Configurer AzureAD comme fournisseur d'identité pour Authentic¶

Inspiré par le ticket #54831

Nomenclature¶

<tenant> le nom de domaine de l'authentic, ex.: connexion-client.test.entrouvert.org

Configuration des clés RSAs¶

Deviendra obsolète quand cette génération sera entièrement faite dans le backoffice d'authentic.

créer les clés, dans /var/lib/authentic2-multitenant/tenants/<tenant>/ faire :

sudo -u authentic-multitenant openssl req -x509 -sha256 -newkey rsa:2048 -nodes -keyout sp-saml.key -out sp-saml.crt -batch -subj '/CN=<tenant>' -days 3652

le sudo est là pour que les clés aient les bons droits.

configurer les clés, dans le même répertoire éditer settings.json et y ajouter :

{
  "MELLON_PUBLIC_KEYS": ["/var/lib/authentic2-multitenant/tenants/<tenant>/sp-saml.crt"],
  "MELLON_PRIVATE_KEY": "/var/lib/authentic2-multitenant/tenants/<tenant>/sp-saml.key",
}

Configuration AzureAD¶

Documentation Microsoft: https://learn.microsoft.com/fr-fr/azure/active-directory/develop/active-directory-saml-claims-customization

configurer un nouveau fournisseur de service :

avec les métadonnées disponibles sur https://tenant/accounts/saml/metadata

avec ces revendications/claims "requis" :

Nom du claim	Format	Source	Valeur
(spécial) `Unique User Identifier (Name ID)`	persistent	Attribut	`user.objectid`
`email`	-	Attribut	`user.mail`
`prenom`	-	Attribut	`user.givenname`
`nom`	-	Attribut	`user.surname`
`username`	-	Attribut	`user.userprincipalname`

avec des revendications/claims additionnels que vous jugeriez utiles (nous transmettre leur noms et leur significations)

Nous transmettre ensuite l'information "App Federation Metadata URL" qui devrait avoir la forme suivante:

https://login.microsoftonline.com/180627ee-80c9-4bec-95e6-81b5fecd81ff/federationmetadata/2007-06/federationmetadata.xml?appid=9b9854e3-633c-4124-8040-fe07dd445195

Configuration Authentic¶

Aller sur https://<tenant>/manage/authenticators/
Cliquer sur "Ajouter un nouveau moyen d'authentification"
Choisir comme moyen d'authentification "SAML"
Lui donner un nom
Mettre la valeur de "App Federation Metadata URL" dans "URL des métadonnées"
Configurer l'affectation des attributs (voir le tableau plus haut) et éventuellement la recherche d'utilisateur par attribut

ATTENTION: AzureAD ne semble pas capable de fournir des noms de claim "simples" les claims définis plus haut arriveront tous préfixés avec l'espace de nom http://schemas.xmlsoap.org/ws/2005/05/identity/claims/, le mieux étant de les renommer avant de les utiliser selon cette correspondance :

Nom complet	Nom simplifié
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/email	email
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/prenom	prenom
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nom	nom
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/username	username

ATTENTION 2: Le nom long doit aussi être utilisé pour la liaison par attribut, celle-ci ayant lieu pour l'instant avant le renommage (#69683), ainsi que pour le template de username