Configurer SAMLv2

Ce document explique de manière générale comment configurer la connexion SAMLv2 avec Carto-SI.

Un pas à pas illustrant la configuration de Carto-SI avec Keycloak est aussi disponible.

Un résumé sur la configuration de Carto-SI avec Azure AD est disponible.

Note

Cas particulier d”ADFS.

Nous ne sommes pas en mesure de vous fournir les instructions nécessaires à la configuration de la connexion SAML avec le logiciel ADFS.

Par contre, Install Metadata File on the ADFS de Cisco explique comment configurer l’ADFS pour se connecter à un équipement Cisco en utilisant l’email comme NameID. C’est exactement la même chose pour Carto-SI.

Introduction et définition

Le SAML est un protocole permettant de lier de manière sécurisée un fournisseur d’identité administré par votre service informatique et un fournisseur de service.

Le fournisseur d’identité est le serveur sur lequel vous allez vous identifier.

Carto-SI est un fournisseur de service.

Les fichiers metadata sont des fichiers générés par les fournisseurs d’identité et les fournisseurs de services. Ils sont utilisés pour configurer la communication entre les deux fournisseurs.

Récupérer le fichier metadata du fournisseur d’identité.

Demander à votre équipe système le fichier metadata du fournisseur d’identité.

Récupérer le fichier metadata du fournisseur de service Carto-SI

Vérifier que l’URL du serveur est correctement configurée

Avant de configurer le SAML, vérifier que l’URL du serveur est bien configurée. Pour cela, dans l’interface d’administration de Carto-SI, sélectionner l’onglet Configuration.

Vérifier que le champ URL de Carto-SI est correctement défini.

Charger le fichier metadata du fournisseur d’identité

Dans l’interface d’administration de Carto-SI, sélectionner l’onglet Authentification. Puis sélectionner l’option SAML pour faire apparaitre la configuration spécifique à SAML.

Interface de sélection de l'option SAML

Cliquer sur le bouton Browse ... du champ Métadonnées SAML du fournisseur d'identité et sélectionner le fichier idp-metadata.xml qui a été téléchargé lors de l’étape précédente.

Interface de chargement du fichier metadata du fournisseur d'identité

Cliquer sur Enregistrer.

Télécharger le fichier metadata de Carto-SI

Cliquer sur le bouton Télécharger nos métadonnées pour télécharger le fichier metadata de Carto-SI.

Interface de téléchargement du fichier metadata du fournisseur de service

Passer au mode d’identification précédent

En attendant que le fichier metadata de Carto-SI soit intégré au fournisseur d’identité, configurer l’authentification en mode Interne ou LDAP.

Intégrer le fichier metadata de Carto-SI au fournisseur d’identité

Donner le fichier metadata de Carto-SI que vous avez précédemment téléchargé à votre équipe système. Une fois le fournisseur d’identités prêt, vous pouvez tester l’identification via SAML.

Tester la connexion

Après avoir réactivé l’identification via le SAML en sélectionnant l’option SAML et en cliquant sur le bouton Enregistrer, nous pouvons lancer les tests.

Si vous êtes en SAAS, vous devez vous connecter avec l’URL de connexion qui est affichée dans l’interface.

Interface pour récupérer l'URL de connexion

Si vous êtes en onPremise, vous pouvez vous connecter avec l’URL habituelle. Vous serez automatiquement redirigé vers la page de connexion de votre fournisseur d’identité.

Les erreurs les plus courantes

Pour augmenter le niveau de log, positionner la configuration log-level du fichier de configuration carto-si.properties sur debug.

log-level: debug

Au niveau debug, les messages SAML seront écrits dans les logs en cas d’erreur.

Problème d’installation avec Azure

Le fichier metadata d’Azure ne contient pas le certificat alloué à un fournisseur de service tant que ledit fournisseur ne c’est pas connecté au moins une fois au SSO. C’est pour cela qu’il faut faire une tentative de connexion avant d’avoir un fichier metadata valide.

Étapes à suivre :

  • Réaliser toutes les étapes d’installation du SAML

  • Faire une tentative de connexion via le SSO. Cette tentative doit échouer.

  • Télécharger de nouveau le fichier metadata depuis Azure.

  • Enregistrer le nouveau fichier metadata dans Carto-SI.

Invalid SAML Response

Carto-SI n’a pas su décoder la réponse retournée par le fournisseur d’identité. Le message d’erreur fournit une indication du problème.

Invalid SAML Response: Found an Attribute element with duplicated Name

Les logs fourniront plus d’information sur le problème ainsi qu’une copie de réponse du fournisseur d’identité si le niveau de log est configuré à debug. Une copie de la réponse SAML sera nécessaire à l’équipe support de Carto-SI pour analyser le problème.

Not identified by SAML response.

Le fournisseur d’identité n’a pas voulu fournir l’identité de l’utilisateur à Carto-SI.

User not registered

L’utilisateur n’a pas de compte sur Carto-SI correspondant à l’e-mail qui a été défini par le fournisseur d’identité. Example :

User not registered : toto@carto-si.com.

La création d’un compte avec l’e-mail fourni résout le problème.

Désactiver le SAML sans IHM

Si Carto-SI est configuré pour utiliser le SAML et que le SAML ne marche pas, il est nécessaire de pouvoir désactiver le SAML.

En mode onPremise

Si vous êtes en mode onPremise, rajouter la configuration suivante dans le fichier data/conf/carto-si.properties.

auth-basic-only : true

Après avoir redémarré Carto-SI, le SAML et le LDAP seront désactivés tant que la configuration ne sera pas retirée.

En mode SAAS

Vous devez contacter le support pour que l’équipe de Carto-SI désactive le SAML.