Présentation de la fédération d'identité avec SharePoint
Avant de partir sur l'installation et la configuration des services de fédération sous ADFS, je vous conseille de consulter cet article qui vous donnera tout le bagage nécessaire pour la bonne prise en main des concepts de bases.
Avant de commencer
Installation de SharePoint Server : http://www.it-channels.com/microsoft/sharepoint/110-sharepoint-2013-installation-et-configuration
Installation de ADFS Server : http://www.it-channels.com/microsoft/ad-fs/191-installer-le-serveur-adfs-3-0
Installation de ADFS Proxy : http://www.it-channels.com/microsoft/ad-fs/192-installer-le-proxy-adfs-3-0
Configurer l’authentification basée sur les revendications SAML avec les services ADFS dans SharePoint 2013
La première étape consiste à rajouter l'application à vous souhaitez faire confiance dans la partie Relying Party Trusts. Next
Sélectionnez Enter data about the relying party manually
Donnez lui le nom souhaité. Dans mon cas ce sera SharePoint 2013 ADFS Identity
Sélectionnez AD FS profile
Next
Renseignez ici après avoir coché la case, l'url de l'application web SharePoint sur lequel vous allez configurer l'authentification basée sur les jetons SAML
Rajoutez l'urn qui correspond à l'identifieur d'approbation de la partie de confiance (mon SharePoint dans cet exemple)
Next
Next
Next
Close. L'étape qui suit consiste à configurer les revendications qui vont être poussées dans mon jeton SAML lors de l'échange avec mon SharePoint
Add Rule
...
...
...
...
...
...
...
La configuration des claims est maintenant terminées. Dans cet exemple, j'ai configuré :
- l'UPN
- Primary SID
- Name
- E-mail Address
La première partie de la configuration est finie. La seconde partie va se dérouler sur le serveur SharePoint. Avant cela, il est nécessaire d'exporter le certificat (Token Signing)
Copy to file...
Next
Sélectionnez DER encoded binary (.CER)
OK
Importez le certificat sur SharePoint via powershell :
$cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("C:\Users\adm_mim\Desktop\Certificat ADFS\_Production\ADFS_Token-signing certificate.cer")
New-SPTrustedRootAuthority -Name “Token Signing Cert” -Certificate $cert
Configurez le Trusted Identity Provider pour la web Application (en powershell) :
$emailClaimMap = New-SPClaimTypeMapping -IncomingClaimType “http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress” -IncomingClaimTypeDisplayName “EmailAddress” -SameAsIncoming
$upnClaimMap = New-SPClaimTypeMapping -IncomingClaimType “http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn” -IncomingClaimTypeDisplayName “UPN” -SameAsIncoming
$roleClaimMap = New-SPClaimTypeMapping -IncomingClaimType “http://schemas.microsoft.com/ws/2008/06/identity/claims/role” -IncomingClaimTypeDisplayName “Role” -SameAsIncoming
$sidClaimMap = New-SPClaimTypeMapping -IncomingClaimType “http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid” -IncomingClaimTypeDisplayName “SID” -SameAsIncoming
$realm = "urn:sharepoint:portal"
#Nom du service ADFS et non pas le nom du serveur sur lequel est installé ADFS
$signInURL = "https://adfs.it-channels.com/adfs/ls/"
$ap = New-SPTrustedIdentityTokenIssuer -Name “SAML Provider for SharePoint” -Description “SAML secured SharePoint” -realm $realm -ImportTrustCertificate $cert -ClaimsMappings $emailClaimMap,$upnClaimMap,$roleClaimMap,$sidClaimMap -SignInUrl $signInURL -IdentifierClaim $emailClaimmap.InputClaimType
La dernière étape consiste à autoriser l'authentification par jeton SAML en modifiant le paramètre dans la partie Authentification Providers sur la WebApp définie
Vous pouvez maintenant utiliser l'authentification basée sur les revendications sur votre SharePoint
Enjoy :-)
Joris