Connecteur PHP SAML 2.0 agit en tant que fournisseur de services SAML qui peut être configuré pour établir la confiance entre l'application et un fournisseur d'identité compatible SAML afin d'authentifier en toute sécurité les utilisateurs dans votre application. Ici, nous allons passer en revue un guide étape par étape pour configurer ADFS en tant que fournisseur d'identité (Fournisseur d'identité) et Connecteur PHP SAML 2.0 en tant que SP (Fournisseur de services).

Pré-requis : Téléchargement Et Installation

• Pour obtenir le connecteur miniOrange PHP SAML 2.0 Nous contacter .
• Décompressez le connecteur PHP dans le répertoire où s'exécute votre application PHP.
• Accédez aux paramètres du connecteur SSO depuis votre navigateur avec l'URL https://<application-url>/sso
• Connectez-vous au connecteur PHP en utilisant votre Identifiants miniOrange.
• Dans le connecteur miniOrange PHP SAML 2.0, sous Paramètres Plugin onglet, vous obtiendrez le ID d'entité SP ainsi que URL ACS valeurs qui seront utilisées lors de la configuration de votre fournisseur d’identité.

Étapes pour configurer l’authentification unique ADFS (SSO)

1. Configurer ADFS en tant qu'IdP (fournisseur d'identité)

Suivez les étapes ci-dessous pour configurer ADFS en tant qu'IdP

 Configurer ADFS en tant qu'IdP

• Dans le plugin miniOrange SAML SP SSO, accédez à Métadonnées du fournisseur de services languette. Ici, vous pouvez trouver les métadonnées SP telles que l'ID d'entité SP et l'URL ACS (AssertionConsumerService) qui sont requises pour configurer le fournisseur d'identité.

• Sur ADFS, recherchez Gestion ADFS .

• Dans Gestion AD FS, sélectionnez Confiance de la partie de confiance et cliquez sur Ajouter une approbation de partie de confiance.

• Sélectionnez Revendications conscientes à partir de l'assistant de confiance de partie de confiance et cliquez sur Accueil .

 Sélectionnez la source de données

• Dans Sélectionner une source de données, sélectionnez la source de données pour ajouter une approbation de partie de confiance.

 Choisissez la politique de contrôle d'accès

• Sélectionnez Autoriser tout le monde comme politique de contrôle d'accès et cliquez sur Suivant.

 Prêt à ajouter de la confiance

• In Prêt à ajouter de la confiance cliquez sur Suivant et alors Fermer.

 Modifier la politique d'émission de réclamation

• Dans la liste des Confiance de la partie de confiance, sélectionnez l'application que vous avez créée et cliquez sur Modifier la politique d'émission de réclamation.

• Dans l'onglet Règle de transformation d'émission, cliquez sur Ajouter une règle .

 Choisissez le type de règle

• Sélectionnez Envoyer des attributs LDAP en tant que revendications et cliquez sur Suivant.

 Configurer la règle de réclamation

• Ajouter un Nom de la règle de revendication et sélectionnez le Magasin d'attributs comme requis dans la liste déroulante.
• Sous Mappage des attributs LDAP aux types de réclamations sortantes, Sélectionnez Attribut LDAP comme Adresses mail et type de réclamation sortante comme Nom ID.

• Une fois les attributs configurés, cliquez sur Finition.
• Après avoir configuré ADFS en tant qu'IDP, vous aurez besoin du Métadonnées de la Fédération pour configurer votre fournisseur de services.
• Pour obtenir les métadonnées de la fédération ADFS, vous pouvez utiliser cette URL
  https://< ADFS_Server_Name >/federationmetadata/2007-06/federationmetadata.xml
• Vous avez configuré avec succès ADFS en tant qu'IdP SAML (fournisseur d'identité) pour réaliser la connexion à authentification unique (SSO) ADFS.

SSO Windows (facultatif)

Suivez les étapes ci-dessous pour configurer Windows SSO

 Étapes pour configurer ADFS pour l'authentification Windows

• Ouvrez l'invite de commande élevée sur le serveur ADFS et exécutez la commande suivante :

setspn -a HTTP/##FQDN du serveur ADFS## ##Compte de service de domaine##

Le FQDN est un nom de domaine complet (Exemple : adfs4.example.com)

Le compte de service de domaine est le nom d'utilisateur du compte dans AD.

Exemple : setspn -a HTTP/adfs.example.com nom d'utilisateur/domaine

• Ouvrez la console de gestion AD FS, cliquez sur Services et aller à la Méthodes d'authentification section. A droite, cliquez sur Modifier les méthodes d'authentification principales. Vérifiez l'authentification Windows dans la zone Intranet.

• Ouvrez Internet Explorer. Accédez à l'onglet Sécurité dans les Options Internet.
• Ajoutez le nom de domaine complet d'AD FS à la liste des sites dans l'intranet local et redémarrez le navigateur.
• Sélectionnez Niveau personnalisé pour la zone de sécurité. Dans la liste des options, sélectionnez Connexion automatique uniquement dans la zone Intranet.

• Ouvrez le PowerShell et exécutez les deux commandes suivantes pour activer l'authentification Windows dans le navigateur Chrome.

Set-AdfsProperties -WIASupportedUserAgents ((Get-ADFSProperties | Select -ExpandProperty WIASupportedUserAgents) + "Chrome")

Get-AdfsProperties | Select -ExpandProperty WIASupportedUserAgents;

• Vous avez configuré avec succès ADFS pour l’authentification Windows.

2. Configurez le connecteur PHP en tant que SP

• In Paramètres Plugin, utilisez les détails de votre fournisseur d'identité pour configurer le plugin.

• Vous pouvez configurer le URL de base du SP ou laissez cette option telle quelle. D'autres champs sont optionnel.
• Cliquez sur le Épargnez pour enregistrer vos paramètres.

Testez la configuration

• Vous pouvez tester si le plugin est correctement configuré ou en cliquant sur le Configuration du test .

• Vous devriez voir un Test réussi comme indiqué ci-dessous avec les valeurs d'attribut de l'utilisateur envoyées par votre fournisseur d'identité.

3. Cartographie des attributs

• Extrait du Configuration du test fenêtre copie l'attribut qui renvoie email ainsi que Nom d'utilisateur.
• Vous pouvez ajouter n'importe quel Attribut personnalisé et cliquez sur Épargnez.

4. Activez le SSO dans votre application

Une fois le test SSO réussi, vous pouvez fournir une URL d'application vers laquelle les utilisateurs seront redirigés après la connexion.

• Pour ce faire, cliquez sur le Comment configurer? menu dans le connecteur SSO.
• Dans le champ de saisie URL de l'application, saisissez l'URL de votre application (vers laquelle vous souhaitez que les utilisateurs redirigent une fois connectés).
  
• Pour connecter l'utilisateur à votre application, vous pouvez lire l'attribut de session défini par le connecteur SSO.

 if(session_status() === PHP_SESSION_NONE)
            {
             session_start();
            }
             $email = $_SESSION['email'];
             $username = $_SESSION['username'];

• Vous pouvez utiliser les variables $ email ainsi que $ username dans votre application pour trouver l'utilisateur dans votre application php et démarrer la session pour l'utilisateur.
• Maintenant que le plugin est configuré, vous êtes prêt à l'utiliser dans votre application.
• Utilisez l'URL suivante comme lien dans votre application à partir de laquelle vous souhaitez effectuer le SSO :  " http:// /sso/login.php"
Par exemple, vous pouvez l'utiliser comme :
/sso/login.php">Se connecter
• Vos utilisateurs pourront effectuer du SSO dans votre application en cliquant sur le bouton Connexion lien.

Dans ce guide, vous avez configuré avec succès Authentification unique ADFS SAML (Connexion ADFS SSO) choose ADFS en tant que fournisseur d'identité .Cette solution garantit que vous êtes prêt à déployer un accès sécurisé à votre application PHP en utilisant Connexion ADFS informations d'identification en quelques minutes.

Ressources additionnelles

• Qu'est-ce que l'authentification unique (SSO) ?
• Qu'est-ce qu'ADFS ?
• Configurer les attributs LDAP en tant que revendications pour le mappage d'attributs
• Foire aux questions (FAQ)

Si vous cherchez quelque chose que vous ne trouvez pas, envoyez-nous un e-mail à samlsupport@xecurify.com