# SAML
## Prérequis (auto-hébergé)
| Version GLPI | PHP Minimum | Recommandé |
| ------------ | ----------- | ---------- |
| 10.0.x | 8.1 | 8.2 |
{% hint style="info" %}
Ce plugin est disponible sans souscription [GLPI Network](https://services.glpi-network.com/#offers). Il est également disponible sur [GLPI Cloud](https://glpi-network.cloud).
{% endhint %}
{% hint style="info" %}
**Nous recommandons l'utilisation des plugins** [OAuth SSO](https://help.glpi-project.org/doc-plugins/fr/plugin-glpi-network/oauthsso) **et** [SCIM ](https://help.glpi-project.org/doc-plugins/fr/plugin-glpi-network/scim)**si vous avez besoin d'autologin ou de provisionnement d'utilisateurs, officiellement supportés par l'éditeur.**
Mais nous suggérons l'utilisation de ce plugin si le protocole SAML est obligatoire pour votre organisation.
{% endhint %}
{% hint style="warning" %}
Vous avez besoin d'un accès administrateur à la console Entra/Google pour configurer l'application
{% endhint %}
## Télécharger le plugin
* Depuis la marketplace (**Configuration > Plugins**), téléchargez le plugin **GLPI SAML**
## Entra
### Ajouter une nouvelle application SAML sur GLPI
Tout d'abord, vous devez ajouter une application SAML sur GLPI car nous avons besoin de rapporter certaines informations sur GLPI <-> Entra/Google.
* Dans **Configuration** > **Applications SSO SAML**, cliquez sur **+ Ajouter**
* Donnez un **nom** à votre application
* Cliquez sur **est actif**
* Cliquez sur **Enregistrer**
* Pour Entra, dans l'onglet **Transit**, sélectionnez :
* Compress requests
* Compress responses
### Ajouter une application dans Entra
* Connectez-vous à votre [portail Entra](https://portal.azure.com/#home)
* Cliquez sur **Application d'entreprise**
* **ET + Nouvelle application**
* Dans la barre de recherche, entrez **saml toolkit**
* Cliquez sur **Microsoft Entra SAML Toolkit**
* Optionnel : Vous pouvez renommer cette application
* Cliquez sur **Créer**
Lorsque l'application est créée :
* Allez dans **Single sign-on**
* Cliquez sur SAML
### Configuration de l'application
* Dans le 1er encart, cliquez sur **Modifier**
* Copiez les valeurs comme suit
### Configuration du Fournisseur de Services (SP)
Dans **Certificat SP** et **Clé privée SP**, copiez/collez votre certificat à la place de ceux déjà présents. Il n'y a pas d'exigences strictes pour ces certificats, autres que le fait qu'ils soient des certificats X509 valides.
### Configuration du Fournisseur d'Identité (IdP)
* Dans le troisième encart de l'application Entra, cliquez sur **Télécharger** depuis **Certificat (Base64)**
* **Ouvrez** ce certificat avec notepad ++ (ou un autre outil capable de lire ce type de certificat)
* **Copiez** le contenu du certificat dans GLPI avec les balises
* **Collez** le certificat dans **Fournisseur d'identité** > **Certificat X509**
* Remplissez ensuite les champs comme suit avec les informations du quatrième encart :
{% hint style="info" %}
Il est conseillé d'utiliser **none** comme **REQ AUTHN CONTEXT**
{% endhint %}
### Sécurité
Pour une instance de production, vous devez activer l'option **Strict**.
Nous vous conseillons d'activer la **création d'utilisateurs JIT**. Cela permettra d'appliquer les règles que vous créerez à partir des Règles JIT.
{% hint style="warning" %}
Pour que le plugin authentifie un utilisateur, le champ doit contenir un **UPN valide** formaté **comme un email**. Ce comportement peut entraîner des doublons dans GLPI lorsque les utilisateurs quittent Ldap. C'est un détail important car certains utilisateurs qui quittent Active directory dans certains scénarios utilisent encore le nom de compte usersam (anciens noms netbui) comme UPN dans Entra. Par conséquent, le champ nameId dans samlResponse ne sera pas rempli avec une adresse e-mail valide. Le champ username est utilisé car le champ email n'est pas garanti d'être unique dans GLPI et il est essentiel qu'un identifiant unique soit utilisé pour permettre l'autorisation d'un utilisateur GLPI spécifique.
{% endhint %}
### Ajouter les utilisateurs autorisés à utiliser SAML
SAML a besoin que des utilisateurs/groupes soient ajoutés afin qu'ils soient autorisés à utiliser l'authentification.
* Cliquez sur l'onglet **utilisateurs et groupes**,
* Cliquez sur **+ Ajouter utilisateur/groupe**
* Sélectionnez tous les utilisateurs et groupes requis
* Cliquez sur **Attribuer**
### Mapping
Si vous souhaitez ajouter des informations supplémentaires à votre profil, vous pouvez utiliser les Attributs et Claims. Votre profil sera rempli avec les informations saisies dans Entra.
* Dans **Single sign on**, cliquez sur **Modifier**
* Copiez l'URL de l'un des autres claims
* Cliquez sur **+ Ajouter un nouveau claim**
* Sélectionnez un nom
* Collez l'URL que vous venez de copier dans **Namespace**
* Sélectionnez **attribute**
* Recherchez la valeur que vous souhaitez dans le **Source attribute**
* Enregistrez votre modification
* Répétez cette étape pour toutes les valeurs souhaitées
### Règles pour l'attribution des autorisations
Il sera nécessaire d'établir des règles pour attribuer des autorisations à vos utilisateurs (pour leur donner un profil, par exemple).
Pour ce faire, allez dans **Administration** > **Règles** > **GLPI SAML - Règles d'importation Saml** ou via le bouton **Règles JIT** directement dans le plugin
>
Une limitation stricte du plugin actuel est que les règles ne peuvent être liées qu'à la condition 'email'. Nous prévoyons de permettre la liaison à des SamlClaims supplémentaires, actuellement il ne permet que la valeur communiquée via la propriété nameId ou le claim emailaddress.
Par exemple, vous souhaitez que vos utilisateurs avec authentification SAML obtiennent le profil Self-Service.
Vous configurerez vos critères et actions comme indiqué ici :
>
### Sources
Microsoft Entra :
Google :
## Google
### Ajouter une nouvelle application SAML sur GLPI
Tout d'abord, vous devez ajouter une application SAML sur GLPI car nous avons besoin de rapporter certaines informations sur GLPI <-> Entra/Google.
* Dans **Configuration** > **Applications SSO SAML**, cliquez sur **+ Ajouter**
* Donnez un **nom** à votre application
* Cliquez sur **est actif**
* Cliquez sur **Enregistrer**
### Ajouter une application dans Google
* Connectez-vous à votre [portail Google](https://accounts.google.com/)
* Cliquez sur **Applications**
* Cliquez sur **Applications web et mobiles**
* Ensuite, cliquez sur **Ajouter une application**
* Et **Ajouter une application SAML personnalisée**
* Nommez votre application
* Cliquez sur **Continuer**
* Cliquez sur **Enregistrer** sur GLPI.
### Configuration du Fournisseur d'Identité (IdP)
* Entrez les valeurs comme indiqué dans les 2 captures d'écran ci-dessous
{% hint style="info" %}
Copiez/collez le contenu du certificat dans GLPI avec les balises *---BEGIN CERTIFICATE--- ---END CERTIFICATE---*
{% endhint %}
### Configuration du Fournisseur de Services (SP)
* Dans les détails du Fournisseur de services, reportez les valeurs de GLPI vers Google :
* Depuis Google, sélectionnez **EMAIL** dans **Name ID format**
* Dans **Name ID**, sélectionnez **Informations de base > E-mail principal**
* Depuis GLPI, sélectionnez **Email Address** dans **NAMEID FORMAT**
Dans **certificat SP** et **Clé privée SP**, copiez/collez votre certificat à la place de ceux déjà présents. Il n'y a pas d'exigences strictes pour ces certificats, autres que le fait qu'ils soient des certificats X509 valides.
* Cliquez sur **Continuer**
* Puis **Terminer**
Votre application est maintenant créée
### Sécurité
Pour une instance de production, dans GLPI, vous devez activer l'option **Strict** dans la configuration du plugin SAML.
Nous vous conseillons d'activer la **création d'utilisateurs JIT**. Cela permettra d'appliquer les règles que vous créez à partir des Règles JIT.
{% hint style="warning" %}
Pour que le plugin authentifie un utilisateur, le champ doit contenir un **UPN valide** formaté **comme une adresse e-mail**. Ce comportement peut entraîner des doublons dans GLPI lorsque les utilisateurs quittent Ldap. C'est un détail important car certains utilisateurs qui quittent Active Directory dans certains scénarios utilisent toujours le nom de compte usersam (anciens noms netbui) comme UPN dans Entra. Par conséquent, le champ nameId dans samlResponse ne sera pas renseigné avec une adresse e-mail valide. Le champ username est utilisé car le champ e-mail n'est pas garanti d'être unique dans GLPI et il est essentiel qu'un identifiant unique soit utilisé pour permettre l'autorisation d'un utilisateur GLPI spécifique.
{% endhint %}
### Ajouter les utilisateurs autorisés à utiliser SAML
SAML a besoin que des utilisateurs/groupes soient ajoutés afin qu'ils soient autorisés à utiliser l'authentification.
* Sur votre application, cliquez sur l'onglet **Voir les détails** dans **Accès utilisateur**
* Cliquez sur **Activé pour tous**
* Cliquez sur **Enregistrer**
### Mapping
Si vous souhaitez ajouter des informations supplémentaires à votre profil, vous pouvez utiliser les Attributs. Votre profil sera renseigné avec les informations saisies dans Entra.
* Dans votre application, cliquez sur **Configurer le mapping d'attributs SAML** dans **Mapping d'attributs SAML**
* Copiez l'URL de l'une des autres revendications (claim)
* Ajoutez les informations que vous souhaitez
* Cliquez sur **Enregistrer**
### Règles pour l'attribution des autorisations
Il sera nécessaire d'établir des règles pour attribuer des autorisations à vos utilisateurs (pour leur donner un profil, par exemple).
Pour ce faire, allez dans **Administration** > **Règles** > **GLPI SAML - Règles d'importation Saml** ou via le bouton **Règles JIT** directement dans le plugin
>
Une limitation stricte dans le plugin actuel est que les règles ne peuvent être liées qu'à la condition 'email'. Nous prévoyons de permettre la liaison à des SamlClaims supplémentaires, actuellement il ne permet que la valeur communiquée via la propriété nameId ou la revendication emailaddress.
Par exemple, vous souhaitez que vos utilisateurs avec authentification SAML obtiennent le profil Self-Service.
Vous définiriez vos critères et votre action comme indiqué ici :
>
### Sources
Microsoft Entra :
Google :
Une limitation stricte du plugin actuel est que les règles ne peuvent être liées qu'à la condition 'email'. Nous prévoyons de permettre la liaison à des SamlClaims supplémentaires, actuellement il ne permet que la valeur communiquée via la propriété nameId ou le claim emailaddress.
Par exemple, vous souhaitez que vos utilisateurs avec authentification SAML obtiennent le profil Self-Service.
Vous configurerez vos critères et actions comme indiqué ici :
> 
### Sources
Microsoft Entra :