Authentification unique (SSO) DNN SAML avec Keycloak comme IDP

• Une fois la licence activée, le tableau de bord du plugin s'ouvrira comme indiqué ci-dessous.

• Dans le tableau de bord du plugin, cliquez sur le Métadonnées du fournisseur de services Cliquez sur le bouton du menu supérieur. Cela ouvrira la page Métadonnées du fournisseur de services.
• Sélectionnez le requis Format d'ID de nom Sélectionnez une option dans le menu déroulant (par exemple, Adresse e-mail ou Non spécifié) en fonction de la configuration de votre fournisseur d'identité, puis cliquez sur le bouton. Enregistrer bouton pour mettre à jour les paramètres.
• Le format NameID définit quel identifiant utilisateur (tel qu'une adresse e-mail ou un nom d'utilisateur) sera envoyé lors du processus de connexion SAML.

• Faites défiler jusqu'à la Partager les métadonnées SAML .

Vous pouvez obtenir les métadonnées du fournisseur de services SAML en utilisant l'une des deux méthodes décrites ci-dessous pour les configurer côté fournisseur d'identité.

A] Utilisation de l'URL de métadonnées SAML ou du fichier de métadonnées

• Sur cette page, vous trouverez l'URL des métadonnées ainsi que l'option permettant de télécharger le fichier XML des métadonnées SAML.
• Copiez l'URL des métadonnées ou téléchargez le fichier de métadonnées pour configurer la même chose côté fournisseur d'identité.
• Vous pouvez vous référer à la capture d'écran ci-dessous :

B] Téléchargement manuel des métadonnées

• Sur cette page, vous pouvez copier manuellement les métadonnées du fournisseur de services, telles que : ID d'entité SP, URL ACS, URL de déconnexion SP et partagez-le avec votre fournisseur d'identité pour la configuration.
• Vous pouvez vous référer à la capture d'écran ci-dessous :

Étapes de configuration d'un fournisseur d'identité Keycloak

• Dans votre Keycloak Administrateur console, sélectionnez le domaine que vous souhaitez utiliser.
• Cliquez sur ANNONCEURS dans le menu de gauche puis cliquez sur Créer un client bouton pour créer un nouveau client/application.

• Choisir SAML as Type de client, Entrez SP-EntityID / Émetteur car identité du client du Métadonnées du fournisseur de services onglet, que vous obtiendrez de Étape 2B, Entrer Nom de votre candidature et entrez Description.

• Cliquez sur le Suivant .
• Fournissez les détails mentionnés ci-dessous :

URL racine	Laisser vide ou fournir URL de base à partir de l'onglet Métadonnées du fournisseur de services
URI de redirection valides	Le URL ACS (Assertion Consumer Service) depuis l'onglet Métadonnées du fournisseur de services du plugin

• Cliquez sur Enregistrer .

• Dans l' Paramètres onglet sous Capacités SAML , configurez Keycloak en fournissant les détails requis :

Forcer la liaison POST	de remise
Forcer le format de l'ID du nom	de remise
Format d'identification du nom	Email

• Dans l' Clés / Key onglet, désactivez l'onglet Signature du client requise basculer.

• Cliquez sur le Enregistrer .
• In Avancé onglet, sous Configuration du point de terminaison SAML à grain fin, saisissez les informations suivantes :

URL de liaison POST du service consommateur d’assertions	Le URL ACS (Assertion Consumer Service) depuis l'onglet Métadonnées du fournisseur de services du plugin
URL de liaison de redirection du service de déconnexion (Facultatif)	Le URL de déconnexion unique depuis l'onglet Métadonnées du fournisseur de services du plugin

• Cliquez sur Enregistrer .

Ajouter des mappeurs

Télécharger le fichier d'installation

Vous avez configuré avec succès Keycloak en tant que fournisseur d'identité SAML (IdP) pour permettre la connexion SSO Keycloak à votre site DNN.

• Cliquez sur le Ajouter un nouveau fournisseur d'identité bouton pour configurer un nouveau fournisseur d'identité.

• Sous l'onglet Paramètres du plugin, sélectionnez Cape de clé comme fournisseur d'identité parmi la liste affichée.

• Après avoir sélectionné votre fournisseur d'identité dans la liste, la page Paramètres du fournisseur d'identité s'ouvrira. Ici, vous pouvez cliquer sur Télécharger les métadonnées du fournisseur d'identité bouton pour configurer automatiquement le fournisseur d'identité à l'aide des métadonnées, ou saisissez manuellement les informations requises concernant le fournisseur d'identité sous le Paramètres du fournisseur d'identité.

Vous trouverez ci-dessous deux méthodes détaillées pour configurer les métadonnées de votre fournisseur d'identité SAML dans le plugin.

A] Téléchargez les métadonnées à l'aide du bouton Télécharger les métadonnées IDP :

• Cliquez à nouveau Choisissez le fichier pour télécharger le fichier XML de métadonnées à l'aide de Téléverser un fichier XML option, puis cliquez sur Télécharger une présentation . Sinon, fournissez le URL des métadonnées dans le Saisissez l'URL des métadonnées section et cliquez Récupérer les métadonnées pour récupérer automatiquement la configuration du fournisseur d'identité.
• Vous pouvez vous référer à la capture d'écran ci-dessous :

B] Configurez manuellement les métadonnées du fournisseur d'identité :

• Sinon, sous l'onglet Paramètres du fournisseur d'identité, vous pouvez remplir manuellement les champs obligatoires comme Nom du fournisseur d'identité, ID de l'entité du fournisseur d'identité et URL d'authentification unique et cliquez sur Enregistrer les paramètres.

• Après avoir téléchargé les métadonnées, retournez au tableau de bord. Survolez l'élément suivant : Sélectionner des actions Dans le menu déroulant situé à côté du fournisseur d'identité configuré, cliquez sur Configuration du test.

• Une fois la configuration réussie, vous obtiendrez le nom et les valeurs des attributs dans la fenêtre de configuration de test.

Cartographie d'attributs

• Après avoir testé la configuration, faites correspondre les attributs de votre application avec les attributs du fournisseur d'identité (IdP).

• Extrait du Sélectionner des actions menu déroulant, choisissez Modifier la configuration pour ouvrir les paramètres de mappage des attributs.
• Cartographiez les éléments requis attributs du fournisseur d'identité (tels que le nom d'utilisateur, l'adresse e-mail, le prénom et le nom de famille) reçus dans la réponse SAML à leurs champs correspondants.

• Une fois les attributs mappés, cliquez sur Enregistrer appliquer des modifications.

Mappage des rôles par défaut

• Accédez à la Mappage des rôles par défaut Dans cette section, sélectionnez le rôle que vous souhaitez attribuer aux utilisateurs après une connexion SSO réussie. Rôle par défaut menu déroulant.
• Choisissez le rôle approprié (par exemple, Utilisateurs enregistrés, Abonnés ou Administrateurs) et cliquez sur le Enregistrer bouton pour appliquer les modifications.

Paramètres IDP avancés

Si vous souhaitez configurer des paramètres avancés supplémentaires, faites défiler vers le haut et cliquez sur Paramètres IdP avancés bouton du menu supérieur.

Mappage d'attributs personnalisés

• Si vous souhaitez transmettre des attributs supplémentaires de votre IdP, saisissez le nom de l'attribut et la valeur de l'attribut correspondant sous Mappage d'attributs personnalisés.
• Extrait du Valeur d'attribut Dans la liste déroulante, sélectionnez l'un des attributs reçus dans les résultats de la configuration de test, par exemple : NameID.
• Ces attributs correspondent aux valeurs envoyées par votre fournisseur d'identité (IdP).

• Dans l' Nom d'attribut Dans ce champ, saisissez le nom de l'attribut utilisateur DNN ; il sera associé à la valeur des attributs IDP lors de la connexion SSO.
• Vous pouvez ajouter plusieurs mappages si votre application nécessite plusieurs attributs en cliquant sur le + .
• Après avoir défini tous les mappages requis, cliquez sur Enregistrer le mappage d'attributs pour enregistrer la configuration.

• Le plugin traduira les attributs SAML entrants de votre fournisseur d'identité (IdP) en noms d'attributs personnalisés configurés ici pour votre site DNN.

Cartographie avancée des rôles

• Dans l' Cartographie avancée des rôles section , entrez le Nom de l'attribut du groupe exactement comme configuré dans votre fournisseur d'identité pour récupérer les informations sur le groupe d'utilisateurs.
• Entrer le Nom de rôle reçu du fournisseur d'identité et l'associer à l'élément approprié Valeur du rôle Dans le champ Valeur du rôle, saisissez les rôles définis dans votre site DNN.
• Par exemple : associez le groupe IdP Group1 ou Group10 reçu sous l’attribut UserGroups au rôle correspondant configuré dans votre site DNN.
• Après avoir ajouté les correspondances requises, cliquez sur Sauvegarder la cartographie des rôles pour enregistrer la configuration avec succès.

Restriction de domaine

• Cette fonctionnalité peut être utilisée pour restreindre l'accès des utilisateurs au site en fonction du domaine de leur attribut « Email » associé.
• Dans l' Attribut d'e-mail Dans ce champ, saisissez le nom de l'attribut qui contient l'adresse électronique de l'utilisateur telle que reçue de votre fournisseur d'identité (IdP).

• Dans l' Services Dans ce champ, saisissez le ou les domaines que vous souhaitez autoriser ou restreindre, séparés par des virgules si vous ajoutez plusieurs domaines.
• Activez la Basculement de restriction en fonction de votre besoin de configurer l'accès par liste noire ou liste blanche.
• Une fois la configuration terminée, cliquez sur Enregistrer pour enregistrer les paramètres avec succès.

Redirections après l'authentification unique (SSO) et l'objectif de niveau de service (SLO)

• Dans l' Redirection de connexion Dans cette section, saisissez l'URL du point de terminaison vers lequel les utilisateurs doivent être redirigés après une connexion SSO réussie.
• Dans l' Redirection de déconnexion Dans cette section, spécifiez l'URL du point de terminaison vers lequel les utilisateurs doivent être redirigés après une déconnexion réussie (SLO), puis cliquez sur Enregistrer mettre à jour la configuration.

Modifier la requête SAML

• Dans l' Modifier la requête SAML section, entrez les informations requises Le nom du paramètre et Valeur du paramètre, clique le + bouton pour ajouter le paramètre, puis cliquez Enregistrer appliquer les changements.

Paramètres additionnels

• Permettre Enregistrement automatique de l'utilisateur créer automatiquement un nouveau compte utilisateur dans DNN si l'utilisateur n'existe pas déjà lors de la connexion SSO.
• Permettre Remplacer l'attribut d'adresse e-mail mettre à jour l'adresse e-mail de l'utilisateur dans DNN avec l'attribut e-mail reçu du fournisseur d'identité (IdP).
• Permettre Rechercher un utilisateur par e-mail pour permettre au plugin d'identifier et de faire correspondre les utilisateurs existants dans DNN à l'aide de leur adresse électronique.
• Permettre Authentification unique multiportail Si vous souhaitez autoriser l'authentification unique sur plusieurs portails DNN utilisant le même fournisseur d'identité (IdP), cliquez ici. Enregistrer pour mettre à jour les paramètres.

• Survolez le Sélectionner des actions Dans le menu déroulant situé à côté du fournisseur d'identité configuré, cliquez sur Copier le lien SSO.
• Utilisez ce lien SSO pour lancer l'authentification unique (SSO) pour les utilisateurs se connectant à votre portail DNN.

• L'utilisateur se connecte au site DNN en saisissant ses identifiants Keycloak.