Que peut-on faire pour vous aider aujourd'hui?

Configuration manuelle de l'authentification unique SAML

Tu es là:
< Retour

Présentation de la configuration manuelle de MyWorkDrive SAML

Security Assertion Markup Language (SAML) est une norme ouverte pour l'échange de données d'authentification et d'autorisation entre les parties, en particulier entre un fournisseur d'identité et un fournisseur de services. Comme son nom l'indique, SAML est un langage de balisage basé sur XML pour les assertions de sécurité (instructions que les fournisseurs de services utilisent pour prendre des décisions de contrôle d'accès).

MyWorkDrive Server 5.0 prend en charge l'authentification unique (SSO) du gestionnaire de fichiers Web basé sur SAML en plus d'ADFS (qui est configuré séparément). Pour SAML, MyWorkDrive agit en tant que fournisseur de services (SP) tandis que le partenaire agit en tant que fournisseur d'identité (IdP) par exemple : Shibboleth, OneLogin, Centrify, Azure AD, OKTA, etc.

Guides de configuration SAML préconfigurés

Plusieurs fournisseurs SAML sont préconfigurés dans MyWorkDrive et utilisent un processus de configuration simplifié. Veuillez consulter les articles suivants pour la configuration d'Azure AD, Okta et OneLogin. Il n'est ni nécessaire ni recommandé de configurer manuellement MyWorkDrive pour ces fournisseurs.

Azure AD SAML

OKTA SAML

OneLogin SAML

Prérequis SAML manuel

  • Assurez-vous que les utilisateurs ont un suffixe upn appliqué au nom de domaine pour correspondre au nom de connexion du fournisseur SAML afin qu'ils puissent se connecter à votre serveur MyWorkDrive avec leur adresse e-mail.
  • Assurez-vous que le serveur MyWorkDrive est approuvé pour la délégation conformément à notre Article de délégation
  • Rendez votre serveur disponible via Cloud Web Connector ou configurez votre propre certificat SSL public et nom d'hôte pointant vers votre serveur MyWorkDrive sur le port 443 (SSL) et assurez-vous que votre serveur est accessible au public. Afficher l'article d'assistance.

Flux de connexion

 

Ce qui suit explique le flux de connexion de l'utilisateur à MyWorkDrive à partir d'un fournisseur d'identité (IdP) :

 

  • Il est supposé que tous les utilisateurs se connectent au ldP à l'aide de leur suffixe UPN (par exemple, @votredomaine.com) et qu'il correspond à leur nom d'utilisateur UPN Active Directory.
  • Votre serveur MyWorkDrive utilise votre propre nom d'hôte et certificat SSL (*.MyWorkDrive.net n'est pas pris en charge pour SAML).
  • L'utilisateur clique sur l'URL du service client d'assertion MyWorkDrive (par exemple, https://YourMWDserver.yourdomain.com/SAML/AssertionConsumerService.aspx) comme URL d'authentification unique.
  • Si l'utilisateur n'est pas déjà connecté au ldP, le serveur MyWorkDrive redirige l'utilisateur vers le service SSL pour se connecter.
  • Une fois confirmé, le service IdP génère une réponse SAML valide et redirige l'utilisateur vers MyWorkdrive pour vérifier la réponse SAML.
  • Si l'authentification de l'utilisateur est validée avec succès, il est automatiquement connecté au gestionnaire de fichiers Web MyWorkDrive de son entreprise.

Étapes de configuration du serveur SAML SSL MyWorkDrive

 

Pour configurer SAML avec succès sur le serveur MyWorkDrive, les étapes manuelles suivantes sont nécessaires :

Configuration du service IdP

Si votre fournisseur d'identité importe des paramètres à partir de métadonnées, vous pouvez utiliser le lien de métadonnées MyWorkDrive de votre serveur à l'adresse https://YourMWDserver.yourdomain.com/SAML/ServiceProviderMetadata

  • Créez une configuration SAML au niveau de l'IdP faisant référence à MyWorkDrive :
  • Spécifiez l'URL du service client d'assertion (par exemple, https://YourMWDserver.yourdomain.com/SAML/AssertionConsumerService.aspx) comme URL d'authentification unique.
  • Spécifiez l'URI d'audience (ID d'entité SP) - entrez "MyWorkDrive" comme URI d'audience.
  • Spécifiez l'URL du service de déconnexion unique (par exemple, https://YourMWDServer.yourdomain.com/SAML/SLOService.aspx) comme URL de déconnexion.
  • Spécifiez l'émetteur SP. Il s'agit du nom du fournisseur de services local - Entrez "MyWorkDrive".
  • Téléchargez le certificat ldP et placez-le dans C:\Wanpath\WanPath.Data\Settings\Certificates

Configuration du serveur MyWorkDrive

  1. Mettez à jour la configuration SAML située dans C:\Wanpath\WanPath.Data\Settings pour décommenter le entrée pour votre fournisseur d'identité. Si une entrée n'est pas présente pour votre IdP, vous pouvez utiliser l'exemple MWD.
  2. Fichier de certificat local. Cette étape doit être effectuée pour vous dans la version 5.2 et supérieure du serveur MyWorkDrive et un certificat doit être présent dans le dossier avec le mot de passe dans le fichier saml.config. Si ce n'est pas le cas, passez à Exporter votre certificat SSL public correspondant à votre nom d'hôte MyWorkDrive tel que référencé dans votre IdP avec un mot de passe et placez le fichier d'exportation PFX du certificat SL dans C:\Wanpath\WanPath.Data\Settings\Certificates et référencez-le dans la section du fournisseur de services avec le mot de passe que vous avez utilisé lors de l'exportation.
  3. Dans la section fournisseur d'identité : Définissez le Nom sur l'émetteur du fournisseur d'identité. Cette valeur est également connue sous le nom de metadata entityID.
  4. Dans la section Fournisseur d'identité : Définissez SingleSignOnServiceUrl sur l'URL de connexion unique du fournisseur d'identité.
  5. Dans la section Fournisseur d'identité : Définissez SingleLogoutServiceUrl sur l'URL de déconnexion unique du fournisseur d'identité.
  6. Mettez à jour la section PartnerCertificateFile du fournisseur d'identité avec le chemin d'accès complet et le nom du fichier de certificat du fournisseur d'identité.

La section de configuration du fournisseur d'identité partenaire doit être similaire au fichier saml.conf suivant

<!– Okta –>

<PartnerIdentityProvider Name=” http://www.okta.com/exkxxxxxxsyyyyyzzzz55″

Description=”Okta”

SignAuthnRequest="true"

SignLogoutRequest="true"

SignLogoutResponse="true"

WantLogoutRequestSigned="true"

WantLogoutResponseSigned="true"

SingleSignOnServiceUrl = "https://votreentreprise.okta.com/app/votreentreprise_mwdserver1_1/exkxxxxxyyyy555/sso/saml"

SingleLogoutServiceUrl = "https://votreentreprise.okta.com/app/votreentreprise_mwdtest1_1/exkrcdasxxxxxxyyyyy55/slo/saml"

PartnerCertificateFile=”C:\Wanpath\WanPath.Data\Settings\Certificates\okta.cer”/>

 

La configuration de la section Fournisseur de services doit être similaire au fichier saml.conf suivant

 

<ServiceProvider Name=”MyWorkDrive”

Description="Fournisseur de services MWD" AssertionConsumerServiceUrl="~/SAML/AssertionConsumerService.aspx" LocalCertificateFile="C:\Wanpath\WanPath.Data\Settings\Certificates\votredomaine.pfx"

LocalCertificatePassword="password"/>

 

Enfin, avant de tester, assurez-vous d'avoir ajouté des utilisateurs à votre nouvelle entrée MyWorkDrive dans votre IdP pour les autoriser à accéder à MyWorkDrive. Pour tester SAML sans le rendre obligatoire après l'avoir activé, utilisez l'URL suivante : http://votreserveur.votredomaine.com/account/login-saml.aspx