Le plugin WordPress OAuth & OpenID Connect Single Sign-On (SSO) permet une connexion sécurisée à WordPress en utilisant ADFS comme fournisseur OAuth et OpenID Connect. Vous pouvez également configurer le plugin en utilisant différents fournisseurs personnalisés et IDP standard. Il prend en charge les fonctionnalités avancées d'authentification unique (SSO) telles que le mappage des attributs du profil utilisateur, le mappage des rôles, etc. Nous passerons ici par un guide pour configurer le SSO entre WordPress et ADFS. À la fin de ce guide, les utilisateurs devraient pouvoir se connecter à WordPress depuis ADFS. Pour en savoir plus sur les autres fonctionnalités que nous proposons dans le plugin WP OAuth Single Sign-On (OAuth & OpenID Connect Client), vous pouvez cliquez ici .

Pré-requis : Téléchargement Et Installation

• Connectez-vous à votre instance WordPress en tant qu'administrateur.
• Aller sur WordPress Tableau de bord -> Plugins et cliquez sur Ajouter un nouveau véhicule .
• Rechercher un Authentification unique WordPress OAuth (SSO) plugin et cliquez sur <>Installer maintenant.
• Une fois installé cliquez sur Activer.

Étapes pour configurer la connexion ADFS Single Sign-On (SSO) à WordPress

1. Configurer ADFS en tant que fournisseur OAuth

• Pour effectuer SSO avec ADFS comme fournisseur, votre application doit être activée https.
• Accédez à Tableau de bord du gestionnaire de serveur->Outils->Gestion ADFS.

• Accédez à ADFS->Groupes d'applications. Faites un clic droit sur Groupes d'applications & cliquer sur Ajouter un groupe d'applications puis entrez Nom de l'application. Sélectionner Application serveur & cliquer sur next.

• Copier Identifiant du client. C'est ton identité du client. Ajouter URL de rappel in URL de redirection. Tu peux obtenir ça URL de rappel à partir du plug-in miniOrange OAuth Client Single Sign-On (SSO). Cliquer sur next.

• Cliquez sur Générer un secret partagé. Copiez le Valeur secrète. C'est ton Secret client. Cliquez sur Suivant.

• Sur le Résumé Écran, cliquez sur Suivant. D' ! Écran, cliquez sur Fermer.
• Maintenant, faites un clic droit sur le groupe d'applications nouvellement ajouté et sélectionnez Propriétés.
• Cliquez sur Ajouter une candidature de Propriétés de l'application.
• Cliquez sur le Ajouter une candidature. Ensuite, sélectionnez API Web et cliquez sur Suivant.

• Sur le Configurer l'API Web écran, entrez l’adresse du nom de domaine dans le champ Identifiant section. Cliquez sur AjouterCliquez sur Suivant.

• Sur le Choisissez la politique de contrôle d'accès écran, sélectionnez Autoriser tout le monde et cliquez sur Suivant.

• Sur le Configurer l'autorisation de l'application, par défaut ouvert est sélectionné comme étendue. Vous pouvez sélectionner email et, profil également, puis cliquez sur next.

• Sur le Résumé Écran, cliquez sur Suivant. D' ! Écran, cliquez sur Fermer.
• Sur le Exemples de propriétés d'application cliquez OK.

Vous avez configuré avec succès ADFS en tant que fournisseur OAuth pour réaliser la connexion ADFS à votre site WordPress.

2. Configurez WordPress en tant que client OAuth

• Test d'anglais
• Premium

• Cliquez sur Configurer OAuth onglet et cliquez Ajouter une nouvelle application pour ajouter une nouvelle application client à votre site Web.

• Choisissez votre application dans la liste des fournisseurs OAuth / OpenID Connect, ici ADFS

• Copiez le URL de rappel à utiliser dans la configuration du fournisseur OAuth. Cliquez sur Suivant.


• Vous devez saisir le Nom de l'application et points de terminaison ici, pour cela veuillez vous référer au tableau ci-dessous et cliquer sur Suivant.

Remarque: Une fois que vous avez créé le compte ADFS, vous trouverez le URL du domaine et vous devrez ajouter la même chose dans les points de terminaison ci-dessous.




Autoriser le point de terminaison :	https://{Domain URL}/adfs/oauth2/authorize
Point de terminaison du jeton d’accès :	https://{Domain URL}/adfs/oauth2/token
Obtenir le point de terminaison des informations utilisateur :	https://{Domain URL}/adfs/oauth2/userinfo


• Entrez les informations d'identification du client comme identité du client & Secret client comme indiqué dans la boîte de dialogue de configuration, ouvert est déjà rempli. Cliquez sur Suivant.

• Cliquez sur Finition pour enregistrer la configuration.

Vous avez configuré avec succès WordPress comme client OAuth pour réaliser l'authentification des utilisateurs avec la connexion ADFS Single Sign-On (SSO) à votre site WordPress.

• Cliquez sur Configurer OAuth et recherchez le nom de votre application pour ajouter une nouvelle application client à votre site Web, ici ADFS.

• Insérez votre domaine ADFS ici et configurez identité du client ainsi que le Secret client reçu de la configuration d'ADFS et cliquez sur Enregistrer les paramètres

• Veuillez vous référer au tableau ci-dessous pour configurer le portée et points de terminaison pour ADFS dans le plugin.

  Remarque: Une fois que vous avez créé le compte ADFS, vous trouverez le URL du domaine et vous devrez ajouter la même chose dans les points de terminaison ci-dessous.

  
  

  Portée:	ouvert
  Autoriser le point de terminaison :	https://{yourADFSDomain}/adfs/oauth2/authorize/
  Point de terminaison du jeton d’accès :	https://{yourADFSDomain}/adfs/oauth2/token/

  
• Choisissez votre Type de subvention dans la liste des options & Cliquez sur Enregistrer les paramètres pour enregistrer la configuration.

Vous avez configuré avec succès WordPress comme client OAuth pour réaliser l'authentification des utilisateurs avec la connexion ADFS Single Sign-On (SSO) à votre site WordPress.

3. Mappage des attributs utilisateur

• Le mappage des attributs utilisateur est obligatoire pour permettre aux utilisateurs de se connecter avec succès à WordPress. Nous allons configurer les attributs du profil utilisateur pour WordPress en utilisant les paramètres ci-dessous.

Recherche d'attributs utilisateur

• Cliquez sur Configurer OAuth languette. Faites défiler vers le bas et cliquez sur Configuration du test.

• Vous verrez toutes les valeurs renvoyées par votre fournisseur OAuth à WordPress dans un tableau. Si vous ne voyez pas de valeur pour Prénom, Nom, E-mail ou Nom d'utilisateur, définissez les paramètres requis dans votre fournisseur OAuth pour renvoyer ces informations.

• Une fois que vous voyez toutes les valeurs dans la configuration du test, accédez à Mappage d’attributs/rôles , vous obtiendrez la liste des attributs dans une liste déroulante Nom d'utilisateur.

4 : Cartographie des rôles [Premium]

• Cliquez sur « Configuration des tests » et vous obtiendrez la liste des noms d'attribut et des valeurs d'attribut envoyés par votre fournisseur OAuth.
• Dans la fenêtre Configuration du test, mappez les noms d'attribut dans la section Mappage d'attributs du plugin. Reportez-vous à la capture d'écran pour plus de détails.

• Activer le mappage de rôles : Pour activer le mappage de rôle, vous devez mapper l'attribut de nom de groupe. Sélectionnez le nom de l'attribut dans la liste des attributs qui renvoie les rôles de votre application fournisseur.
  Par exemple: Rôle


• Attribuez le rôle WordPress au rôle Fournisseur : En fonction de votre application de fournisseur, vous pouvez attribuer le rôle WordPress à vos rôles de fournisseur. Il peut s'agir d'un étudiant, d'un enseignant, d'un administrateur ou de tout autre selon votre candidature. Ajoutez les rôles de fournisseur sous Valeur d'attribut de groupe et attribuez le rôle WordPress requis devant celui-ci sous Rôle WordPress.
  
  Par exemple, dans l'image ci-dessous. L'enseignant s'est vu attribuer le rôle d'administrateur et l'étudiant se voit attribuer le rôle d'abonné.

• Une fois le mappage enregistré, le rôle de fournisseur se verra attribuer le rôle d'administrateur WordPress après SSO.
  Mise en situation : Selon l'exemple donné, les utilisateurs avec le rôle « enseignant » seront ajoutés en tant qu'administrateur dans WordPress et « étudiant » sera ajouté en tant qu'abonné.

5. Étapes pour récupérer les groupes d'utilisateurs en tant que revendications

• Récupérer les groupes d'utilisateurs en tant que revendications
• Récupérer des groupes d'utilisateurs spécifiques en tant que revendications

• Ouvrez le Gestion ADFS outil situé sous le Outils en haut à droite du gestionnaire de serveur.
• Sélectionnez le Groupes d'applications élément de dossier dans la barre latérale gauche.

• Double-cliquez sur le groupe ajouté précédemment, puis double-cliquez sur le API Web .

• Sélectionnez l'onglet nommé Règles de transformation d'émission. Clique le Ajouter une règle bouton en bas.

• Sélectionnez Envoyer des attributs LDAP en tant que revendications et cliquez sur suivant.

• Donnez un nom à la règle, par exemple Rôles et sélectionnez "Active Directory" car "Magasin d'attributs".

• Dans le tableau ci-dessous, sélectionnez Noms non qualifiés des groupes de jetons dans la première colonne et tapez rôle dans la deuxième colonne.

• Ouvrez le Gestion ADFS outil situé sous le Outils en haut à droite du gestionnaire de serveur.
• Sélectionnez le Groupes d'applications élément de dossier dans la barre latérale gauche.

• Double-cliquez sur le groupe ajouté précédemment, puis double-cliquez sur le API Web .

• Sélectionnez l'onglet nommé Règles de transformation d'émission. Supprimez toutes les règles que vous avez déjà ajoutées et cliquez sur le bouton Ajouter une règle bouton en bas.

• Sélectionnez Envoyer des réclamations à l'aide d'une règle personnalisée et cliquez sur suivant.

• Donnez le nom à la règle Rôles du magasin et collez ce qui suit dans le Règle personnalisée champ:
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => add(store = "Active Directory", types = ("roles"), query = ";tokenGroups;{0}", param = c.Value);
• Cliquez sur Terminer et ajoutez encore une autre règle.
• Encore une fois, sélectionnez Envoyer des réclamations à l'aide d'une règle personnalisée et cliquez sur suivant.
• Donnez le nom à cette règle ProblèmeRôles et collez ce qui suit dans le Règle personnalisée champ:
c:[Type == "roles", Value =~ "^Prefix.+"] => issue(claim = c);
• La partie contenant //"^Prefix.+"// est une expression regex utilisée pour filtrer les groupes Windows envoyés dans le cadre des revendications. Dans ce cas nous n'acceptons que les groupes Windows commençant par "Préfixe". Ajustez-le pour répondre à vos besoins.
• Cliquez sur Terminer.

6. Paramètres de connexion

• Les paramètres de l'onglet Paramètres d'authentification unique (SSO) définissent l'expérience utilisateur pour l'authentification unique (SSO). Pour ajouter un widget de connexion Okta sur votre page WordPress, vous devez suivre les étapes ci-dessous.

Paramètres de connexion pour WordPress 5.7 et versions antérieures

• Cliquez sur Panneau de gauche WordPress > Apparences > Widgets.
• Sélectionnez miniOrange OAuth. Faites glisser et déposez vers votre emplacement préféré et enregistrez.


Paramètres de connexion pour WordPress 5.8

• Cliquez sur Panneau de gauche WordPress > Apparences > Widgets.
• Sélectionnez miniOrange OAuth. Faites glisser et déposez vers votre emplacement préféré et enregistrez.

• Ouvrez votre page WordPress et vous pourrez y voir le bouton de connexion Okta SSO. Vous pouvez tester l'authentification unique Okta (SSO) dès maintenant.

Paramètres de connexion pour WordPress 5.9

• Assurez-vous que le "Afficher sur la page de connexion" L’option est activée pour votre application. (Reportez-vous à l'image ci-dessous)

• Maintenant, va dans ton WordPress Login . (Par exemple https://<votre-domaine-wordpress>/wp-login.php)
• Vous y verrez un bouton de connexion Okta SSO. Une fois que vous aurez cliqué sur le bouton de connexion, vous pourrez tester l'authentification unique Okta (SSO).