h1. Configurer AzureAD comme fournisseur d'identité pour Authentic Inspiré par le ticket #54831 h2. Nomenclature | @@ | le nom de domaine de l'authentic, ex.: @connexion-client.test.entrouvert.org@ | h2. Configuration des clés RSAs Deviendra obsolète quand cette génération sera entièrement faite dans le backoffice d'authentic. * créer les clés, dans @/var/lib/authentic2-multitenant/tenants//@ faire :
sudo -u authentic-multitenant openssl req -x509 -sha256 -newkey rsa:2048 -nodes -keyout sp-saml.key -out sp-saml.crt -batch -subj '/CN=' -days 3652
le sudo est là pour que les clés aient les bons droits. * configurer les clés, dans le même répertoire éditer @settings.json@ et y ajouter :
{
  "MELLON_PUBLIC_KEYS": ["/var/lib/authentic2-multitenant/tenants//sp-saml.crt"],
  "MELLON_PRIVATE_KEY": "/var/lib/authentic2-multitenant/tenants//sp-saml.key",
}
h2. Configuration AzureAD Documentation Microsoft: https://learn.microsoft.com/fr-fr/azure/active-directory/develop/active-directory-saml-claims-customization * configurer un nouveau fournisseur de service : ** avec les métadonnées disponibles sur @https://tenant/accounts/saml/metadata@ ** avec ces revendications/claims "requis" : | Nom du claim | Format | Source | Valeur | | (spécial) @Unique User Identifier (Name ID)@ | persistent | Attribut | @user.objectid@ | | @email@ | - | Attribut | @user.mail@ | | @prenom@ | - | Attribut | @user.givenname@ | | @nom@ | - | Attribut | @user.surname@ | | @username@ | - | Attribut | @user.userprincipalname@ | ** avec des revendications/claims additionnels que vous jugeriez utiles (nous transmettre leur noms et leur significations) Nous transmettre ensuite l'information "App Federation Metadata URL" qui devrait avoir la forme suivante:
https://login.microsoftonline.com/180627ee-80c9-4bec-95e6-81b5fecd81ff/federationmetadata/2007-06/federationmetadata.xml?appid=9b9854e3-633c-4124-8040-fe07dd445195
h2. Configuration Authentic * Aller sur @https:///manage/authenticators/@ * Cliquer sur "Ajouter un nouveau moyen d'authentification" * Choisir comme moyen d'authentification "SAML" * Lui donner un nom * Mettre la valeur de "App Federation Metadata URL" dans "URL des métadonnées" * Configurer l'affectation des attributs (voir le tableau plus haut) et éventuellement la recherche d'utilisateur par attribut * ATTENTION: AzureAD ne semble pas capable de fournir des noms de claim "simples" les claims définis plus haut arriveront tous préfixés avec l'espace de nom @http://schemas.xmlsoap.org/ws/2005/05/identity/claims/@, le mieux étant de les renommer avant de les utiliser selon cette correspondance : | Nom complet | Nom simplifié | | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/email | email | | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/prenom | prenom | | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nom | nom | | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/username | username | * ATTENTION 2: Le nom long doit aussi être utilisé pour la liaison par attribut, celle-ci ayant lieu pour l'instant avant le renommage (#69683), ainsi que pour le template de username