Configurer un SSO SAML pour ADFS 2.0

Dans cet article, nous aborderons comment configurer un SSO avec ADFS 2.0 (Microsoft Active Directory Federation Services).

Pour activer le SSO sur votre plateforme 360Learning, contactez votre Solution Architect (SA), qui vous guidera dans la mise en place, et vous fournira le fichier de fédération (federation file) qui vous permettre de configurer votre ADFS.

Configuration du Relying Party Trust

1. Dans votre ADFS, sélectionnez l’option Add Relying Party Trust, sous Trust Relationships / Relying Party Trusts dans la section de gauche.
2. Cliquez sur Start et importez votre fichier de fédération (le fichier XML que votre Solution Architect vous a envoyé), en utilisant l’option Import data about the relying party from a file.
3. Cliquez sur Next et fournissez un Display Name (par exemple : 360Learning).
4. Cliquez sur Next puis sélectionnez Permit all users to access the relying party dans la section Choose Issuance Authorization Rules.
5. Terminez la configuration.

Certificat

1. Dans le panneau de gauche, sous Services / Certificates, faites un clic-droit sur le Token-signing Certificate et sélectionnez View Certificate….
2. Dans la fenêtre du certificat, cliquez sur l’onglet Details et cliquez sur Copy to File.
3. Dans la fenêtre Export, cliquez sur Next et sélectionnez le format DER encoded base64 X.509 (.cer).
4. Cliquez sur Next et sélectionnez l’endroit où vous voulez enregistrer le certificat sur votre disque (vous en aurez besoin par la suite).

Configuration des Claim Rules

1. Dans le panneau de gauche, allez dans Trust Relationships / Relying Party Trusts et faites un clic-droit sur le Relying Rrust de 360Learning (que vous avez créé à l’étape précédente).
2. Sélectionnez Edit Claim Rules….
3. Ajoutez des règles en utilisant le modèle Send LDAP Attributes as Claims.
   
4. Donnez un nom à la règle, sélectionnez l’option Active Directory et créez la correspondance suivante :
   • LDAP Attribute: E-Mail-Addresses / Outgoing Claim Type: emailaddress
   • LDAP Attribute: Given-Name / Outgoing Claim Type: givenname
   • LDAP Attribute: Surname / Outgoing Claim Type: surname
     
5. Terminez la configuration de la règle.
6. Ajoutez une autre règle. Cette fois, sélectionnez Transform an incoming Claim et cliquez sur Next.
7. Donnez un nom à la règle (Email to NameID). Définissez les paramètres suivants :
   • Incoming claim type: E-Mail Address
   • Outgoing claim type: Name ID
   • Outgoing name ID format: Email
   • Terminez la configuration de la règle.
     
8. Envoyez le certificat, ainsi que l’URL de votre portail de connexion à votre Solution Architect (par exemple : https://fs.mycompany.com/adfs/ls).

Contrôle des accès par SSO

Provisionnement de comptes lors de la première connexion SSO

Lorsque vous configurez votre SSO, vous pouvez activer l’option de provisionnement des utilisateurs. Cela crééra automatiquement des comptes 360Learning pour les utilisateurs qui se connectent au SSO, mais qui n’ont pas encore de compte 360Learning.

Les comptes créés de cette manière auront uniquement les champs Name, Surname et Email Address, et seront ajoutés dans le même groupe.

Par défaut, cette option n’est pas activée.

Gestion des accès spécifiques dans 360Learning

Vous pouvez configurer votre ADFS pour autoriser seulement certains groupes de votre organisation à accéder à 360Learning.

• 360Learning - Technical Guide - SSO SAML v1.6.pdf2 Mo