Inspiré par le ticket #54831
<tenant> |
le nom de domaine de l'authentic, ex.: connexion-client.test.entrouvert.org |
Deviendra obsolète quand cette génération sera entièrement faite dans le backoffice d'authentic.
/var/lib/authentic2-multitenant/tenants/<tenant>/
faire :sudo -u authentic-multitenant openssl req -x509 -sha256 -newkey rsa:2048 -nodes -keyout sp-saml.key -out sp-saml.crt -batch -subj '/CN=<tenant>' -days 3652
settings.json
et y ajouter :{ "MELLON_PUBLIC_KEYS": ["/var/lib/authentic2-multitenant/tenants/<tenant>/sp-saml.crt"], "MELLON_PRIVATE_KEY": "/var/lib/authentic2-multitenant/tenants/<tenant>/sp-saml.key", }
Documentation Microsoft: https://learn.microsoft.com/fr-fr/azure/active-directory/develop/active-directory-saml-claims-customization
https://tenant/accounts/saml/metadata
Nom du claim | Format | Source | Valeur |
(spécial) Unique User Identifier (Name ID) |
persistent | Attribut | user.objectid |
email |
- | Attribut | user.mail |
prenom |
- | Attribut | user.givenname |
nom |
- | Attribut | user.surname |
username |
- | Attribut | user.userprincipalname |
Nous transmettre ensuite l'information "App Federation Metadata URL" qui devrait avoir la forme suivante:
https://login.microsoftonline.com/180627ee-80c9-4bec-95e6-81b5fecd81ff/federationmetadata/2007-06/federationmetadata.xml?appid=9b9854e3-633c-4124-8040-fe07dd445195
https://<tenant>/manage/authenticators/
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/
, le mieux étant de les renommer avant de les utiliser selon cette correspondance :