Configurer Vmware Identity manager avec ADFS

Supposons que Dans ce blog, je vais vous expliquer les étapes d’installation et de configuration de votre vIDM pour se connecter à un environnement ADFS externe :

Installation ADFS

Tout d’abord, ADFS doit être configuré correctement, pour le configurer, les exigences suivantes sont nécessaires :

  • Certificat SSL signé
  • Serveur Windows
  • Domaine Active Directory

Sur votre serveur Windows, ajoutez d’abord les services de fédération en tant que rôle dans le gestionnaire de serveur sur votre serveur et assurez-vous de suivre les instructions à l’écran pour l’installer correctement.

Installation

Configuration

Après l’installation, vous pourrez configurer les services de fédération. Assurez-vous d’avoir un certificat SSL prêt et un compte de service qui a accès au domaine Active Directory.

Suivez les étapes d’installation à l’écran et cliquez sur configurer après avoir confirmé les prérequis.

Après avoir configuré votre AD FS, vous pouvez vous rendre dans la console AD FS Management :

Dans AD FS Management, accédez à AD FS > Service > Points de terminaison.
Recherchez les métadonnées de fédération dans la section Métadonnées, cela devrait ressembler à ceci :

FederationMetadata/2007-06/FederationMetadata.xml

Copiez ceci dans votre navigateur et placez votre URL ADFS avant pour télécharger le fichier XML. Cela sera utilisé dans la configuration de VMware Identity Manager :

Pour moi cela donne : https://ad.virtual.lab/FederationMetadata/2007-06/FederationMetadata.xml

Configuration vIDM

Connectez-vous à votre portail Identity Manager en tant qu’administrateur :

Après vous être connecté, allez dans l’onglet « Gestion des identités et des accès » et assurez-vous que sur la gauche vous êtes dans la section « Gérer ». Ici, vous pouvez ouvrir les « Fournisseurs d’identité » pour configurer votre Connexion ADFS.

Dans Fournisseurs d’identité, cliquez sur « Ajouter un fournisseur d’identité » et choisissez « IDP tiers »

Créez et nommez l’IDP, par exemple ; « ADFS »

Dans les métadonnées SAML, copiez le contenu du fichier xml que vous avez téléchargé à partir du serveur ADFS ou copiez et collez le lien. Cliquez ensuite sur « Traiter les métadonnées IDP »

Cela remplira tous les formats d’ID de nom pour la réponse SAML, tout en laissant tout par défaut.

Je ne souhaite pas utiliser le provisionnement d’utilisateurs juste-à-temps, je ne l’ai donc pas activé.

Pour le réseau, utilisez la valeur par défaut « Toutes les plages »

En option, vous pouvez configurer une page de déconnexion vers laquelle les utilisateurs sont redirigés après s’être déconnectés de leur session. Par exemple, j’utilise la page de connexion ADFS :

Avant d’ajouter l’IDP, assurez-vous de télécharger ou d’enregistrer l’URL des métadonnées SAML du fournisseur de services

Configuration AD FS pour vIDM

Sur le serveur ADFS, ouvrez la gestion ADFS, accédez à Relying Party Trust et créez une approbation de partie de confiance prenant en compte les revendications :

Cliquez sur démarrer

Saisissez l’url des métadonnées à partir du gestionnaire d’identité :

pour moi https://ad.virtual.lab/FederationMetadata/2007-06/FederationMetadata.xml

Si l’URL du vIDM n’est pas accessible depuis votre serveur ADFS, vous pouvez télécharger le sp.xml dans un fichier texte et le télécharger manuellement.

Laissez tous les paramètres par défaut et terminez la configuration.

Règles de réclamation

Une fois la confiance de partie de confiance configurée, vous devez configurer certaines règles de réclamation pour le nom d’utilisateur, l’e-mail, le prénom et le nom.

Faites un clic droit sur votre fiducie de partie de confiance et cliquez sur Modifier la politique d’émission de réclamation.

E-mail

Ajouter une règle et choisir le modèle : envoyer les attributs LDAP en tant que revendications. Appuyez sur suivant et remplissez les données comme indiqué ci-dessous et cliquez sur OK.

Créez une autre règle et choisissez maintenant « Envoyer des demandes à l’aide d’une règle personnalisée »

Saisissez un nom et collez les données suivantes et assurez-vous de remplacer XXXXXXXXX par le nom FQDN de votre vIDM :

c:[Type == “http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress”]
=> issue(Type = “http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier”, Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties[“http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format”] = “urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress”, Properties[“http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier”] = “XXXXXXXXX“);

Cliquer sur OK et votre AD FS est configuré.

Configuration de vIDM pour Utiliser AD FS

Pour vous assurer que le nouveau fournisseur d’identité est utilisé lorsqu’un utilisateur se connecte, vous devez modifier la configuration de la stratégie par défaut

Dans vIDM, accédez à Identity Access Management, dans Gérer, accédez à Politiques

Éditer la stratégie par défaut.

Dans la politique, vous pouvez spécifier quels appareils, réseaux ou groupes peuvent s’authentifier via ADFS. Dans cet exemple, j’utilise Tous les appareils et Toutes les plages.

Dans la section authentification, assurez-vous de choisir « alors l’utilisateur peut s’authentifier » la méthode d’authentification du mot de passe SAML créée.

Vous pouvez spécifier une méthode de secours pour les utilisateurs chaque fois que ADFS ne parvient pas à s’authentifier, par exemple Mot de passe (déploiement cloud)

Appuyez sur Enregistrer une fois que vous avez terminé.

Si tout c’est bien passé vous devriez pouvoir vous connecter avec vos logins AD FS