Retrouvez-nous au Camp de mots européen | Parlons-boutique | DrupalCon Des conférences pour explorer nos solutions. En savoir plus
Table des matières
Umbraco SAML Single Sign-On (SSO) avec Azure B2C comme IDP
Authentification unique Umbraco SAML (SSO)
Le plugin donne la possibilité d'activer l'authentification unique SAML pour vos applications Umbraco. Grâce à l'authentification unique, vous ne pouvez utiliser qu'un seul mot de passe pour accéder à votre application et à vos services Umbraco. Notre plugin est compatible avec tous les logiciels compatibles SAML
fournisseurs d'identité. Ici, nous allons passer en revue un guide étape par étape pour configurer l'authentification unique (SSO) entre Umbraco et Azure B2C en considérant Azure B2C comme IdP. Pour en savoir plus sur les fonctionnalités que nous proposons pour Umbraco SSO, cliquez sur
ici.
Sélectionnez votre version d'Umbraco pour configurer SSO avec :
Pour configurer le module, extrayez le
umbraco-saml-sso-connector.zip, vous trouverez un fichier DLL
miniorange-saml-sso.dll, un fichier de configuration saml.config et un intégration.md fichier qui contient les étapes d’ajout du module dans votre application.
Ajouter miniorange-saml-sso.dll dans le dossier bin (où existent vos autres fichiers DLL) de votre site Umbraco.
Inscription miniorangesamlsso module pour votre SSO umbraco selon les étapes fournies dans le intégration.md fichier.
Ajoutez le fichier de configuration fourni saml.config dans le répertoire racine de votre site umbraco.
Après l'intégration, ouvrez le navigateur et parcourez le tableau de bord du module avec l'URL ci-dessous : https://<umbraco-base-url>/?ssoaction=config
Si la page d'inscription ou la page de connexion apparaît, vous avez ajouté avec succès le module sso miniOrange saml pour votre application.
Inscription or Connexion pour configurer le module.
Configurer l'authentification unique (SSO) Umbraco à l'aide d'Azure B2C comme IDP
1. Configurez Azure B2C en tant qu'IDP
Il existe ci-dessous deux manières de configurer les métadonnées SAML SP sur votre côté Azure B2C.
A] Utilisation d'une URL de métadonnées SAML ou d'un fichier de métadonnées :
En vertu des Normes sur l’information et les communications, les organismes doivent rendre leurs sites et applications Web accessibles. Ils y parviennent en conformant leurs sites Web au niveau AA des Web Content Accessibility Guidelines (WCAG). Paramètres du fournisseur de services section, vous pouvez trouver l'URL des métadonnées ainsi que l'option de télécharger les métadonnées SAML
Copiez l'URL des métadonnées ou téléchargez le fichier de métadonnées pour configurer la même chose sur votre côté Azure B2C.
Vous pouvez vous référer à la capture d'écran ci-dessous :
B] Téléchargement manuel des métadonnées :
Dans la section Paramètres du fournisseur de services, vous pouvez copier manuellement les métadonnées du fournisseur de services, telles que l'ID d'entité SP, l'URL ACS, l'URL de déconnexion unique, et les fournir à votre fournisseur d'identité pour la configuration.
Vous pouvez vous référer à la capture d'écran ci-dessous :
Dans le locataire Azure AD B2C, sélectionnez Inscriptions d'applications, puis sélectionnez Nouvelle inscription.
Pour Nom, entrez IdentityExperienceFramework.
Sous Types de compte pris en charge, sélectionnez
Comptes dans ce répertoire organisationnel uniquement.
Sous URI de redirection, sélectionnez Web, puis entrez « https://your-tenant-name.b2clogin.com/your-tenant-name.onmicrosoft.com », où votre-tenant-name est le nom de domaine de votre locataire Azure AD B2C.
REMARQUE:
À l'étape suivante, si le 'Autorisations' n’est pas visible, cela peut être la raison pour laquelle vous n’avez pas d’abonnement AzureAD B2C actif pour ce locataire. Vous pouvez trouver les détails concernant l'abonnement AzureAD B2C
ici
et vous pouvez créer un nouveau locataire en suivant les étapes
ici.
Sous Permissions, cochez la case Accorder le consentement de l'administrateur aux autorisations openid et offline_access.
Sélectionnez Inscription.
Enregistrez le ID de l'application (client) pour une utilisation ultérieure.
Sélectionnez Inscriptions d'applications, Puis sélectionnez Nouvelle inscription.
Pour Nom, saisissez ProxyIdentityExperienceFramework.
Sous Types de compte pris en charge, sélectionnez
Comptes dans ce répertoire organisationnel uniquement.
Sous URI de redirection, utilisez le menu déroulant pour sélectionner
Client public/natif (mobile et ordinateur).
Pour URI de redirection, saisissez myapp://auth.
Sous Permissions, cochez la case Accorder le consentement de l'administrateur aux autorisations openid et offline_access.
Sélectionnez Inscription.
Enregistrez le ID de l'application (client) pour une utilisation ultérieure.
Précisez ensuite que l'application doit être traitée comme un client public
Sous Gérer, sélectionnez Authentification.
Sous paramètres avancés, activer
Autoriser les flux de clients publics (sélectionnez Oui).
Sélectionnez Épargnez.
Maintenant, accordez des autorisations à la portée de l'API que vous avez exposée précédemment lors de l'enregistrement IdentityExperienceFramework.
Sous Gérer, sélectionnez Autorisations API.
Sous Autorisations configurées, sélectionnez Ajouter une autorisation.
Sélectionnez le Mes API onglet, puis sélectionnez
Cadre d'expérience d'identité .
Sous Autorisation, Sélectionnez l' user_usurpation d'identité portée que vous avez définie précédemment.
Sélectionnez Ajouter des autorisations. Comme indiqué, attendez quelques minutes avant de passer à l'étape suivante.
Sélectionnez Accordez le consentement de l'administrateur pour (nom de votre locataire).
Sélectionnez votre compte d'administrateur actuellement connecté ou connectez-vous avec un compte dans votre locataire Azure AD B2C auquel a été attribué au moins le rôle d'administrateur d'application Cloud.
Sélectionnez Oui.
Sélectionnez Refresh, puis vérifiez que « Accordé pour... » apparaît sous
Statut pour les étendues - offline_access, openid et user_impersonation. La propagation des autorisations peut prendre quelques minutes.
Enregistrez l'application Umbraco
Sélectionnez Inscriptions d'applications, Puis sélectionnez Nouvelle inscription.
Entrez un nom pour l'application tel que : Application WP.
Sous Types de compte pris en charge, sélectionnez
Comptes dans n’importe quel annuaire d’organisation ou n’importe quel fournisseur d’identité. Pour authentifier les utilisateurs avec Azure AD B2C.
Sous URI de redirection, sélectionnez Web, puis entrez l'URL ACS à partir du
Paramètres du fournisseur de services onglet du plugin miniOrange Umbraco SAML.
Sélectionnez Inscription.
Sous Gérer, cliquer sur Exposer une API.
Cliquez sur Ensemble pour l'URI de l'ID d'application, puis cliquez sur
Épargnez, en acceptant la valeur par défaut.
Une fois enregistré, copiez l'URI de l'ID d'application et accédez au
Métadonnées du fournisseur de services onglet du plugin.
Collez la valeur copiée sous le ID d'entité SP/émetteur champ prévu dans cet onglet.
Cliquez sur Enregistrer.
Générer des politiques SSO
Depuis notre portail Azure B2C, accédez à la section Présentation de votre locataire B2C et enregistrez le nom de votre locataire. REMARQUE: Si votre domaine B2C est b2ctest.onmicrosoft.com, le nom de votre locataire est b2ctest.
Entrez votre Nom du locataire Azure B2C ci-dessous, ainsi que l'ID d'application pour IdentityExperienceFramework et Applications ProxyIdentityExperienceFramework telles qu’enregistrées dans les étapes ci-dessus.
Cliquez sur le Générer des stratégies Azure B2C bouton pour télécharger les politiques SSO.
Extrayez le fichier zip téléchargé. Il contient les fichiers de stratégie et le certificat (.pfx), dont vous aurez besoin dans les étapes suivantes.
Configurer et télécharger des certificats
REMARQUE:
À l'étape suivante, si le « Cadre d'expérience d'identité » n'est pas cliquable, cela peut être la raison pour laquelle vous n'avez pas d'abonnement Azure AD B2C actif pour ce locataire. Vous pouvez trouver les détails concernant l’abonnement Azure AD B2C
ici
et vous pouvez créer un nouveau locataire en suivant les étapes
ici.
Connectez-vous à la
Portail Azure
et accédez à votre locataire Azure AD B2C.
Sous Politiques internes, sélectionnez Cadre d'expérience d'identité et alors
Clés de politique.
Sélectionnez Ajouter, Puis sélectionnez Options > Télécharger
Entrez le nom comme SamlIdpCert. Le préfixe B2C_1A_ est automatiquement ajouté au nom de votre clé.
À l'aide du contrôle de téléchargement de fichiers, téléchargez votre certificat généré au cours des étapes ci-dessus avec les politiques SSO (tenantname-cert.pfx).
Saisissez le mot de passe du certificat comme nom de locataire et cliquez sur
Création. Par exemple, si le nom de votre locataire est xyzb2c.onmicrosoft.com, entrez le mot de passe sous la forme xyzb2c.
Vous devriez pouvoir voir une nouvelle clé de stratégie portant le nom B2C_1A_SamlIdpCert.
Créer la clé de signature
Sur la page de présentation de votre locataire Azure AD B2C, sous Politiques internes, sélectionner Cadre d'expérience d'identité.
Sélectionnez Clés de politique puis sélectionnez Ajouter.
Pour Options, choisissez Générer.
In Nom, saisissez TokenSigningKeyContainer.
Pour Type de clé, sélectionnez RSA.
Pour Utilisation des clés, sélectionnez Signature.
Sélectionnez Création.
Créer la clé de chiffrement
Sur la page de présentation de votre locataire Azure AD B2C, sous Politiques internes, sélectionner Cadre d'expérience d'identité.
Sélectionnez Clés de politique puis sélectionnez Ajouter.
Pour Options, choisissez Générer.
In Nom, saisissez TokenEncryptionKeyContainer.
Pour Type de clé, sélectionnez RSA.
Pour Utilisation des clés, sélectionnez Chiffrement.
Sélectionnez Création.
Téléchargez les politiques
Sélectionnez le Cadre d'expérience d'identité élément de menu dans votre locataire B2C dans le portail Azure.
Sélectionnez Télécharger une stratégie personnalisée.
Conformément à l'ordre suivant, téléchargez les fichiers de stratégie téléchargés lors des étapes ci-dessus :
TrustFrameworkBase.xml
TrustFrameworkExtensions.xml
InscriptionOuSignin.xml
ProfilEdit.xml
Mot de passeRéinitialiser.xml
InscriptionOuConnexionSAML.xml
Au fur et à mesure que vous téléchargez les fichiers, Azure ajoute le préfixe B2C_1A_ à chacun.
Vous avez configuré avec succès Azure B2C en tant que SAML IDP (Identity Provider) pour réaliser l'authentification unique (SSO) Umbraco.
2. Configurez Umbraco en tant que SP
Remarque: Après l'installation du plugin, nous devons configurer la confiance entre votre application Umbraco et Azure B2C. Les métadonnées SAML sont partagées avec Azure B2C afin qu'ils puissent mettre à jour leur configuration intégrée pour prendre en charge l'authentification unique.
2.1 : Partager des métadonnées SAML avec Azure B2C
Cliquez sur Ajouter un nouveau fournisseur d'identité pour configurer Umbraco Single Sign-On (SSO) avec Azure B2C.
Sous Paramètres du fournisseur de services onglet, vous pouvez soit copier-coller le
URL des métadonnées de votre côté IDP ou télécharger les métadonnées SP sous forme de fichier XML. De plus, vous avez la possibilité de copier et coller manuellement
URL de base, ID d'entité SPet URL ACS.
Partagez les métadonnées SAML avec votre fournisseur d'identité.
2.2 : Importer les métadonnées Azure B2C SAML
Sélectionnez Azur B2C dans la liste des fournisseurs d’identité affichée ci-dessous.
Vous trouverez ci-dessous deux manières de configurer les métadonnées de votre fournisseur d'identité SAML dans le module.
A] Téléchargez les métadonnées à l'aide du bouton Télécharger les métadonnées IDP :
Si votre fournisseur d'identité vous a fourni l'URL ou le fichier de métadonnées (format .xml uniquement), alors vous configurez simplement les métadonnées du fournisseur d'identité dans le module à l'aide du
Télécharger les métadonnées du fournisseur d'identité option.
Vous pouvez vous référer à la capture d'écran ci-dessous
Vous pouvez choisir l'une des options en fonction du format de métadonnées avec lequel vous êtes disponible.
B] Configurez manuellement les métadonnées du fournisseur d'identité :
Après avoir configuré votre Fournisseur d'identité, il vous fournira
ID d'entité IDP, URL d'authentification unique IDP ainsi que Certificat x.509. Configurez ces valeurs sous ID d'entité IDP, URL d'authentification unique ainsi que
Certificat SAML X509 champs respectivement.
Cliquez Épargnez pour enregistrer vos informations IDP.
Vous avez configuré avec succès votre application Umbraco en tant que fournisseur de services.
3. Test de l'authentification unique SAML
Cliquez
ici
si vous n’avez pas déjà configuré MFA sur Azure B2C. Vous pouvez également désactiver MFA pour Azure B2C en cliquant sur
ici.
Avant de tester, veuillez vous assurer de ce qui suit :
Les métadonnées SAML d'Umbraco (SP) ont été exportées vers Azure B2C (IDP).
Importation des métadonnées SAML Azure B2C (IDP) dans Umbraco (SP).
Pour tester si la configuration SAML que vous avez effectuée est correcte, accédez à
Sélectionner des actions puis clique Configuration du test.
Remarque: Dans la version d'essai du plugin, vous ne pouvez configurer et tester qu'un seul fournisseur d'identité (IDP).
La capture d'écran ci-dessous montre un résultat réussi. Cliquer sur
OK pour poursuivre l'intégration SSO.
Si vous rencontrez une erreur à l'extrémité du module, une fenêtre similaire à celle ci-dessous s'affichera.
Pour résoudre l'erreur, vous pouvez suivre les étapes ci-dessous :
Sous
Dépannage
, activez la bascule pour recevoir les journaux du plugin.
Une fois activé, vous pourrez récupérer les journaux du plugin en accédant à
Paramètres du fournisseur d'identité onglet et en cliquant sur
Configuration du test.
Télécharger fichier journal du Résolution des problèmes onglet pour voir ce qui n'a pas fonctionné.
Vous pouvez partager le fichier journal avec nous à
umbracosupport@xecurify.com
et notre équipe vous contactera pour résoudre votre problème.
4. Paramètres de connexion
Cliquez sur Sélectionner des actions et cliquez sur Copier le lien SSO.
Utilisez le lien copié dans l'application à partir de laquelle vous souhaitez effectuer le SSO
Par exemple, vous pouvez l'utiliser comme : <a href="copied-sso-link”>Login</a>"
5. Paramètres de déconnexion
Utilisez l'URL suivante comme lien dans votre Umbraco à partir duquel vous souhaitez effectuer un SLO : https://umbraco-base-url/?ssoaction=logout
Par exemple, vous pouvez l'utiliser comme : <a
href="https://umbraco-base-url/?ssoaction=logout”>Logout</a>"
Vous pouvez même configurer le
nopCommerce SAML Authentification unique (SSO)
module avec tous les fournisseurs d'identité tels que
ADFS, Azure AD, Bitium, Centrify, G Suite, JBoss Keycloak, Okta, OneLogin, Salesforce, AWS Cognito, OpenAM, Oracle, PingFederate, PingOne, RSA SecureID, Shibboleth-2, Shibboleth-3, SimpleSAML, WSO2
ou même avec votre propre fournisseur d'identité personnalisé. Consultez la liste des fournisseurs d'identité
ici.
Vous ne parvenez pas à trouver votre fournisseur d'identité ? Envoyez-nous un mail à
umbracosupport@xecurify.com
et nous vous aiderons à configurer le SSO avec votre IDP et pour des conseils rapides (par e-mail/réunion) sur vos besoins et notre équipe vous aidera à sélectionner la solution/le plan le mieux adapté à vos besoins.
×
Recherches tendances :
Bonjour!
Besoin d'aide? Nous sommes ici !
Contacter l'assistance miniOrange
Merci pour votre demande.
Si vous n'avez pas de nouvelles de nous dans les 24 heures, n'hésitez pas à envoyer un e-mail de suivi à info@xecurify.com
Préférences de cookies
Consentement aux cookies
Cette déclaration de confidentialité s'applique aux sites Web miniorange décrivant la manière dont nous traitons les informations personnelles. Lorsque vous visitez un site Web, celui-ci peut stocker ou récupérer des informations sur votre navigateur, principalement sous la forme de cookies. Ces informations peuvent concerner vous, vos préférences ou votre appareil et sont principalement utilisées pour que le site fonctionne comme vous le souhaitez. Les informations ne vous identifient pas directement, mais elles peuvent vous offrir une expérience Web plus personnalisée. Cliquez sur les titres des catégories pour vérifier comment nous traitons les cookies. Pour la déclaration de confidentialité de nos solutions, vous pouvez vous référer au Politique de confidentialité.
Cookies strictement nécessaires
Toujours actif
Les cookies nécessaires contribuent à rendre un site Web pleinement utilisable en activant les fonctions de base telles que la navigation sur le site, la connexion, le remplissage de formulaires, etc. Les cookies utilisés pour la fonctionnalité ne stockent aucune information personnelle identifiable. Cependant, certaines parties du site Web ne fonctionneront pas correctement sans les cookies.
Cookies de performance
Toujours actif
Ces cookies collectent uniquement des informations agrégées sur le trafic du site Web, notamment les visiteurs, les sources, les clics et les vues des pages, etc. Cela nous permet d'en savoir plus sur nos pages les plus et les moins populaires ainsi que sur l'interaction des utilisateurs sur les éléments exploitables et ainsi de permettre nous améliorons les performances de notre site Web ainsi que de nos services.