Configurer SAMLv2¶
Ce document explique de manière générale comment configurer la connexion SAMLv2 avec Carto-SI.
Un pas à pas illustrant la configuration de Carto-SI avec Keycloak est aussi disponible.
Un résumé sur la configuration de Carto-SI avec Azure AD est disponible.
Note
Cas particulier d”ADFS.
Nous ne sommes pas en mesure de vous fournir les instructions nécessaires à la configuration de la connexion SAML avec le logiciel ADFS.
Par contre, Install Metadata File on the ADFS de Cisco explique comment configurer l’ADFS pour se connecter à un équipement Cisco en utilisant l’email comme NameID. C’est exactement la même chose pour Carto-SI.
Introduction et définition¶
Le SAML est un protocole permettant de lier de manière sécurisée un fournisseur d’identité administré par votre service informatique et un fournisseur de service.
Le fournisseur d’identité est le serveur sur lequel vous allez vous identifier.
Carto-SI est un fournisseur de service.
Les fichiers metadata sont des fichiers générés par les fournisseurs d’identité et les fournisseurs de services. Ils sont utilisés pour configurer la communication entre les deux fournisseurs.
Récupérer le fichier metadata du fournisseur d’identité.¶
Demander à votre équipe système le fichier metadata du fournisseur d’identité.
Récupérer le fichier metadata du fournisseur de service Carto-SI¶
Vérifier que l’URL du serveur est correctement configurée¶
Avant de configurer le SAML, vérifier que l’URL du serveur est bien configurée. Pour cela, dans l’interface d’administration de Carto-SI, sélectionner l’onglet Configuration
.
Vérifier que le champ URL de Carto-SI
est correctement défini.
Charger le fichier metadata du fournisseur d’identité¶
Dans l’interface d’administration de Carto-SI, sélectionner l’onglet Authentification
. Puis sélectionner l’option SAML
pour faire apparaitre la configuration spécifique à SAML.
Cliquer sur le bouton Browse ...
du champ Métadonnées SAML du fournisseur d'identité
et sélectionner le fichier idp-metadata.xml
qui a été téléchargé lors de l’étape précédente.
Cliquer sur Enregistrer
.
Télécharger le fichier metadata de Carto-SI¶
Cliquer sur le bouton Télécharger nos métadonnées
pour télécharger le fichier metadata de Carto-SI.
Passer au mode d’identification précédent¶
En attendant que le fichier metadata de Carto-SI soit intégré au fournisseur d’identité, configurer l’authentification en mode Interne
ou LDAP
.
Intégrer le fichier metadata de Carto-SI au fournisseur d’identité¶
Donner le fichier metadata de Carto-SI que vous avez précédemment téléchargé à votre équipe système. Une fois le fournisseur d’identités prêt, vous pouvez tester l’identification via SAML.
Tester la connexion¶
Après avoir réactivé l’identification via le SAML en sélectionnant l’option SAML
et en cliquant sur le bouton Enregistrer
, nous pouvons lancer les tests.
Si vous êtes en SAAS, vous devez vous connecter avec l’URL de connexion qui est affichée dans l’interface.
Si vous êtes en onPremise, vous pouvez vous connecter avec l’URL habituelle. Vous serez automatiquement redirigé vers la page de connexion de votre fournisseur d’identité.
Les erreurs les plus courantes¶
Pour augmenter le niveau de log, positionner la configuration log-level
du fichier de configuration carto-si.properties
sur debug
.
log-level: debug
Au niveau debug
, les messages SAML seront écrits dans les logs en cas d’erreur.
Problème d’installation avec Azure¶
Le fichier metadata d’Azure ne contient pas le certificat alloué à un fournisseur de service tant que ledit fournisseur ne c’est pas connecté au moins une fois au SSO. C’est pour cela qu’il faut faire une tentative de connexion avant d’avoir un fichier metadata valide.
Étapes à suivre :
Réaliser toutes les étapes d’installation du SAML
Faire une tentative de connexion via le SSO. Cette tentative doit échouer.
Télécharger de nouveau le fichier metadata depuis Azure.
Enregistrer le nouveau fichier metadata dans Carto-SI.
Invalid SAML Response¶
Carto-SI n’a pas su décoder la réponse retournée par le fournisseur d’identité. Le message d’erreur fournit une indication du problème.
Invalid SAML Response: Found an Attribute element with duplicated Name
Les logs fourniront plus d’information sur le problème ainsi qu’une copie de réponse du fournisseur d’identité si le niveau de log est configuré à debug
. Une copie de la réponse SAML sera nécessaire à l’équipe support de Carto-SI pour analyser le problème.
Not identified by SAML response.¶
Le fournisseur d’identité n’a pas voulu fournir l’identité de l’utilisateur à Carto-SI.
User not registered¶
L’utilisateur n’a pas de compte sur Carto-SI correspondant à l’e-mail qui a été défini par le fournisseur d’identité. Example :
User not registered : toto@carto-si.com.
La création d’un compte avec l’e-mail fourni résout le problème.
Désactiver le SAML sans IHM¶
Si Carto-SI est configuré pour utiliser le SAML et que le SAML ne marche pas, il est nécessaire de pouvoir désactiver le SAML.
En mode onPremise¶
Si vous êtes en mode onPremise, rajouter la configuration suivante dans le fichier data/conf/carto-si.properties
.
auth-basic-only : true
Après avoir redémarré Carto-SI, le SAML et le LDAP seront désactivés tant que la configuration ne sera pas retirée.
En mode SAAS¶
Vous devez contacter le support pour que l’équipe de Carto-SI désactive le SAML.