circle-check
Notre plugin WhatsApp est disponible : créez et suivez vos tickets GLPI en toute simplicité.
whatsappVoir la documentation WhatsAppchevron-right
search
Essai gratuit 45 joursCycle de vie de GLPI

up-to-lineSAML

hashtag
Prérequis (auto-hébergé)

Version GLPI
PHP Minimum
Recommandé

10.0.x

8.1

8.2

circle-info

Ce plugin est disponible sans souscription GLPI Networkarrow-up-right. Il est également disponible sur GLPI Cloudarrow-up-right.

circle-info

Nous recommandons l'utilisation des plugins OAuth SSO et SCIM si vous avez besoin d'autologin ou de provisionnement d'utilisateurs, officiellement supportés par l'éditeur.

Mais nous suggérons l'utilisation de ce plugin si le protocole SAML est obligatoire pour votre organisation.

circle-exclamation

Vous avez besoin d'un accès administrateur à la console Entra/Google pour configurer l'application

hashtag
Télécharger le plugin

  • Depuis la marketplace (Configuration > Plugins), téléchargez le plugin GLPI SAML

images/download-plugin.png

hashtag
Entra

hashtag
Ajouter une nouvelle application SAML sur GLPI

Tout d'abord, vous devez ajouter une application SAML sur GLPI car nous avons besoin de rapporter certaines informations sur GLPI <-> Entra/Google.

  • Dans Configuration > Applications SSO SAML, cliquez sur + Ajouter

  • Donnez un nom à votre application

  • Cliquez sur est actif

  • Cliquez sur Enregistrer

Ajouter une application GLPI

  • Pour Entra, dans l'onglet Transit, sélectionnez :

    • Compress requests

    • Compress responses

Configuration du transit

hashtag
Ajouter une application dans Entra

  • Connectez-vous à votre portail Entraarrow-up-right

  • Cliquez sur Application d'entreprise

  • ET + Nouvelle application

  • Dans la barre de recherche, entrez saml toolkit

  • Cliquez sur Microsoft Entra SAML Toolkit

Créer une application Entra

  • Optionnel : Vous pouvez renommer cette application

  • Cliquez sur Créer

Lorsque l'application est créée :

  • Allez dans Single sign-on

  • Cliquez sur SAML

Créer une application SAM Entra

hashtag
Configuration de l'application

  • Dans le 1er encart, cliquez sur Modifier

  • Copiez les valeurs comme suit

Reporter les valeurs dans Entra
Voir les valeurs dans GLPI

hashtag
Configuration du Fournisseur de Services (SP)

Dans Certificat SP et Clé privée SP, copiez/collez votre certificat à la place de ceux déjà présents. Il n'y a pas d'exigences strictes pour ces certificats, autres que le fait qu'ils soient des certificats X509 valides.

Configuration des valeurs

hashtag
Configuration du Fournisseur d'Identité (IdP)

  • Dans le troisième encart de l'application Entra, cliquez sur Télécharger depuis Certificat (Base64)

Télécharger le certificat

  • Ouvrez ce certificat avec notepad ++ (ou un autre outil capable de lire ce type de certificat)

  • Copiez le contenu du certificat dans GLPI avec les balises

  • Collez le certificat dans Fournisseur d'identité > Certificat X509

  • Remplissez ensuite les champs comme suit avec les informations du quatrième encart :

Coller le certificat et configurer les valeurs
Configuration des valeurs
circle-info

Il est conseillé d'utiliser none comme REQ AUTHN CONTEXT

hashtag
Sécurité

Pour une instance de production, vous devez activer l'option Strict.

Nous vous conseillons d'activer la création d'utilisateurs JIT. Cela permettra d'appliquer les règles que vous créerez à partir des Règles JIT.

Options de sécurité
circle-exclamation

Pour que le plugin authentifie un utilisateur, le champ doit contenir un UPN valide formaté comme un email. Ce comportement peut entraîner des doublons dans GLPI lorsque les utilisateurs quittent Ldap. C'est un détail important car certains utilisateurs qui quittent Active directory dans certains scénarios utilisent encore le nom de compte usersam (anciens noms netbui) comme UPN dans Entra. Par conséquent, le champ nameId dans samlResponse ne sera pas rempli avec une adresse e-mail valide. Le champ username est utilisé car le champ email n'est pas garanti d'être unique dans GLPI et il est essentiel qu'un identifiant unique soit utilisé pour permettre l'autorisation d'un utilisateur GLPI spécifique.

hashtag
Ajouter les utilisateurs autorisés à utiliser SAML

SAML a besoin que des utilisateurs/groupes soient ajoutés afin qu'ils soient autorisés à utiliser l'authentification.

  • Cliquez sur l'onglet utilisateurs et groupes,

  • Cliquez sur + Ajouter utilisateur/groupe

  • Sélectionnez tous les utilisateurs et groupes requis

  • Cliquez sur Attribuer

Ajouter un utilisateur autorisé

hashtag
Mapping

Si vous souhaitez ajouter des informations supplémentaires à votre profil, vous pouvez utiliser les Attributs et Claims. Votre profil sera rempli avec les informations saisies dans Entra.

  • Dans Single sign on, cliquez sur Modifier

  • Copiez l'URL de l'un des autres claims

Copier le schéma d'URL

  • Cliquez sur + Ajouter un nouveau claim

  • Sélectionnez un nom

  • Collez l'URL que vous venez de copier dans Namespace

  • Sélectionnez attribute

  • Recherchez la valeur que vous souhaitez dans le Source attribute

  • Enregistrez votre modification

  • Répétez cette étape pour toutes les valeurs souhaitées

Ajouter des claims dans Entra
Voir les claims dans Entra

hashtag
Règles pour l'attribution des autorisations

Il sera nécessaire d'établir des règles pour attribuer des autorisations à vos utilisateurs (pour leur donner un profil, par exemple).

Pour ce faire, allez dans Administration > Règles > GLPI SAML - Règles d'importation Saml ou via le bouton Règles JIT directement dans le plugin

ajouter une règle

Une limitation stricte du plugin actuel est que les règles ne peuvent être liées qu'à la condition 'email'. Nous prévoyons de permettre la liaison à des SamlClaims supplémentaires, actuellement il ne permet que la valeur communiquée via la propriété nameId ou le claim emailaddress.

Par exemple, vous souhaitez que vos utilisateurs avec authentification SAML obtiennent le profil Self-Service.

Vous configurerez vos critères et actions comme indiqué ici :

gérer le type de câble

hashtag
Sources

Microsoft Entra : https://learn.microsoft.com/en-us/entra/architecture/auth-samlarrow-up-right

Google : https://support.google.com/a/answer/6087519?hl=enarrow-up-right

hashtag
Google

hashtag
Ajouter une nouvelle application SAML sur GLPI

Tout d'abord, vous devez ajouter une application SAML sur GLPI car nous avons besoin de rapporter certaines informations sur GLPI <-> Entra/Google.

  • Dans Configuration > Applications SSO SAML, cliquez sur + Ajouter

  • Donnez un nom à votre application

  • Cliquez sur est actif

  • Cliquez sur Enregistrer

Ajouter une application GLPI

hashtag
Ajouter une application dans Google

  • Connectez-vous à votre portail Googlearrow-up-right

  • Cliquez sur Applications

  • Cliquez sur Applications web et mobiles

  • Ensuite, cliquez sur Ajouter une application

  • Et Ajouter une application SAML personnalisée

Créer une application Google

  • Nommez votre application

  • Cliquez sur Continuer

Donner un nom à votre application

  • Cliquez sur Enregistrer sur GLPI.

hashtag
Configuration du Fournisseur d'Identité (IdP)

  • Entrez les valeurs comme indiqué dans les 2 captures d'écran ci-dessous

Informations IdP Google
Reporter les valeurs dans GLPI
circle-info

Copiez/collez le contenu du certificat dans GLPI avec les balises ---BEGIN CERTIFICATE--- ---END CERTIFICATE---

hashtag
Configuration du Fournisseur de Services (SP)

  • Dans les détails du Fournisseur de services, reportez les valeurs de GLPI vers Google :

Informations SP GLPI
Reporter les valeurs de GLPI

  • Depuis Google, sélectionnez EMAIL dans Name ID format

  • Dans Name ID, sélectionnez Informations de base > E-mail principal

  • Depuis GLPI, sélectionnez Email Address dans NAMEID FORMAT

Dans certificat SP et Clé privée SP, copiez/collez votre certificat à la place de ceux déjà présents. Il n'y a pas d'exigences strictes pour ces certificats, autres que le fait qu'ils soient des certificats X509 valides.

configuration des valeurs

  • Cliquez sur Continuer

  • Puis Terminer

Votre application est maintenant créée

Votre application est maintenant créée

hashtag
Sécurité

Pour une instance de production, dans GLPI, vous devez activer l'option Strict dans la configuration du plugin SAML.

Nous vous conseillons d'activer la création d'utilisateurs JIT. Cela permettra d'appliquer les règles que vous créez à partir des Règles JIT.

options pour la sécurité
circle-exclamation

Pour que le plugin authentifie un utilisateur, le champ doit contenir un UPN valide formaté comme une adresse e-mail. Ce comportement peut entraîner des doublons dans GLPI lorsque les utilisateurs quittent Ldap. C'est un détail important car certains utilisateurs qui quittent Active Directory dans certains scénarios utilisent toujours le nom de compte usersam (anciens noms netbui) comme UPN dans Entra. Par conséquent, le champ nameId dans samlResponse ne sera pas renseigné avec une adresse e-mail valide. Le champ username est utilisé car le champ e-mail n'est pas garanti d'être unique dans GLPI et il est essentiel qu'un identifiant unique soit utilisé pour permettre l'autorisation d'un utilisateur GLPI spécifique.

hashtag
Ajouter les utilisateurs autorisés à utiliser SAML

SAML a besoin que des utilisateurs/groupes soient ajoutés afin qu'ils soient autorisés à utiliser l'authentification.

  • Sur votre application, cliquez sur l'onglet Voir les détails dans Accès utilisateur

  • Cliquez sur Activé pour tous

  • Cliquez sur Enregistrer

Autoriser les utilisateurs à utiliser l'application

hashtag
Mapping

Si vous souhaitez ajouter des informations supplémentaires à votre profil, vous pouvez utiliser les Attributs. Votre profil sera renseigné avec les informations saisies dans Entra.

  • Dans votre application, cliquez sur Configurer le mapping d'attributs SAML dans Mapping d'attributs SAML

  • Copiez l'URL de l'une des autres revendications (claim)

  • Ajoutez les informations que vous souhaitez

  • Cliquez sur Enregistrer

ajouter des attributs pour Google
Autoriser les utilisateurs à utiliser l'application

hashtag
Règles pour l'attribution des autorisations

Il sera nécessaire d'établir des règles pour attribuer des autorisations à vos utilisateurs (pour leur donner un profil, par exemple).

Pour ce faire, allez dans Administration > Règles > GLPI SAML - Règles d'importation Saml ou via le bouton Règles JIT directement dans le plugin

ajouter une règle

Une limitation stricte dans le plugin actuel est que les règles ne peuvent être liées qu'à la condition 'email'. Nous prévoyons de permettre la liaison à des SamlClaims supplémentaires, actuellement il ne permet que la valeur communiquée via la propriété nameId ou la revendication emailaddress.

Par exemple, vous souhaitez que vos utilisateurs avec authentification SAML obtiennent le profil Self-Service.

Vous définiriez vos critères et votre action comme indiqué ici :

gérer le type de câble

hashtag
Sources

Microsoft Entra : https://learn.microsoft.com/en-us/entra/architecture/auth-samlarrow-up-right

Google : https://support.google.com/a/answer/6087519?hl=enarrow-up-right

PrécédentRenamerSuivantSCCM

Mis à jour