SAML
Prérequis (auto-hébergé)
10.0.x
8.1
8.2
Vous avez besoin d'un accès administrateur à la console Entra/Google pour configurer l'application
Télécharger le plugin
Depuis la marketplace (Configuration > Plugins), téléchargez le plugin GLPI SAML
Entra
Ajouter une nouvelle application SAML sur GLPI
Tout d'abord, vous devez ajouter une application SAML sur GLPI car nous avons besoin de rapporter certaines informations sur GLPI <-> Entra/Google.
Dans Configuration > Applications SSO SAML, cliquez sur + Ajouter
Donnez un nom à votre application
Cliquez sur est actif
Cliquez sur Enregistrer
Pour Entra, dans l'onglet Transit, sélectionnez :
Compress requests
Compress responses
Ajouter une application dans Entra
Connectez-vous à votre portail Entra
Cliquez sur Application d'entreprise
ET + Nouvelle application
Dans la barre de recherche, entrez saml toolkit
Cliquez sur Microsoft Entra SAML Toolkit
Optionnel : Vous pouvez renommer cette application
Cliquez sur Créer
Lorsque l'application est créée :
Allez dans Single sign-on
Cliquez sur SAML
Configuration de l'application
Dans le 1er encart, cliquez sur Modifier
Copiez les valeurs comme suit
Configuration du Fournisseur de Services (SP)
Dans Certificat SP et Clé privée SP, copiez/collez votre certificat à la place de ceux déjà présents. Il n'y a pas d'exigences strictes pour ces certificats, autres que le fait qu'ils soient des certificats X509 valides.
Configuration du Fournisseur d'Identité (IdP)
Dans le troisième encart de l'application Entra, cliquez sur Télécharger depuis Certificat (Base64)
Ouvrez ce certificat avec notepad ++ (ou un autre outil capable de lire ce type de certificat)
Copiez le contenu du certificat dans GLPI avec les balises
Collez le certificat dans Fournisseur d'identité > Certificat X509
Remplissez ensuite les champs comme suit avec les informations du quatrième encart :
Sécurité
Pour une instance de production, vous devez activer l'option Strict.
Nous vous conseillons d'activer la création d'utilisateurs JIT. Cela permettra d'appliquer les règles que vous créerez à partir des Règles JIT.
Pour que le plugin authentifie un utilisateur, le champ doit contenir un UPN valide formaté comme un email. Ce comportement peut entraîner des doublons dans GLPI lorsque les utilisateurs quittent Ldap. C'est un détail important car certains utilisateurs qui quittent Active directory dans certains scénarios utilisent encore le nom de compte usersam (anciens noms netbui) comme UPN dans Entra. Par conséquent, le champ nameId dans samlResponse ne sera pas rempli avec une adresse e-mail valide. Le champ username est utilisé car le champ email n'est pas garanti d'être unique dans GLPI et il est essentiel qu'un identifiant unique soit utilisé pour permettre l'autorisation d'un utilisateur GLPI spécifique.
Ajouter les utilisateurs autorisés à utiliser SAML
SAML a besoin que des utilisateurs/groupes soient ajoutés afin qu'ils soient autorisés à utiliser l'authentification.
Cliquez sur l'onglet utilisateurs et groupes,
Cliquez sur + Ajouter utilisateur/groupe
Sélectionnez tous les utilisateurs et groupes requis
Cliquez sur Attribuer
Mapping
Si vous souhaitez ajouter des informations supplémentaires à votre profil, vous pouvez utiliser les Attributs et Claims. Votre profil sera rempli avec les informations saisies dans Entra.
Dans Single sign on, cliquez sur Modifier
Copiez l'URL de l'un des autres claims
Cliquez sur + Ajouter un nouveau claim
Sélectionnez un nom
Collez l'URL que vous venez de copier dans Namespace
Sélectionnez attribute
Recherchez la valeur que vous souhaitez dans le Source attribute
Enregistrez votre modification
Répétez cette étape pour toutes les valeurs souhaitées
Règles pour l'attribution des autorisations
Il sera nécessaire d'établir des règles pour attribuer des autorisations à vos utilisateurs (pour leur donner un profil, par exemple).
Pour ce faire, allez dans Administration > Règles > GLPI SAML - Règles d'importation Saml ou via le bouton Règles JIT directement dans le plugin
Une limitation stricte du plugin actuel est que les règles ne peuvent être liées qu'à la condition 'email'. Nous prévoyons de permettre la liaison à des SamlClaims supplémentaires, actuellement il ne permet que la valeur communiquée via la propriété nameId ou le claim emailaddress.
Par exemple, vous souhaitez que vos utilisateurs avec authentification SAML obtiennent le profil Self-Service.
Vous configurerez vos critères et actions comme indiqué ici :
Sources
Microsoft Entra : https://learn.microsoft.com/en-us/entra/architecture/auth-saml
Google : https://support.google.com/a/answer/6087519?hl=en
Google
Ajouter une nouvelle application SAML sur GLPI
Tout d'abord, vous devez ajouter une application SAML sur GLPI car nous avons besoin de rapporter certaines informations sur GLPI <-> Entra/Google.
Dans Configuration > Applications SSO SAML, cliquez sur + Ajouter
Donnez un nom à votre application
Cliquez sur est actif
Cliquez sur Enregistrer
Ajouter une application dans Google
Connectez-vous à votre portail Google
Cliquez sur Applications
Cliquez sur Applications web et mobiles
Ensuite, cliquez sur Ajouter une application
Et Ajouter une application SAML personnalisée
Nommez votre application
Cliquez sur Continuer
Cliquez sur Enregistrer sur GLPI.
Configuration du Fournisseur d'Identité (IdP)
Entrez les valeurs comme indiqué dans les 2 captures d'écran ci-dessous
Configuration du Fournisseur de Services (SP)
Dans les détails du Fournisseur de services, reportez les valeurs de GLPI vers Google :
Depuis Google, sélectionnez EMAIL dans Name ID format
Dans Name ID, sélectionnez Informations de base > E-mail principal
Depuis GLPI, sélectionnez Email Address dans NAMEID FORMAT
Dans certificat SP et Clé privée SP, copiez/collez votre certificat à la place de ceux déjà présents. Il n'y a pas d'exigences strictes pour ces certificats, autres que le fait qu'ils soient des certificats X509 valides.
Cliquez sur Continuer
Puis Terminer
Votre application est maintenant créée
Sécurité
Pour une instance de production, dans GLPI, vous devez activer l'option Strict dans la configuration du plugin SAML.
Nous vous conseillons d'activer la création d'utilisateurs JIT. Cela permettra d'appliquer les règles que vous créez à partir des Règles JIT.
Pour que le plugin authentifie un utilisateur, le champ doit contenir un UPN valide formaté comme une adresse e-mail. Ce comportement peut entraîner des doublons dans GLPI lorsque les utilisateurs quittent Ldap. C'est un détail important car certains utilisateurs qui quittent Active Directory dans certains scénarios utilisent toujours le nom de compte usersam (anciens noms netbui) comme UPN dans Entra. Par conséquent, le champ nameId dans samlResponse ne sera pas renseigné avec une adresse e-mail valide. Le champ username est utilisé car le champ e-mail n'est pas garanti d'être unique dans GLPI et il est essentiel qu'un identifiant unique soit utilisé pour permettre l'autorisation d'un utilisateur GLPI spécifique.
Ajouter les utilisateurs autorisés à utiliser SAML
SAML a besoin que des utilisateurs/groupes soient ajoutés afin qu'ils soient autorisés à utiliser l'authentification.
Sur votre application, cliquez sur l'onglet Voir les détails dans Accès utilisateur
Cliquez sur Activé pour tous
Cliquez sur Enregistrer
Mapping
Si vous souhaitez ajouter des informations supplémentaires à votre profil, vous pouvez utiliser les Attributs. Votre profil sera renseigné avec les informations saisies dans Entra.
Dans votre application, cliquez sur Configurer le mapping d'attributs SAML dans Mapping d'attributs SAML
Copiez l'URL de l'une des autres revendications (claim)
Ajoutez les informations que vous souhaitez
Cliquez sur Enregistrer
Règles pour l'attribution des autorisations
Il sera nécessaire d'établir des règles pour attribuer des autorisations à vos utilisateurs (pour leur donner un profil, par exemple).
Pour ce faire, allez dans Administration > Règles > GLPI SAML - Règles d'importation Saml ou via le bouton Règles JIT directement dans le plugin
Une limitation stricte dans le plugin actuel est que les règles ne peuvent être liées qu'à la condition 'email'. Nous prévoyons de permettre la liaison à des SamlClaims supplémentaires, actuellement il ne permet que la valeur communiquée via la propriété nameId ou la revendication emailaddress.
Par exemple, vous souhaitez que vos utilisateurs avec authentification SAML obtiennent le profil Self-Service.
Vous définiriez vos critères et votre action comme indiqué ici :
Sources
Microsoft Entra : https://learn.microsoft.com/en-us/entra/architecture/auth-saml
Mis à jour
Ce contenu vous a-t-il été utile ?