none
ADFS & SimpleSAML (multi sous-domaine) RRS feed

  • Discussion générale

  • Bonjour,

    J'essai de bien comprendre l'usage de l'ADFS avec SimpleSAML.

    J'ai déja mis en place ADFS sur un serveur Windows 2012 que l'on va appeler ad.dom.tld. 

    J'ai déjà mis en place un serveur web (sous linux) que l'on va appeler linux.dom.tld ou est hébergé la classe php SimpleSAML et les fichiers de configurations.

    Mon serveur linux.dom.tld est déjà couplé à ad.dom.tld. Les clefs .pem sont déjà partagé et j'ai déjà récupéré les metadatas à mettre dans SimpleSAML pour générer facilement mes fichiers de conf et de metadata saml20-idp-remote.php et saml20-sp.remote.php.

    Je me suis déjà authentifié correctement avec linux.dom.tld sur ad.dom.tld et j'ai bien récupéré les attributs que j'avais défini sur ad.dom.tld avec mon profil "maconf-sp"

    Vous me direz, hey dude ! tout va bien alors ?!

    Oui et non. Maintenant j'essaie que deux autres sites web (monsite1.dom.tld, monsite2.dom.tld, *.dom.tld) utilisent simplesaml en s'appuyant sur "maconf-sp"et là ca ne fonctionne pas.

    Quelle est la logique à suivre ? Du reste je ne pense pas avoir très bien compris certains fonctionnement entre SP et IdP. Du coup c'est certainement pour çà que ça coince.

    Si quelqu'un connait ou comprend mon problème, je suis ouvert à la discussion.

    Merci

    jeudi 27 octobre 2016 13:30

Toutes les réponses

  • Bonjour Kelvin Degrees,

    Avez-vous complété toutes les démarches, décrites dans l'article en bas ?:
    INTEGRATING SIMPLESAMLPHP WITH ADFS 2012R2
    Je vous remercie par avance de votre retour.

    Cordialement,
    Teodora


    Votez! Appel à la contribution TechNet Community Support. LE CONTENU EST FOURNI "TEL QUEL" SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. S'il vous plaît n'oubliez pas de "Marquer comme réponse" les réponses qui ont résolu votre problème. C'est une voie commune pour reconnaître ceux qui vous ont aidé, et rend plus facile pour les autres visiteurs de trouver plus tard la résolution.

    vendredi 28 octobre 2016 11:22
  • Bonjour Teodora Sharkova,

    Oui, c'est à partir de ce document que j'ai mis en place ma configuration.

    Et d'ailleurs ça fonctionne bien quand mon site test "linux.dom.tld" s'authentifie sur ad.dom.tld en utilisant la conf "maconf-sp"

    Ce qui ne fonctionne pas, ce sont 2 autres sites web (site1.dom.tld & site2.dom.tld) qui essaient d'utiliser "maconf-sp".

    j'arrive sur la page web de l'AD avec Office 365 une erreur c'est produit et le détail de l'erreur ne donne rien.


    vendredi 28 octobre 2016 15:31
  • Bonjour Kelvin Degrees,

    Pouvez-vous partager le contenu du message d'erreur?

    Cordialement,
    Teodora


    Votez! Appel à la contribution TechNet Community Support. LE CONTENU EST FOURNI "TEL QUEL" SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. S'il vous plaît n'oubliez pas de "Marquer comme réponse" les réponses qui ont résolu votre problème. C'est une voie commune pour reconnaître ceux qui vous ont aidé, et rend plus facile pour les autres visiteurs de trouver plus tard la résolution.

    lundi 7 novembre 2016 17:13
  • Bonjour Teodora,

    Bon, ca n'a pas été facile, mais j'ai ce que vous avez demandé côté serveur.

    Pour des raisons de confidentialité j'ai modifié le nom du site.

    Nom de protocole : 
    Saml 

    Partie de confiance : 
    http://site1.domain.tld/simplesaml/module.php/saml/sp/metadata.php/profil-sp 

    Détails de l'exception : 
    Microsoft.IdentityServer.Web.InvalidScopeException: MSIS7007 : l'approbation de partie de confiance demandée « http://site1.domain.tld/simplesaml/module.php/saml/sp/metadata.php/profil-sp » n'est pas spécifiée ou prise en charge. Si une approbation de partie de confiance était spécifiée, il est possible que vous ne disposiez pas de l'autorisation d'accéder à la partie de confiance de l'approbation. Pour plus d'informations, contactez votre administrateur.
       à Microsoft.IdentityServer.Web.Protocols.Saml.SamlSignInContext.Validate()
       à Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.GetRequiredPipelineBehaviors(ProtocolContext pContext)
       à Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerContext context)

    Pour ma part, je n'arrive pas à comprendre le sens du message.

    Cordialement,

    jeudi 17 novembre 2016 09:08
  • Bonjour Kelvin Degrees,

    Veuillez consulter l'article suivant :
    ADFS & SimpleSAML (multi sous-domaine)
     

    Cordialement,
    Teodora


    Votez! Appel à la contribution TechNet Community Support. LE CONTENU EST FOURNI "TEL QUEL" SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. S'il vous plaît n'oubliez pas de "Marquer comme réponse" les réponses qui ont résolu votre problème. C'est une voie commune pour reconnaître ceux qui vous ont aidé, et rend plus facile pour les autres visiteurs de trouver plus tard la résolution.

    lundi 28 novembre 2016 13:32