Simple panneau sur (SSO) mis en place

Dotcom-Monitor prend en charge la connexion SSO (Single Sign On) à l’aide de SAML 2.0. SAML assure le transfert des données d’authentification entre le fournisseur d’identité des clients et le service Dotcom-Monitor. Toutes les informations de connexion de l’utilisateur sont stockées du côté du fournisseur d’identité et non par Dotcom-Monitor, ce qui garantit un haut niveau de sécurité et une meilleure expérience utilisateur.

Une fois que vous avez configuré les groupes d’autorisations dans votre système, Dotcom-Monitor mappe ces groupes à nos rôles d’utilisateur et accorde l’accès au système Dotcom-Monitor en conséquence.

Plus loin dans cet article, nous fournissons les étapes requises pour activer l’authentification unique avec Active Directory FS (ADFS) et AZURE Active Directory (Azure AD) comme fournisseurs d’identité. En outre, des guides étape par étape pour l’intégration SAML OKTA sont fournis.

En règle générale, il n’est pas conseillé de configurer un utilisateur Dotcom-Monitor dans plusieurs groupes avec différents niveaux d’autorisation dans votre Active Directory. Toutefois, si un utilisateur appartient à deux niveaux d’autorisation ou plus dans Dotcom-Monitor, le niveau d’autorisation le plus bas sera prioritaire sur les niveaux avec des autorisations plus élevées. Par exemple, si un utilisateur s’est vu attribuer simultanément les rôles Visualiseur (lecture seule) et Utilisateur avec pouvoir au sein de la plateforme Dotcom-Monitor, ce sont les autorisations de rôle Visionneuse qui seront appliquées lors de la connexion SSO.

SSO avec Active Directory FS
1. Installez ADFS 2.0 (l’aide peut être trouvée à http://www.microsoft.com/en-us/download/details.aspx?id=10909).

2. Télécharger des
métadonnées.xml
.

3. Dans la console de gestion ADFS 2.0, ajoutez un certificat SSL pour signer les réponses/demandes dotcom-monitor :
- Lancez la console de gestion ADFS 2.0 et ouvrez Server Configuration Wizard.
- Cliquez sur Créer une nouvelle FS et sélectionnez Autonome FS.
- Sélectionnez Certificat SSL (s’il n’y a pas de certificats, vous pouvez créer un certificat auto-signé à l’aide de Certificats > serveur INETMGR > Créer un certificat auto-signé).
4. Dans la console de gestion ADFS 2.0, ajoutez l’IDR aux fiducies de parti s’appuyant sur l’ADFS :
- Cliquez sur Compter sur party trusts et sélectionnez Ajouter confiance parti s’appuyant.
- Dans la fenêtre assistant, cliquez sur Démarrer et sélectionnez Les données d’importation sur la partie qui compte à partir d’un fichier.
- Choisissez des métadonnées.xml.
- Choisissez n’importe quel nomsignificatif (dotcom-monitor.com).
- Cliquez ensuite et suivez les invites.
- Lors de l’étape des règles d’autorisation de délivrance, sélectionnez Autoriser tous les utilisateurs à accéder à cette partie
- À la dernière étape, désactivez la case à cocher Ouvrir la boîte de dialogue Modifier les règles de revendication pour cette approbation de partie de confiance lorsque l’Assistant se ferme .
- Fermez l’assistant.
5. Définissez SHA-1 comme algorithme de hachage sécurisé :
- Après avoir créé en s’appuyant sur la confiance parti à droite cliquez dessus dans la liste et sélectionnez Properties.
- Allez à l’onglet Avancé et modifiez l’algorithme de hachage en SHA-1.
6. Ajouter la règle de réclamation pour envoyer des attributs LDAP sous forme de revendications :
- Cliquez à droite sur la partie qui compte, sélectionnez Modifier les règles de réclamation.
- Cliquez sur Ajouter la règle et assurez-vous que le modèle de règle de réclamation a envoyer des attributs LDAP que les revendications sélectionnées.
- Donnez le nom de la règle de réclamation.
- Sélectionnez le magasin Attribut pour être actif Répertoire.
- Ajouter deux mappages d’attributs : pour l’utilisateur-principal-nom mis en place UPN, pour les groupes de jetons – Noms non qualifiés définir le rôle.
7. Ajouter la règle personnalisée:
- Cliquez à droite sur la partie qui compte, sélectionnez Modifier les règles de réclamation.
- Cliquez sur Ajouter la règle et définir le modèle de règle de réclamation pour envoyer des revendications en utilisant la règle personnalisée.
- Donnez le nom de la règle de réclamation.
- Insérez le script suivant :
```
 c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer,
 OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, 
 Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient",
 Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://www.example.com/adfs/services/trust", 
 Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "https://userauth.dotcom-monitor.com/")
```
- Remplacer “http://www.example.com/adfs/services/trust” par l’entité du fournisseur d’identité (IdP) (»http://idpsite.com/adfs/services/trust«).
8. Ouvrez l’URL dans le navigateur à partir de la machine IdP: https://localhost/federationmetadata/2007-06/federationmetadata.xml

9. Enregistrez le contenu XML en tant que fichier et envoyez-le au support Dotcom-Monitor à l’aide du système de tickets.

Lorsque l’authentification unique est activée, vous pouvez ajouter des utilisateurs de site Web Dotcom-Monitor en créant de nouveaux utilisateurs dans AD ou en ajoutant des utilisateurs existants à l’un des groupes suivants : « Dotcom-Monitor_Administrators », « Dotcom-Monitor_Users », « Dotcom-Monitor_Power_Users », « Dotcom-Monitor_Accounting_Users », « Dotcom-Monitor_ReadOnly_Users », « Dotcom-Monitor_Operators ». Chacun de ces groupes doit avoir la portée «globale»ou« universelle » et le type«sécurité ».
SSO avec AZURE Active Directory
1. Connectez-vous au portail Azure en tant qu’administrateur global ou co-administrateur.

2. Dans le portail, sur le panneau de navigation gauche, sélectionnez Azure Active Directory.

3. Pour gérer (créer) les utilisateurs de la future connexion SSO à l’aide d’Azure AD, sous la section Gérer dans le panneau de navigation Azure Active Directory, sélectionnez Utilisateurs > Tous les utilisateurs :

https://portal.azure.com/#blade/Microsoft_AAD_IAM/UserManagementMenuBlade/Overview/menuId/

4. Créer une nouvelle application d’entreprise :
- Dans le panneau de navigation Azure Active Directory, sélectionnez applications Enterprise.
- Cliquez sur Nouvelle application, puis application non-galerie.
- Sur la page Ajouter votre propre application, définissez le nom de la nouvelle application (« userauth.dotcom-monitor.com ») et cliquez sur Ajouter.
https://portal.azure.com/#blade/Microsoft_AAD_IAM/StartboardApplicationsMenuBlade/Overview/menuId/

5. Modifier les métadonnées d’application pour ajouter des groupes de moniteurs dotcom :
- Dans le panneau de navigation Azure Active Directory, sélectionnez enregistrements app.
https://portal.azure.com/#blade/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/RegisteredApps
- Cliquez surl’application ” userauth.dotcom-monitor.com«, puis sous la section Gérer, sélectionnez Manifeste.
- Dans l’éditeur manifeste basé sur le Web, ajoutez les rôles suivants sous le nœud appRoles et enregistrez:
```
   {  "allowedMemberTypes": [  
        "User"      
      ],
      "displayName": "Dotcom-Monitor_Administrators",
      "id": "b9632174-c057-4f7e-951b-be3adc52aaaa",
      "isEnabled": true,
      "description": "Dotcom-Monitor_Administrators", 
      "value": "Dotcom-Monitor_Administrators"
   }, 
   {
      "allowedMemberTypes": [
        "User"
      ],
      "displayName": "Dotcom-Monitor_Power_Users",
      "id": "b9632174-c057-4f7e-951b-be3adc52baaa",
      "isEnabled": true,
      "description": "Dotcom-Monitor_Power_Users",
      "value": "Dotcom-Monitor_Power_Users"
    }, 
    {
      "allowedMemberTypes": [
        "User"
      ],
      "displayName": "Dotcom-Monitor_Users",
      "id": "b9632174-c057-4f7e-951b-be3adc52babc",
      "isEnabled": true,
      "description": "Dotcom-Monitor_Users",
      "value": "Dotcom-Monitor_Users"
    }, 
    {
      "allowedMemberTypes": [
        "User"
      ],
      "displayName": "Dotcom-Monitor_Accounting_Users",
      "id": "b9632174-c057-4f7e-951b-be3adc52bbbb",
      "isEnabled": true,
      "description": "Dotcom-Monitor_Accounting_Users",
      "value": "Dotcom-Monitor_Accounting_Users"
    },
    {
      "allowedMemberTypes": [
        "User"
      ],
      "displayName": "Dotcom-Monitor_ReadOnly_Users",
      "id": "b9632174-c057-4f7e-951b-be3adc52bccc",
      "isEnabled": true,
      "description": "Dotcom-Monitor_ReadOnly_Users",
      "value": "Dotcom-Monitor_ReadOnly_Users"
    },
    {
      "allowedMemberTypes": [
        "User"
      ],
      "displayName": "Dotcom-Monitor_Operators",
      "id": "b9632174-c057-4f7e-951b-be3adc52bddd",
      "isEnabled": true,
      "description": "Dotcom-Monitor_Operators",
      "value": "Dotcom-Monitor_Operators"
    },
```
5. Modifier les paramètres SSO :
- Dans le panneau de navigation Azure Active Directory , sélectionnez Applications d’entreprise, puis cliquez sur Toutes les applications.
https://portal.azure.com/#blade/Microsoft_AAD_IAM/StartboardApplicationsMenuBlade/AllApps/menuId/
- Cliquez surl’application ” userauth.dotcom-monitor.com«.
- Dans la section Gérer, sélectionnez Simple sign-on.
- Sélectionnez SAML pour configurer une seule inscription. Sur la configuration de la simple inscription avec SAML – La page Aperçu configure les options SAML de base :
```
Identifier: “https://userauth.dotcom-monitor.com/” 
Reply URL: “https://userauth.dotcom-monitor.com/Login.ashx”
Unique User Identifier: “user.userprincipalname”
```
- Sélectionnez l’icône Modifier (un crayon) dans le coin supérieur droit de la section Attributs et revendications de l’utilisateur et ajoutez les nouveaux attributs :
```
 Name: “Roles”
 Value: “user.assignedroles”
```
- Sélectionnez l’icône Modifier (un crayon) dans le coin supérieur droit de la section certificat de signature SAML.
- Dans la section certificat de signature SAML cliquez sur Télécharger métadonnées XML et l’enregistrer sur le disque. Ce fichier doit être envoyé à dotcom-monitor.com support.
- Vérifiez rendre le nouveau certificat actif (seulement après le téléchargement des métadonnées) et confirmez l’action.
- Vérifiez afficher les paramètres avancés de signature de certificat et définissez SHA-1 comme algorithme de signature.
- Cliquez sur Enregistrer.
6. Attribuez des rôles :
- Dans le panneau de navigation Azure Active Directory , sélectionnez Applications d’entreprise, puis cliquez sur Toutes les applications.
https://portal.azure.com/#blade/Microsoft_AAD_IAM/StartboardApplicationsMenuBlade/AllApps/menuId/
- Cliquez surl’application ” userauth.dotcom-monitor.com«, puis sélectionnez Utilisateurs et groupes.
- Cliquez sur Ajouter un utilisateur, sélectionnez utilisateur, sélectionnez le rôle (l’un des rôles dotcom-monitor), puis cliquez sur Attribuer. Faites-le pour tous les utilisateurs nécessaires.
7. Envoyez des métadonnées.xml au support dotcom-monitor. Cliquez ici, connectez-vous à votre compte et soumettez un ticket.
SSO avec OKTA

Vérifiez les matériaux suivants pour configurer l’intégration OKTA avec Dotcom-Monitor et activer SSO :

OKTA – Guide PDF d’intégration Dotcom-Monitor

OKTA SAML Integration with Dotcom-Monitor Walkthrough Vidéo

SAML Login Vidéo

Voir aussi les guides alternatifs suivants :

Guide alternatif Okta to Dotcom-Monitor

Okta to Dotcom-Monitor SAML Configuration Vidéo

Configuration de l’OSS pour les départements

Si vous avez créé un service pour le compte Dotcom-Monitor, vous pouvez configurer les utilisateurs SSO pour qu’ils s’y connectent.

Pour activer sso pour les départements, ajouter le nom du département comme un suffixe au nom du groupe ou le rôle réservé aux fins Dotcom-Monitor dans la MA. Utilisez un double trait d’union comme séparateur :

<AD Group Name>--<Department Name>

Pour configurer l’authentification unique avec Dotcom-Monitor, utilisez les noms suivants pour configurer les rôles SSO dans votre service d’annuaire :

Nom du groupe AD (rôle SSO)	Rôle d’utilisateur dans dotcom-monitor
Dotcom-Monitor_Administrators	Admin
Dotcom-Monitor_Users	utilisateur
Dotcom-Monitor_Accounting_Users	comptabilité
Dotcom-Monitor_ReadOnly_Users	Spectateur
Dotcom-Monitor_Power_Users	Utilisateur d’énergie
Dotcom-Monitor_Operators	Operator

Par exemple, pour permettre à un utilisateur de se connecter au service « AlphaDep » avec les autorisations du rôle Utilisateur avec pouvoir , ajoutez le suffixe suivant au groupe AD Dotcom-Monitor_Power_Users :

«Dotcom-Monitor_Power_Users--AlphaDep»

Pour modifier le nom d’un groupe ADFS, cliquez à droite sur le groupe et sélectionnez Renommer. Une fois renommé, modifiez le nom pré-Windows 2000 ainsi que dans la boîte pop-up ou du nom du groupe Properties > General > (pré Windows 2000).

Vous pouvez également ajouter les noms de plusieurs départements un par un en utilisant le même format. Par exemple :

«Dotcom-Monitor_Accounting_Users--AlphaDep--BetaDep--Department3»

Pour permettre aux utilisateurs de se connecter au compte racine, spécifiez un groupe AD pertinent sans suffixe de service, comme décrit ci-dessus :

«Dotcom-Monitor_ReadOnly_Users»

Si un utilisateur est inclus dans plusieurs groupes d’annonce «Dotcom-Monitor_» avec SSO configuré pour les départements, la connexion à tous les départements correspondants sera activée (si les départements existent dans le compte Dotcom-Monitor).

Voir aussi : Connexion avec l’authentification unique

SSO avec Active Directory FS

SSO avec AZURE Active Directory

SSO avec OKTA

Configuration de l’OSS pour les départements