Active Directory Federation Services (ADFS) est le fournisseur d’identité sur site de Microsoft qui permet l’identité fédérée et l’accédant unique entre applications. Avec OpenID Connect SSO configuré entre ADFS et Document360, vos utilisateurs et lecteurs peuvent se connecter à Document360 en utilisant leurs identifiants Active Directory existants.
Seuls les utilisateurs ayant les rôles de projet Propriétaire ou Administrateur peuvent configurer SSO dans Document360.
Ce que vous pouvez faire avec l’ADFS comme IDP
| Capacités | Soutenu |
|---|---|
| Authentification utilisateur (portail) | Oui |
| Authentification par lecteur (site de base de connaissances) | Oui |
| Provisionnement SCIM | Oui (uniquement via des outils tiers ou des intégrations personnalisées) |
| Héritage de configuration SSO (projets parent-enfant) | Oui |
Avant que tu commences
- Vous avez un accès administratif à la fois à Document360 et à votre serveur ADFS.
- Vous avez l’accès Propriétaire ou Administrateur dans votre projet Document360.
- Ouvrez Document360 et ADFS dans deux onglets navigateur distincts avant de commencer.
Comment configurer ADFS OpenID SSO dans Document360
Étape 1 : Ajouter la demande dans ADFS
- Connectez-vous à la console de gestion ADFS sur votre serveur ADFS.
- Dans la console de gestion ADFS, naviguez jusqu’à Relying Party Trusts.
- Faites un clic droit sur les fiducies de la partie de confiance et sélectionnez Ajouter la confiance de la partie de confiance.
- Dans l’Assistant Confiance pour Ajouter une Partie Dépendante, choisissez Informations sur les réclamations et cliquez sur Démarrer.
- Sélectionnez manuellement Entrer les données concernant la partie dépendante et cliquez sur Suivant.
- Indiquez un nom d’affichage (par exemple, « Document360 OpenID SSO ») et cliquez sur Suivant.
- Dans l’étape Configurer le certificat , cliquez sur Suivant (vous pouvez passer cela si vous n’utilisez pas de certificat).
Étape 2 : Obtenir les paramètres SP depuis Document360
- Ouvrez Document360 dans un onglet séparé.
- Naviguez dans Paramètres () > Utilisateurs et permissions > Configuration SSO.
- Cliquez sur Créer SSO.
- Sélectionnez ADFS comme fournisseur d’identité pour accéder automatiquement à la page Configurer le fournisseur de services (SP ).
- Sur la page Configurer le fournisseur de services (SP), sélectionnez le bouton de radio OpenID .
- Un ensemble de paramètres sera affiché.
Étape 3 : Saisissez les paramètres Document360 dans ADFS
- Passez à l’onglet console de gestion ADFS et entrez les paramètres Document360 dans les champs correspondants de l’étape Configurer URL en utilisant la correspondance ci-dessous.
| ADFS | Document360 |
|---|---|
| Identification de parti fiable | Sous-domaine |
| URL de connexion | URL de redirection de connexion |
| URL de déconnexion | URL de redirection de déconnexion |
- Cliquez sur Suivant et complétez les étapes restantes de l’assistant, comme la configuration de l’authentification multi-facteurs si nécessaire, et la possibilité d’accéder à l’application à tous les utilisateurs.
- Vérifiez vos paramètres et cliquez sur Suivant pour ajouter la confiance de la partie dépendante.
- Sur le dernier écran, cochez la case Ouvrir la boîte de dialogue Modifier les règles de réclamation et cliquez sur Fermer.
Étape 4 : Ajouter les règles de réclamation dans l’ADFS
- Dans la boîte de dialogue Modifier les règles de réclamation , cliquez sur Ajouter une règle.
- Sélectionnez Envoyer des attributs LDAP comme réclamations comme modèle de règle et cliquez sur Suivant.
- Indiquez un nom pour la règle de réclamation (par exemple, « Envoyer des attributs LDAP »).
- Configurez ce qui suit :
- Magasin d’attributs : Sélectionnez Active Directory.
- Cartographie :
- Attribut LDAP : User-Principal-Name | Type de réclamation sortante : Nom d’identification
- Attribut LDAP : Adresses e-mail | Type de réclamation sortante : Email
- Attribut LDAP : Nom d’affichage | Type de réclamation sortante : Nom
- Cliquez sur Terminer pour ajouter la règle.
- Cliquez sur Appliquer pour enregistrer vos modifications et fermez la boîte de dialogue.
Étape 5 : Configurez le fournisseur d’identité dans Document360
- Retournez à Document360 sur la page Configurer le Fournisseur de Service (SP) et cliquez sur Suivant pour accéder à la page Configurer le Fournisseur d’Identité (IdP ).
- Saisissez les valeurs correspondantes de votre configuration ADFS en utilisant la correspondance ci-dessous.
| ADFS | Document360 |
|---|---|
| Identifiant client (ID client) | Client ID |
| Client Secret | Client Secret |
| URL de l’émetteur | Autorité (URL d’autorisation ou point de terminaison) |
Assurez-vous que l’identifiant client dans Document360 correspond à l’identifiant de la partie de confiance configuré dans ADFS.
- Dans le champ Scope (optionnel), tapez une valeur de scope et cliquez sur + pour l’ajouter comme puce. Cela définit quelles informations utilisateur ou permissions Document360 demande à ADFS. Vous pouvez additionner jusqu’à 3 lunettes de lunette.
- Cliquez sur Suivant pour accéder à la page de provisionnement SCIM .
Étape 6 : Configurer le provisionnement SCIM
Le provisionnement SCIM permet d’automatiser la gestion du cycle de vie utilisateur et lecteur entre ADFS et Document360. Comme ADFS ne prend pas en charge SCIM nativement, cela nécessite un outil tiers ou une intégration personnalisée.
Si vous n’avez pas besoin de provisionnement SCIM, passez à l’étape 7 : configurez le nom SSO et les options de connexion.
- Activez le bouton Activer la provision SCIM .
- Une boîte de dialogue de confirmation apparaît. Consultez les conditions, sélectionnez la case à cocher, puis cliquez sur Accepter.
- Les paramètres nécessaires pour compléter la configuration SCIM seront alors affichés.
La provisionnement SCIM dans ADFS peut être activée uniquement à l’aide d’outils tiers ou d’intégrations personnalisées. ADFS ne prend pas en charge nativement le provisionnement SCIM.
- Entrez les paramètres requis de Document360 dans les champs correspondants de votre application personnalisée.
- Dans le champ de rôle par défaut , le rôle est défini par défaut sur Contributeur . Vous pouvez changer cela depuis le menu déroulant si besoin.
- Dans les champs Groupes d’utilisateurs et Groupes de lecteurs , sélectionnez les groupes que vous souhaitez ajouter. Plusieurs groupes peuvent être ajoutés, et ils hériteront du rôle par défaut que vous avez sélectionné plus tôt.
- Cliquez sur Suivant pour accéder à la page Paramètres supplémentaires .
Étape 7 : Configurez le nom SSO et les options de connexion
- Dans le champ nom SSO , saisissez un nom pour la configuration SSO.
- Dans le bouton Personnaliser la connexion, saisissez le texte du bouton de connexion affiché aux utilisateurs.
- Attribution automatique du groupe de lecteurs : Cette option n’est disponible que pour les configurations SSO existantes. Pour les nouvelles configurations SSO, ce basculement ne sera pas affiché car SCIM fournit automatiquement les utilisateurs et les groupes.
- Activez ou désactivez la désactivation de la déconnexion utilisateur inactif du SSO selon vos besoins.
- Choisissez d’inviter les comptes utilisateurs et lecteurs existants à SSO.
- Cliquez sur Créer pour compléter la configuration SSO OpenID.
La configuration SSO utilisant ADFS et le protocole OpenID Connect est désormais active dans Document360.
Gestion des utilisateurs dans ADFS
Pour voir les lecteurs ajoutés via votre intégration ADFS :
- Dans Document360, allez dans Paramètres () > Utilisateurs et permissions > Lecteurs & groupes.
- Sélectionnez le lecteur pour accéder à son profil de lecteur.
Les lecteurs provisionnés via SCIM afficheront un badge SSO-SCIM à côté de leur nom.
Lorsque SCIM est activé, modifier le nom d’un utilisateur ou supprimer un utilisateur directement dans Document360 est désactivé, car ces actions doivent être gérées via votre IDP pour maintenir les deux plateformes synchronisées. Vous ne pouvez gérer l’accès au contenu que depuis Document360. Supprimer un profil dans votre IdP ne le retire pas de Document360 — le profil restera avec un statut Inactif.
Gérer l’accès au contenu des lecteurs, utilisateurs et groupes
Le rôle de contenu par défaut attribué à tout nouvel utilisateur, lecteur ou groupe est basé sur ce qui a été configuré lors de la configuration du provisionnement SCIM. Les permissions seront définies à Aucun par défaut mais pourront être mises à jour à tout moment.
- Sélectionnez le lecteur désiré et cliquez sur Gérer l’accès au contenu.
- Choisissez le niveau d’accès souhaité dans le menu déroulant et cliquez sur Mettre à jour.
Meilleures pratiques
- Vérifiez que l’identifiant client correspond à l’identifiant de la partie de confiance. L’identifiant client saisi dans Document360 doit correspondre exactement à l’identifiant de la partie de confiance configuré dans ADFS. Un décalage provoquera des échecs d’authentification.
- Utilisez le type de réclamation sortant correct pour les e-mails. Pour OpenID Connect ADFS, le type de revendication sortante pour l’email est Email, et non Adresses Email comme utilisé dans la configuration SAML. Utiliser le mauvais type de réclamation entraînera des erreurs d’identité utilisateur.
- Utilisez un outil tiers pour SCIM. ADFS ne prend pas en charge nativement le provisionnement SCIM. Planifiez votre approche de provisionnement utilisateur avant d’activer SCIM dans Document360.
- Faites tourner les secrets clients avant l’expiration. Le secret client configuré dans ADFS a une date d’expiration. À son expiration, l’authentification SSO échouera. Surveillez l’expiration et faites tourner les secrets à l’avance.
FAQ
Pourquoi SCIM n’est-il pas pris en charge nativement dans ADFS ?
ADFS est un service de fédération sur site construit sur les protocoles SAML et WS-Federation. Il n’inclut pas de point de terminaison SCIM intégré. Pour utiliser SCIM avec ADFS dans Document360, il vous faut un outil de provisionnement tiers ou une intégration personnalisée qui relie ADFS au protocole SCIM.
Que se passe-t-il avec le profil d’un utilisateur dans Document360 si je le supprime dans ADFS ?
Supprimer un profil utilisateur dans votre IdP ne le retire pas de Document360. Le profil restera sur Document360 avec un statut Inactif.
En quoi la correspondance des règles de revendication ADFS OpenID diffère-t-elle de la correspondance SAML ?
La correspondance des règles de réclamation pour OpenID Connect ADFS utilise Email comme type de réclamation sortante pour les adresses e-mail, tandis que la configuration SAML utilise Email-Addresses. Assurez-vous d’utiliser le type de réclamation correct pour le protocole que vous configurez.