Active Directory Federation Services (ADFS) est le fournisseur d’identité sur site de Microsoft qui permet l’identité fédérée et l’accédant unique entre applications. Avec le SSO SAML configuré entre ADFS et Document360, vos membres d’équipe et lecteurs peuvent se connecter à Document360 en utilisant leurs identifiants Active Directory existants.
Seuls les utilisateurs ayant les rôles de projet Propriétaire ou Administrateur peuvent configurer SSO dans Document360.
Ce que vous pouvez faire avec l’ADFS comme IDP
| Capacités | Soutenu |
|---|---|
| Authentification des membres de l’équipe (portail) | Oui |
| Authentification par lecteur (site de base de connaissances) | Oui |
| Connexion initiée par l’IdP | Oui |
| Provisionnement SCIM | Oui (uniquement via des outils tiers ou des intégrations personnalisées) |
| Héritage de configuration SSO (projets parent-enfant) | Oui |
ADFS ne prend pas en charge nativement le provisionnement SCIM. SCIM ne peut être activé qu’à l’aide d’outils tiers ou d’intégrations personnalisées.
Avant que tu commences
- Vous avez un accès administratif à la fois à Document360 et à votre serveur ADFS.
- Vous avez l’accès Propriétaire ou Administrateur dans votre projet Document360.
- Ouvrez Document360 et ADFS dans deux onglets de navigateur distincts. Vous devrez passer plusieurs fois de l’un à l’autre pendant la configuration.
Étape 1 : Créer une fiducie de confiance dans l’ADFS
Ajouter la demande dans ADFS
- Connectez-vous à la console de gestion ADFS sur votre serveur ADFS.
- Dans la console de gestion ADFS, naviguez jusqu’à Relying Party Trusts.
- Faites un clic droit sur les fiducies de la partie de confiance et sélectionnez Ajouter la confiance de la partie de confiance.
- Dans l’Assistant Confiance pour Ajouter une Partie Dépendante, choisissez Informations sur les réclamations et cliquez sur Démarrer.
- Sélectionnez manuellement Entrer les données concernant la partie dépendante et cliquez sur Suivant.
- Indiquez un nom d’affichage (par exemple, « Document360 SAML SSO ») et cliquez sur Suivant.
- Dans l’étape Configurer le certificat , cliquez sur Suivant (vous pouvez passer cela si vous n’utilisez pas de certificat).
- Dans Configurer URL, sélectionnez Activer la prise en charge du protocole SAML 2.0 Web SSO.
Étape 2 : Configurer ADFS avec les paramètres du fournisseur de services Document360
Obtenez les paramètres SP depuis Document360
- Ouvrez Document360 dans un onglet séparé.
- Naviguez dans Paramètres () > Utilisateurs et permissions > Configuration SSO.
- Cliquez sur Créer SSO.
- Sélectionnez ADFS comme fournisseur d’identité (IdP) pour accéder automatiquement à la page Configurer le fournisseur de services (SP ).
- Sur la page Configurer le fournisseur de service (SP), sélectionnez le bouton radio SAML comme protocole.
- Un ensemble de paramètres sera affiché pour compléter la configuration SAML dans ADFS.
Voici les paramètres Document360 dans ADFS
Entrez les paramètres Document360 dans les champs correspondants des étapes Configurer URL et Identifiants dans ADFS en utilisant la correspondance ci-dessous.
| ADFS | Document360 |
|---|---|
| Identification de parti fiable | ID d’entité fournisseur de services |
| URL de connexion | Chemin de rappel |
| URL de déconnexion | Chemin de rappel de connexion |
| Confiance à l’identifiant de fiducie de la partie | Sous-domaine |
| URL des métadonnées | Chemin des métadonnées |
- Cliquez sur Suivant et complétez les étapes restantes de l’assistant, comme la configuration de l’authentification multi-facteurs si nécessaire, et la possibilité d’accéder à l’application à tous les utilisateurs.
- Vérifiez vos paramètres et cliquez sur Suivant pour ajouter la confiance de la partie dépendante.
- Sur le dernier écran, cochez la case Ouvrir la boîte de dialogue Modifier les règles de réclamation et cliquez sur Fermer.
Étape 3 : Configurer les règles de réclamation dans ADFS
Ajouter des règles de réclamation
- Dans la boîte de dialogue Modifier les règles de réclamation , cliquez sur Ajouter une règle.
- Sélectionnez Envoyer des attributs LDAP comme réclamations comme modèle de règle et cliquez sur Suivant.
- Indiquez un nom pour la règle de réclamation (par exemple, « Envoyer des attributs LDAP »).
- Configurez ce qui suit :
- Magasin d’attributs : Sélectionnez Active Directory.
- Cartographie :
- Attribut LDAP : User-Principal-Name | Type de réclamation sortante : Nom d’identification
- Attribut LDAP : Adresses e-mail | Type de réclamation sortante : Adresses e-mail
- Attribut LDAP : Nom d’affichage | Type de réclamation sortante : Nom
- Cliquez sur Terminer pour ajouter la règle.
- Cliquez sur Appliquer pour enregistrer vos modifications et fermez la boîte de dialogue.
Étape 4 : Compléter la configuration SSO dans Document360
Configurez le fournisseur d’identité dans Document360
- Retournez à l’onglet Document360 affichant la page Configurer le fournisseur de service (SP) et cliquez sur Suivant pour accéder à la page Configurer le fournisseur d’identité (IdP ).
- Le champ Configurer une connexion existante vous permet d’hériter d’une configuration SSO qui a déjà SCIM activé depuis un projet parent. En sélectionnant cette option, la configuration SSO actuelle devient l’enfant et hérite automatiquement des paramètres SCIM du projet parent.
- Saisissez les valeurs correspondantes de votre configuration ADFS en utilisant la correspondance ci-dessous.
| ADFS | Document360 |
|---|---|
| URL de connexion SAML | URL de connexion unique du fournisseur d’identité |
| Identifiant (ID d’entité) | Fournisseur d’identité Émetteur |
| Certificat X.509 | Certificat SAML |
- Téléchargez le certificat X.509 depuis ADFS et téléchargez-le dans le champ Certificat SAML dans Document360.
Lors de l’exportation du certificat X.509 depuis ADFS, sélectionnez Base-64 encodé (. CER). Le format codé par défaut en DER n’est pas pris en charge pour la configuration SAML de Document360.
- Activez ou désactivez l’option Permettre la connexion initiée par l’IdP en fonction des besoins de votre projet.
- Cliquez sur Suivant pour accéder à la page de provisionnement SCIM .
Étape 5 : Configurer le provisionnement SCIM
Le provisionnement SCIM permet d’automatiser la gestion du cycle de vie utilisateur et lecteur entre ADFS et Document360. Comme ADFS ne prend pas en charge SCIM nativement, cela nécessite un outil tiers ou une intégration personnalisée.
Si vous n’avez pas besoin de provisionnement SCIM, passez à l’étape 6 : Plus de réglages.
Activez SCIM dans Document360
- Activez le bouton Activer la provision SCIM .
- Une boîte de dialogue de confirmation apparaît. Consultez les conditions, sélectionnez la case à cocher, puis cliquez sur Accepter.
- Les paramètres nécessaires pour compléter la configuration SCIM seront alors affichés.
La provisionnement SCIM dans ADFS peut être activée uniquement à l’aide d’outils tiers ou d’intégrations personnalisées. ADFS ne prend pas en charge nativement le provisionnement SCIM.
- Entrez les paramètres requis de Document360 dans les champs correspondants de votre application personnalisée.
Attribuer le rôle et les groupes par défaut dans Document360
- Dans le champ de rôle par défaut , le rôle est défini par défaut sur Contributeur . Vous pouvez changer cela depuis le menu déroulant si besoin.
- Dans les champs Groupes d’utilisateurs et Groupes de lecteurs , sélectionnez les groupes que vous souhaitez ajouter. Plusieurs groupes peuvent être ajoutés, et ils hériteront du rôle par défaut que vous avez sélectionné plus tôt.
- Cliquez sur Suivant pour accéder à la page Paramètres supplémentaires .
Étape 6 : Plus de réglages
Configurez le nom SSO et les options de connexion
- Dans le champ nom SSO , saisissez un nom pour la configuration SSO.
- Dans le bouton Personnaliser la connexion, saisissez le texte du bouton de connexion affiché aux utilisateurs.
- Attribution automatique du groupe de lecteurs — cette option n’est disponible que pour les configurations SSO existantes. Pour les nouvelles configurations SSO, ce basculement ne sera pas affiché car SCIM fournit automatiquement les utilisateurs et les groupes. En savoir plus sur le groupe de lecteurs Auto Assign.
- Activez la déconnexion de l’utilisateur SSO inactif si besoin, et basculez selon vos besoins.
- Cliquez sur Créer pour compléter la configuration SAML SSO.
Gestion des utilisateurs dans ADFS
Pour voir les lecteurs ajoutés via votre intégration ADFS :
- Dans Document360, allez dans Paramètres () > Utilisateurs et permissions > Lecteurs & groupes.
- Sélectionnez le lecteur pour accéder à son profil de lecteur.
Les lecteurs provisionnés via SCIM afficheront un badge SSO-SCIM à côté de leur nom.
Lorsque SCIM est activé, modifier le nom d’un utilisateur ou supprimer un utilisateur directement dans Document360 est désactivé, car ces actions doivent être gérées via votre IDP pour maintenir les deux plateformes synchronisées. Vous ne pouvez gérer l’accès au contenu que depuis Document360. Supprimer un profil dans votre IdP ne le retire pas de Document360 — le profil restera avec un statut Inactif.
Gérer l’accès au contenu des lecteurs, utilisateurs et groupes
Le rôle de contenu par défaut attribué à tout nouvel utilisateur, lecteur ou groupe est basé sur ce qui a été configuré lors de la configuration du provisionnement SCIM. Les permissions seront définies à Aucun par défaut mais pourront être mises à jour à tout moment.
- Sélectionnez le lecteur désiré et cliquez sur Gérer l’accès au contenu.
- Choisissez le niveau d’accès souhaité dans le menu déroulant et cliquez sur Mettre à jour.
Vous pouvez également gérer des groupes pour un lecteur en cliquant sur Gérer les groupes dans la section Groupe de lecteurs.
Meilleures pratiques
- Exportez le certificat en Base-64 encodé (. CER). Le format codé par défaut en DER d’ADFS n’est pas pris en charge par Document360. Sélectionnez toujours l’encodage Base-64 lors de l’exportation du certificat X.509.
- Utilisez un outil tiers pour SCIM. ADFS ne prend pas en charge nativement le provisionnement SCIM. Planifiez votre approche de provisionnement utilisateur avant d’activer SCIM dans Document360.
- Configurez soigneusement les règles de réclamation. Assurez-vous que les trois correspondances d’attributs LDAP (ID de nom, adresses e-mail et nom) sont correctement configurées. Des réclamations manquantes ou incorrectes entraîneront des échecs d’authentification.
- Testez d’abord avec un seul utilisateur. Avant de déployer SSO à tous les utilisateurs, testez la configuration avec un utilisateur pour vérifier que les règles, certificats et URL de revendication fonctionnent tous correctement.
FAQ
Pourquoi SCIM n’est-il pas pris en charge nativement dans ADFS ?
ADFS est un service de fédération sur site construit sur les protocoles SAML et WS-Federation. Il n’inclut pas de point de terminaison SCIM intégré. Pour utiliser SCIM avec ADFS dans Document360, il vous faut un outil de provisionnement tiers ou une intégration personnalisée qui relie ADFS au protocole SCIM.
Quel format de certificat Document360 exige-t-il pour ADFS ?
Document360 nécessite le certificat X.509 encodé en Base-64 (. CER). Lorsque vous exportez depuis ADFS, assurez-vous de sélectionner ce format. Le format par défaut encodé par DER n’est pas pris en charge.
Que se passe-t-il avec le profil d’un utilisateur dans Document360 si je le supprime dans ADFS ?
Supprimer un profil utilisateur dans votre IdP ne le retire pas de Document360. Le profil restera sur Document360 avec un statut Inactif.