Active Directory en tant que fournisseur d’identité externe SAML 2.0

Prérequis

Assurez-vous de disposer d’un identifiant de tenant Vantage avant de configurer les identités. Pour obtenir un identifiant de tenant, cliquez sur Configuration dans ABBYY Vantage. L’identifiant se trouve dans l’onglet Général.
Créez une URI de redirection pour recevoir les réponses d’authentification. L’URI est : https://<your-vantage-url>/auth2/Saml2/Acs

Configuration

Le processus de configuration comprend les étapes suivantes :

Ajouter une description de revendication
Configurer une relation d’approbation de partie de confiance
Ajouter des règles pour transformer une revendication entrante

Ajout d’une description de revendication

Ouvrir la console de gestion

Ouvrez la console de gestion AD FS.

Ouvrir Add Claim Description

Sélectionnez Service > Claim Descriptions, puis cliquez sur Add Claim Description.

Renseigner la description de revendication

Indiquez les éléments suivants :

Display name — par exemple, Persistent Identifier.
Claim type — urn:oasis:names:tc:SAML:2.0:nameid-format:persistent.
Sélectionnez Publish this claim description in federation metadata as a claim type that this federation service can accept.
Sélectionnez Publish this claim description in federation metadata as a claim type that this federation service can send.

Boîte de dialogue AD FS Add Claim Description avec les champs de nom d’affichage et de type de revendication Persistent Identifier

Confirmer

Cliquez sur OK.

Vous pouvez maintenant contrôler la façon dont les attributs des utilisateurs sont mis en correspondance entre différents systèmes.

Configuration d’une relation d’approbation de partie de confiance

Pour créer une relation d’approbation de partie de confiance AD FS, suivez les étapes ci-dessous :

Ajouter une relation d’approbation de partie de confiance

Dans l’arborescence de la console, sous AD FS, sélectionnez Trust Relationships > Relying Party Trusts > Add Relying Party Trust.

Démarrer l’assistant

Dans la page Welcome, choisissez Claims aware, puis cliquez sur Start.

Sélectionner la source de données

Dans la page Select Data Source, sélectionnez Enter data about the relying party manually, puis cliquez sur Next.

Spécifier un nom d’affichage

Dans la page Specify Display Name, saisissez le nom de votre choix dans Display Name, puis cliquez sur Next.

Choisir le profil

Dans la page Choose Profile, sélectionnez le profil AD FS 2.0, puis cliquez sur Next.

Configurer le certificat

Dans la page Configure Certificate, cliquez sur Next.

Configurer l’URL

Dans la page Configure URL, sélectionnez Enable support for the SAML 2.0 WebSSO protocol. Sous Relying party SAML 2.0 SSO service URL, saisissez https://<your-vantage-url>/auth2/Saml2/Acs, puis cliquez sur Next.

Configurer les identités

Sous Relying party trust identifier, saisissez api://platform.abbyy.cloud/tenantId, où tenantId est l’identifiant du tenant au format GUID sans tirets (par exemple, 117489fc1aea41658369d4d18d6557ga). Cette valeur sera utilisée comme URI d’ID d’application pour l’authentification. Copiez cette valeur : vous en aurez besoin lors de la configuration du fournisseur d’identité externe dans Vantage. Cliquez sur Add.
Dans l’onglet Expose an API, définissez l’URI d’ID d’application sur la même valeur que celle saisie ci-dessus (par exemple, api://cccc3333-dddd-4444-eeee-5555ffff6666). Cliquez sur Add, puis sur Next.

Choisir les règles d’autorisation d’émission

Pour accorder à Vantage l’accès à tous les utilisateurs, sélectionnez Permit all users to access this relying party. Pour limiter l’accès à un groupe spécifique, sélectionnez Permit specific group et indiquez le groupe. Cliquez sur Next.

Ajouter la relation d’approbation

Dans la page Ready to Add Trust, vérifiez les paramètres. Cliquez sur Next, puis sur Close.

Une relation d’approbation entre un fournisseur d’identité et ABBYY Vantage est alors établie.

Ajout de règles pour transformer une revendication entrante

Pour appliquer des règles de transformation à une revendication entrante, procédez comme suit :

Ouvrir les relations d’approbation de partie de confiance

Cliquez sur Relying Party Trusts.

Modifier la stratégie d’émission des revendications

Cliquez avec le bouton droit sur la relation d’approbation sélectionnée, puis cliquez sur Edit Claim Issuance Policy.

Ajouter une règle

Dans la fenêtre Edit Claim Issuance Policy for <name>, cliquez sur Add Rule.

Boîte de dialogue AD FS Edit Claim Issuance Policy avec le bouton Add Rule pour les règles de revendication SAML

Sélectionner le modèle de règle

Sélectionnez le modèle de règle de revendication Transform an Incoming Claim, puis cliquez sur Next.

Assistant AD FS Add Transform Claim Rule avec le modèle Transform an Incoming Claim sélectionné

Configurer la règle de revendication

Sélectionnez l’étape Configure Claim Rule, puis spécifiez les éléments suivants :

Nom de la règle de revendication — TransformWindows account name.
Type de revendication entrante — Windows account name.
Type de revendication sortante — Name ID.
Format du Name ID sortant — Persistent Identifier.
Sélectionnez Pass through all claim values.

Étape AD FS Configure Claim Rule avec Windows account name comme revendication entrante et Persistent Identifier comme format sortant

Terminer la première règle

Cliquez sur Finish.

Ajouter une règle Send LDAP Attributes

Ajoutez une autre règle pour vous assurer que les revendications d’adresse e-mail et de nom sont incluses dans le jeton émis. Dans la page Select Rule Template, sélectionnez Send LDAP Attributes as Claims sous Claim rule template, puis cliquez sur Next.

Assistant AD FS Add Transform Claim Rule avec le modèle Send LDAP Attributes as Claims sélectionné

Configurer la règle LDAP

Dans la page Configure Claim Rule, sélectionnez le magasin d’attributs Active Directory sous Claim rule name, puis cliquez sur Finish.

AD FS Configure Claim Rule avec le magasin d’attributs Active Directory et les mappages d’attributs LDAP pour l’e-mail et le nom

Vérifier les règles

Les règles ajoutées s’affichent dans la boîte de dialogue Edit Claim Rules.

Boîte de dialogue AD FS Edit Claim Rules affichant les règles Persistent Identifier et Send LDAP Attributes as Claims

Prochaines étapes

Une fois AD FS configuré, connectez-le à votre tenant Vantage. Vous aurez besoin de l’URL du document de métadonnées de fédération au format https://<adfs-server-address>/federationmetadata/2007-06/federationmetadata.xml — par exemple, https://adfs.platform.local/federationmetadata/2007-06/federationmetadata.xml. Pour la configuration côté Vantage, consultez Configurer un fournisseur d’identité externe pour un tenant.

Configurer un fournisseur d’identité externe SAML 2.0

Présentation de la configuration de SAML 2.0 pour AD FS ou Azure AD

Azure Active Directory comme fournisseur d’identité externe SAML 2.0

Configurez Azure AD au lieu d’AD FS local

Configurer un fournisseur d’identité externe pour un tenant

Connectez AD FS à votre tenant Vantage

Tester l’authentification externe

Vérifiez le fournisseur d’identité externe avant que les utilisateurs se connectent

Documentation Index

​Prérequis

​Configuration

​Ajout d’une description de revendication

​Configuration d’une relation d’approbation de partie de confiance

​Ajout de règles pour transformer une revendication entrante

​Prochaines étapes

​Rubriques connexes