Passer au contenu principal
Pour connecter votre application à Active Directory Federation Services (ADFS) de Microsoft, vous devrez fournir les renseignements suivants à votre administrateur ADFS :
  • Identificateur de realm : urn:auth0:{yourTenant}
  • Point de terminaison : https://{yourDomain}/login/callback ou https://<YOUR CUSTOM DOMAIN>/login/callback, si vous utilisez un domaine personnalisé.

Métadonnées de fédération

Le fichier de métadonnées de fédération contient des renseignements sur les certificats du serveur ADFS. Si le point de terminaison Federation Metadata (/FederationMetadata/2007-06/FederationMetadata.xml) est activé dans ADFS, Auth0 peut vérifier périodiquement (une fois par jour) si des changements ont été apportés à la configuration, par exemple l’ajout d’un nouveau certificat de signature en prévision d’une rotation. C’est pourquoi il est préférable d’activer le point de terminaison Federation Metadata plutôt que de fournir un fichier de métadonnées autonome. Si vous fournissez un fichier de métadonnées autonome, nous vous aviserons par courriel lorsque les certificats approcheront de leur date d’expiration.
Vous pouvez utiliser un script pour configurer la connexion, ou la configurer manuellement.

Configuration à l’aide d’un script

Exécutez les deux commandes suivantes dans une fenêtre Windows PowerShell.
Vous devez exécuter ce script avec des privilèges d’administrateur sur votre système.
(new-object Net.WebClient -property @{Encoding = [Text.Encoding]::UTF8}).DownloadString("https://raw.github.com/auth0/adfs-auth0/master/adfs.ps1") | iex
Pour l’intégration automatisée, ce script utilise le composant logiciel enfichable PowerShell d’ADFS pour créer et configurer une qui émettra, pour l’utilisateur authentifié, les claims suivantes : courriel, upn, prénom et nom de famille.
Si vous utilisez la fonctionnalité domaines personnalisés, vous devrez remplacer la valeur $webAppEndpoint par https://<YOUR CUSTOM DOMAIN>/login/callback.
Le script crée l’approbation de partie de confiance dans ADFS, comme suit : Le script crée également des règles qui génèrent les attributs les plus courants, comme le courriel, l’UPN, le prénom ou le nom de famille : 
$rules = @'
@RuleName = "Store: ActiveDirectory -> Mail (ldap attribute: mail), Name (ldap attribute: displayName), Name ID (ldap attribute: userPrincipalName), GivenName (ldap attribute: givenName), Surname (ldap attribute: sn)"
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"]
=> issue(store = "Active Directory",
    types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress",
             "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name",
             "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier",
             "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname",
             "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname"), query = ";mail,displayName,userPrincipalName,givenName,sn;{0}", param = c.Value);
'@
Set-ADFSRelyingPartyTrust –TargetName $realm -IssuanceTransformRules $rules
$rSet = New-ADFSClaimRuleSet –ClaimRule '=> issue(Type = "http://schemas.microsoft.com/authorization/claims/permit", Value = "true");'
Set-ADFSRelyingPartyTrust –TargetName $realm –IssuanceAuthorizationRules $rSet.ClaimRulesString

Configuration manuelle, partie 1 : ajouter une approbation de partie de confiance

  1. Ouvrez la console de gestion ADFS.
  2. Dans le volet de droite de la console, cliquez sur Add Relying Party Trust*
  3. Cliquez sur Start.
  4. Sélectionnez Enter data about the relying party manually, puis cliquez sur Next.
  5. Entrez un nom (par exemple {yourAppName}), puis cliquez sur Next.
  6. Utilisez la valeur par défaut (ADFS 2.0 profile), puis cliquez sur Next.
  7. Utilisez la valeur par défaut (no encryption certificate), puis cliquez sur Next.
  8. Cochez Enable support for the WS-Federation…, puis entrez cette valeur dans la zone de texte : https://{yourDomain}/login/callback, ou, si vous utilisez un domaine personnalisé, utilisez https://<YOUR CUSTOM DOMAIN>/login/callback
  9. Cliquez sur Next.
  10. Ajoutez un identifiant d’approbation de partie de confiance avec cette valeur : urn:auth0:{yourTenant}
  11. Cliquez sur Add, puis sur Next.
  12. Conservez la valeur par défaut Permit all users..., puis cliquez sur Next.
  13. Cliquez sur Next, puis sur Close.

Configuration manuelle, partie 2 : ajouter une règle de stratégie d’émission de claim

  1. Si vous utilisez Windows Server 2019, la boîte de dialogue Edit Claim Issuance Policy s’ouvre automatiquement lorsque vous terminez l’assistant Add Relying Party Trust. Si vous utilisez Windows Server 2012 ou 2016, suivez ces étapes :
Dans Windows Server 2012Dans Windows Server 2016
Dans le panneau Actions, à droite de la console, repérez l’approbation de partie de confiance que vous venez de créer. Sous celui-ci, cliquez sur Edit Claim Issuance Policy.Dans l’arborescence de la console, sous ADFS, cliquez sur Relying Party Trusts. À droite de la console, repérez l’approbation de partie de confiance que vous venez de créer. Cliquez dessus avec le bouton droit, puis cliquez sur Edit Claim Issuance Policy.
  1. Dans la fenêtre Edit Claim Issuance Policy, sous Issuance Transform Rules, cliquez sur Add Rule….
  2. Conservez la valeur par défaut Send LDAP Attributes as Claims.
  3. Donnez à la règle un nom descriptif.
  4. Sous Attribute Store, sélectionnez Active Directory.
  5. Sélectionnez les mappages suivants sous Mapping of LDAP attributes to outgoing claim types, puis cliquez sur Finish.
Attribut LDAPType de claim sortant
E-Mail-AddressesE-Mail Address
Display-NameName
User-Principal-NameName ID
Given-NameGiven Name
SurnameSurname

Ajouter des attributs LDAP supplémentaires

Les mappages des étapes précédentes sont les plus courants, mais si vous avez besoin d’attributs LDAP supplémentaires contenant des informations sur l’utilisateur, vous pouvez ajouter d’autres mappages de claims.
  1. Si vous avez fermé la fenêtre à l’étape précédente, sélectionnez Edit Claim Rules dans le menu contextuel de l’approbation de partie de confiance que vous avez créée, puis modifiez la règle.
  2. Créez une ligne supplémentaire pour chaque attribut LDAP dont vous avez besoin, en choisissant le nom de l’attribut dans la colonne de gauche et le type de claim souhaité dans la colonne de droite.
  3. Si le type de claim que vous recherchez n’existe pas, vous avez deux options :
    1. Saisissez un nom qualifié par un espace de noms pour le nouveau claim (par exemple, http://schemas.xmlsoap.org/ws/2005/05/identity/claims/department).
    2. Enregistrez un nouveau type de claim (sous ADFS > Services > Claim Descriptions dans la console d’administration ADFS), puis utilisez le nom du claim dans le mappage. Auth0 utilise la partie nom du type de claim (par exemple department dans http://schemas.xmlsoap.org/ws/2005/05/identity/claims/department) comme nom d’attribut pour le profil de l’utilisateur.

Prochaines étapes

Maintenant que vous disposez d’une connexion fonctionnelle, l’étape suivante consiste à configurer votre application pour l’utiliser. Vous pouvez suivre nos guides de démarrage rapide détaillés ou utiliser nos bibliothèques et notre API.