogin. Dans ces notes, il est supposé que vous avez configuré OneLogin en tant que référentiel d’utilisateurs ou que vous êtes connecté à un serveur Active Directory.

Notes relatives à l’installation/la configuration du fournisseur d’identité

• Une fois que le serveur OneLogin est installé, ses interfaces Web (via IIS) doivent être sécurisées au moyen d’un certificat SSL. MOVEit Transfer utilise aussi un certificat SSL pour protéger son interface Web IIS. Pour prendre en charge les demandes directes entre les serveurs MOVEit Transfer et OneLogin pour télécharger directement les fichiers de métadonnées, ainsi que les demandes de résolution d’artefact, chaque serveur doit être configuré pour approuver le certificat SSL de l’autre serveur. Pour cela, ajoutez la partie publique du certificat SSL de chaque serveur à la liste des certificats approuvés par une autorité de confiance sur l’ordinateur local.

Configuration du fournisseur de services

Configurez les paramètres du fournisseur de services requis par OneLogin.

• Certificats : les demandes et réponses SAML doivent généralement être signées. OASIS recommande également de renforcer la sécurité au moyen du cryptage. Pour assurer la prise en charge de la signature et du cryptage des messages SAML, créez un certificat de signature et un certificat de cryptage.
• Interface consommateur d’assertion : Par défaut, MOVEit Transfer active uniquement l’interface HTTP-Post pour la réception et la consommation des assertions SAML envoyées par le fournisseur d’identité. Si vous voulez utiliser l’interface HTTP-Artifact, vous devez l’activer et l’ajouter en haut de la liste des interfaces consommateur d’assertion.

Inscription de MOVEit en tant que fournisseur de services/tiers de confiance

Le fournisseur de services et le fournisseur d’identité SAML doivent être inscrits l’un auprès de l’autre pour pouvoir approuver les demandes et assertions transmises entre les deux serveurs. Cela s’effectue généralement en échangeant des fichiers de métadonnées, qui contiennent les descriptions XML des services, des points de terminaison et des certificats du serveur.

À partir des paramètres du fournisseur de services dans MOVEit, ouvrez le fichier de métadonnées du fournisseur de services et copiez l’ID d’entité (entityID) pour l’organisation MOVEit Transfer. Ensuite, ouvrez la page OneLogin > Configuration et collez l’ID d’entité dans la zone SAML Audience (Audience SAML).

À partir des paramètres du fournisseur de services dans MOVEit, copiez l’URL pour l’interface consommateur d’assertion, ouvrez la page OneLogin > Configuration, puis collez cette URL dans les zones SAML Consumer URL (URL consommateur SAML) et SAML Recipient (Destinataire SAML).

À partir des paramètres du fournisseur de services dans MOVEit, copiez l’URL pour l’interface de déconnexion unique (méthode Redirect), ouvrez la page OneLogin > Configuration, puis collez cette URL dans la zone SAML Single Logout URL (URL de déconnexion unique SAML). Pour le paramètre Single Logout (Déconnexion unique), OneLogin prend uniquement en charge la méthode Redirect.

La zone RelayState doit être laissée vide.

Définition des attributs utilisateur

Les attributs utilisateur sont définis à la fois dans les paramètres du fournisseur d’identité dans MOVEit et dans la configuration OneLogin. Ces paramètres déterminent quelles informations utilisateur (comme le nom de compte, le nom commun, l’adresse e-mail) sont envoyées à MOVEit Transfer dans les assertions d’authentification.

Dans les paramètres de la connexion unique (MOVEit), sélectionnez Edit (Modifier) pour modifier le fournisseur d’identité et, dans User Settings (Paramètres utilisateur), définissez le paramètre Login name (Nom de connexion) sur SAML NameID (ID de nom SAML). C’est le seul paramètre obligatoire. Définissez les autres paramètres de groupe ou d’utilisateur souhaités.

Dans OneLogin, sélectionnez l’onglet Access Control (Contrôle d’accès), puis sélectionnez Default role (Rôle par défaut).

Inscrire OneLogin en tant que fournisseur d’identité

MOVEit Transfer est maintenant inscrit auprès du serveur OneLogin. Vous devez faire la même opération dans l’autre sens. Vous devez fournir l’URL des métadonnées à MOVEit Transfer comme élément de configuration du fournisseur d’identité.

À partir de la page OneLogin Configuration (Configuration OneLogin), copiez l’URL de Single Signon > Issuer URL (Connexion unique > URL de l’émetteur), accédez aux paramètres MOVEit et à Single Signon (Connexion unique), sélectionnez l’option d’ajout d’un fournisseur d’identité, puis collez l’URL dans la zone Identity Provider Metadata URL (URL de métadonnées du fournisseur d’identité).

Tester l’authentification avec SAML

Pour tester la configuration, ouvrez une session MOVEit en tant qu’administrateur de l’organisation, puis copiez l’URL Direct Link (Lien direct) de la configuration de votre fournisseur d’identité. Fermez la session MOVEit, puis collez cette URL dans la barre d’adresse de votre navigateur. S’il a été configuré correctement, le fournisseur d’identité vous authentifie, puis vous redirige vers la session MOVEit Transfer ouverte. (Selon la configuration choisie, le fournisseur d’identité peut vous demander vos informations d’identification.)

Remarque : L’invite de connexion n’est pas la page de connexion MOVEit. C’est celle du fournisseur d’identité.

Pour connaître les problèmes de configuration les plus courants, reportez-vous à la page Résolution des problèmes de connexion unique.