Passer au contenu principal
Créez une connexion personnalisée vers Active Directory Federation Services (ADFS) de Microsoft pour bénéficier de plus de flexibilité lors de la configuration de vos mappages. Pour créer la connexion personnalisée, vous devrez :
  1. Configurer ADFS.
  2. Créer une connexion SAML où Auth0 agit comme fournisseur de services.
  3. Modifier l’approbation de partie de confiance dans ADFS.
  4. Activer et tester votre intégration.

Configurer ADFS

Ajouter une relation d’approbation de partie de confiance

Pour savoir comment ajouter une relation d’approbation de , consultez Créer une relation d’approbation de partie de confiance sur https://docs.microsoft.com.

Créer à l’aide des métadonnées de fédération

Suivez les étapes décrites dans Créer une relation d’approbation de partie de confiance avec prise en charge des revendications à l’aide des métadonnées de fédération (MSDN). Pour le champ Federation metadata address à l’étape 4, l’URL que vous saisissez doit respecter l’un des formats suivants : US : https://{yourTenantName}.auth0.com/samlp/metadata?connection={connectionName} EU : https://{yourTenantName}.eu.auth0.com/samlp/metadata?connection={connectionName} AU : https://{yourTenantName}.au.auth0.com/samlp/metadata?connection={connectionName} JP : https://{yourTenantName}.jp.auth0.com/samlp/metadata?connection=CONNECTION_NAME  : https://{yourTenantName}/samlp/metadata?connection={connectionName} Une fois la relation d’approbation de partie de confiance créée, passez à la section suivante.

Créer manuellement

  1. Lancez votre instance d’ADFS et démarrez l’assistant Add Relying Party Trust.
  2. Sur la page Welcome, choisissez Claims aware et cliquez sur Start.
  3. Sur la page Select Data Source, sélectionnez Enter data about the relying party manually et cliquez sur Next.
  4. Sur la page Specify Display Name, entrez un nom descriptif pour votre partie de confiance (le format habituel est urn:auth0:{yourTenant}:{yourConnectionName}), ainsi qu’une brève description sous Notes. Assurez-vous de remplacer {yourConnectionName} par un nom unique que vous utiliserez aussi pour créer une connexion dans Auth0 à une étape ultérieure. Si vous ne connaissez pas encore le nom de la connexion à ce stade, vous pourrez toujours le modifier plus tard. Cliquez sur Next.
  5. Sur la page Configure Certificate, cliquez sur Next. (Nous reviendrons plus tard pour configurer le certificat.)
  6. Sur la page Configure URL, cochez la case Enable support for the SAML 2.0 WebSSO protocol. L’assistant vous demandera ensuite une Relying party SAML 2.0 SSO service URL. Pour l’instant, entrez une URL fictive; nous reviendrons à cette étape plus tard. Cliquez sur Next.
  7. Sur la page Configure Identifiers, indiquez que le Relying party trust identifier est urn:auth0:{yourTenant}:{yourConnectionName} (ou la valeur que vous avez utilisée comme nom d’affichage au début de l’assistant). Cliquez sur Next.
  8. Sur la page Choose Access Control Policy, sélectionnez Permit everyone et cliquez sur Next.
  9. Vérifiez les paramètres fournis sur la page Ready to Add Trust et cliquez sur Next pour enregistrer vos informations. Si tout s’est bien passé, un message l’indiquant s’affichera sur la page Finish.
  10. Assurez-vous que la case Configure claims issuance policy for this application est cochée, puis cliquez sur Close.

Modifier la stratégie d’émission des revendications

Après avoir fermé l’assistant Add Relying Party Trust, la fenêtre Edit Claim Issuance Policy s’affiche.
  1. Cliquez sur Add Rule… pour lancer l’assistant.
  2. Sélectionnez Send LDAP Attributes as Claims comme Claim rule template, puis cliquez sur Next.
  3. Entrez une valeur pour Claim rule name, par exemple “LDAP Attributes” (vous pouvez choisir n’importe quelle valeur).
  4. Choisissez Active Directory comme Attribute Store.
  5. Faites correspondre vos attributs LDAP aux types de revendications sortantes suivants :
Attribut LDAPRevendication sortante
E-Mail-AddressesE-Mail Address
Display-NameName
User-Principal-NameName ID
Given-NameGiven Name
SurnameSurname
La revendication sortante Name ID doit toujours être présente pour assurer la bonne gestion des sessions. Nous vous recommandons fortement d’ajouter toutes les revendications ci-dessus, en particulier E-Mail Address, car ce sont les plus couramment utilisées. Vous pouvez ajouter d’autres mappages de revendications au besoin. 6. Cliquez sur Finish. 7. Dans la fenêtre Edit Claim Issuance Policy, cliquez sur Apply. Vous pouvez maintenant fermer cette fenêtre.

Exporter le certificat de signature

Enfin, vous devrez exporter le certificat de signature depuis la console ADFS pour le téléverser vers Auth0.
  1. Dans le volet de navigation de gauche, accédez à ADFS > Service > Certificates. Sélectionnez le certificat Token-signing, puis cliquez dessus avec le bouton droit et choisissez View Certificate.
  2. Dans l’onglet Details, cliquez sur Copy to File…. L’Assistant d’exportation de certificat s’ouvre. Cliquez sur Next.
  3. Choisissez le format Base-64 encoded X.509 (.CER). Cliquez sur Next.
  4. Indiquez l’emplacement où vous voulez exporter le certificat. Cliquez sur Next.
  5. Vérifiez que les paramètres du certificat sont corrects, puis cliquez sur Finish.

Créer une connexion SAML avec Auth0 comme fournisseur de services

  1. Suivez le tutoriel sur la création d’une connexion SAML dans lequel Auth0 agit comme fournisseur de services. Lorsque vous y êtes invité, importez le certificat de signature que vous avez exporté depuis ADFS. Les URL de connexion et de déconnexion prennent généralement la forme https://your.adfs.server/adfs/ls.
  2. Cliquez sur Save. Une page contenant les instructions pour créer une nouvelle relation d’approbation de partie de confiance dans ADFS s’affiche et indique les valeurs exactes requises pour votre compte ou votre connexion Auth0. Prenez note de ces valeurs. Voici un exemple :
ParamètreValeur d’exemple

Modifier la relation d’approbation de partie de confiance

  1. Dans la console ADFS, accédez à ADFS > Relying Party Trusts à l’aide du volet de navigation de gauche. Sélectionnez la relation d’approbation de partie de confiance que vous avez créée précédemment, puis cliquez sur Properties (dans le volet de navigation de droite).
  2. Sélectionnez l’onglet Identifiers, puis renseignez le champ Relying Party Identifier avec la valeur Entity ID de l’écran précédent. Assurez-vous de cliquer sur Add pour ajouter l’identifiant à la liste.
  3. Sélectionnez l’onglet Endpoints, puis sélectionnez l’URL fictive que vous avez fournie précédemment. Cliquez sur Edit….
  4. Renseignez le champ Trusted URL avec la valeur Post-back URL.
  5. Cliquez sur OK. Enfin, cliquez sur Apply, puis fermez la fenêtre Properties.

Activer la signature des requêtes (facultatif)

Si vous le souhaitez, vous pouvez signer vos requêtes SAML envoyées au serveur ADFS.
  1. Accédez à la page Paramètres de votre fournisseur d’identité SAML-P dans Auth0 Dashboard.
  2. Activez Signer les requêtes.
  3. Juste sous le bouton bascule Signer les requêtes, vous trouverez un lien pour télécharger votre certificat.
  4. Retournez à ADFS et chargez le certificat téléchargé à l’aide de l’onglet Signatures dans la boîte de dialogue des propriétés de la partie de confiance.

Activer et tester l’intégration

Avant de tester votre intégration, assurez-vous d’avoir effectué les étapes suivantes :
  • Créez un utilisateur chez le que vous pourrez utiliser pour tester votre nouvelle connexion.
  • Activez votre Connexion pour au moins une application.
  1. Accédez à Authentication > Enterprise > SAML.
  2. Sélectionnez la connexion que vous souhaitez tester, cliquez sur les points de suspension (…), puis sur Try. L’écran de connexion Microsoft s’affiche. Ouvrez une session, puis cliquez sur Next.

En savoir plus