Application personnalisée

Cette section décrit comment configurer une application personnalisée Single Sign-On (SSO) à l’aide d’OpenID Connect.

Prérequis

La fonctionnalité Specops Domain Name Protection doit être désactivée. Consultez Protection des noms de domaine.

Configurer une application personnalisée

Voici les principales étapes pour configurer une application personnalisée.

Configurer un objet de stratégie de groupe
Créer une application Single Sign-On

Configurer un objet de stratégie de groupe

Suivez ces étapes uniquement si vous sélectionnez Politique de groupe ou Les deux comme mode de stratégie lors de la création de l’application Single Sign-On.

Dans la console de gestion des stratégies de groupe, créez un objet de stratégie de groupe (GPO).
Liez le GPO à un conteneur contenant des utilisateurs qui doivent pouvoir accéder à l’application de l’organisation.
Dans l’outil d’administration Gatekeeper, cliquez sur Single Sign-on.
Cliquez sur Tag GPOs, sélectionnez le GPO qui doit être disponible lors de la configuration d’une application OpenID Connect dans Specops Authentication, puis cliquez sur OK.

Créer une application Single Sign-On

Connectez-vous en tant qu’administrateur à Specops Authentication Web.
Cliquez sur Single Sign-On.
Cliquez sur Ajouter un nouveau.
Sélectionnez Modèle d'application : Personnalisé.
Sélectionnez Protocole d'application : OpenID Connect.
Cliquez sur Suivant.
Sous Paramètres généraux, saisissez un nom pour l’application et, éventuellement, une description.
Si la partie de confiance attend un JWT signé du point de terminaison des informations utilisateur, sélectionnez Signer les informations utilisateur. Si cette option n’est pas sélectionnée, le point de terminaison renverra du JSON.
Sous Redirect URL's, ajoutez les URL qui doivent être autorisées pour la redirection pendant l’authentification et la déconnexion. Elles doivent être fournies par la partie de confiance. Il est facultatif de les ajouter maintenant, mais au moins une URL sera nécessaire pour que l’authentification fonctionne.
Sous Mappage des revendications standard, ajoutez éventuellement les revendications qui doivent être envoyées à la partie de confiance pendant l’authentification.
- Revendication : Sélectionnez un nom dans la liste des noms prédéfinis ou sélectionnez Personnalisé... pour saisir un nom personnalisé.
- Attribut AD ou valeur personnalisée : Sélectionnez une valeur dans la liste des attributs Active Directory ou sélectionnez Custom... pour saisir un nom personnalisé. Si un attribut AD est sélectionné, la revendication sera renseignée à partir de l’utilisateur lors de l’authentification. Si Custom est sélectionné, une valeur fixe est utilisée.
  
  Avertissement
  
  La revendication "sub" doit être mappée à un attribut AD immuable qui identifie l’utilisateur de manière unique. Ne mappez jamais "sub" à l’attribut "mail", par exemple, car cela pourrait permettre à un utilisateur malveillant d’accéder au compte d’un autre utilisateur. Par défaut, la revendication "sub" est mappée à "objectGUID".
Cliquez sur Suivant : Mappage des revendications de groupe.

Remarque

Les revendications standard ajoutées dans Mappage des revendications standard sont toujours envoyées à la partie de confiance. Les revendications de groupe saisies dans Mappage des revendications de groupe sont des revendications supplémentaires ajoutées au jeton OIDC pour les utilisateurs membres des groupes AD sélectionnés.

Cette configuration ne contrôle pas quels utilisateurs peuvent accéder à l’application. L’accès à l’application est contrôlé par Policy Configuration, ce qui signifie que les utilisateurs des groupes sélectionnés doivent également être inclus dans une stratégie pour pouvoir accéder à l’application.
Sous Ajouter de nouvelles revendications de groupe, ajoutez éventuellement des revendications pour des groupes de sécurité. Saisissez le nom d’un groupe dans Active Directory et cliquez sur Ajouter.
Saisissez une ou plusieurs revendications et valeurs de revendication pour le groupe, puis cliquez sur Enregistrer.
Cliquez sur Suivant : Configuration de la politique.

Remarque

Policy Configuration détermine à quels utilisateurs la stratégie d’application s’applique et quelles règles d’authentification leur sont imposées. Seuls les utilisateurs inclus dans une stratégie sont autorisés à accéder à l’application. Les utilisateurs qui ne sont inclus dans aucune stratégie n’auront pas accès.
Sélectionnez un Mode de politique dans la liste.
Si vous avez sélectionné Politique de groupe ou Les deux comme mode de stratégie, choisissez un ou plusieurs GPO dans la liste Objets de politique de groupe (GPO) et cliquez sur Ajouter.
Cliquez sur Modifier les règles d'authentification à côté du GPO ajouté. Configurez les règles d’authentification souhaitées, puis cliquez sur Enregistrer.
Si vous avez sélectionné Cloud ou Les deux comme mode de stratégie, cliquez sur Configurer et ajoutez les services d’identité que vous souhaitez inclure.
Cliquez sur J'ai terminé.
La page Identifiants de l'application affiche les informations d’identification et les URL qui peuvent être nécessaires lors de la configuration de Specops Authentication comme fournisseur d’identité auprès de la partie de confiance.
Copiez la valeur Secret actuel du client sous ID du client et enregistrez-la pour une utilisation ultérieure. Il s’agit de la valeur du secret client qui doit être saisie dans la configuration de la partie de confiance.

Important !

La valeur Secret actuel du client n’est affichée qu’une seule fois. Après avoir quitté cette page, elle ne peut plus être affichée ni copiée.
Lorsque vous avez terminé, cliquez sur Fermer.

Pour obtenir des informations sur rotation et révocation d’un secret client, consultez la section suivante.

Rotation et révocation d’un secret client

La rotation crée un nouveau Secret actuel du client et conserve temporairement l’ancien secret disponible. La révocation supprime l’ancien secret client afin qu’il ne puisse plus être utilisé. Utilisez ces options pour remplacer le secret client actuel ou révoquer définitivement un ancien secret.

Cliquez sur Voir les identifiants à côté de l’application OIDC sur la page Applications Single Sign-On configurées.
Sur la page Identifiants de l'application :
1. Cliquez sur Faire pivoter le secret pour générer un nouveau Secret actuel du client. Le secret client actuel précédent devient un ancien secret client. Si un ancien secret existe déjà, il est remplacé. Les deux secrets restent valides jusqu’à ce que l’ancien secret client soit révoqué ou remplacé par une autre rotation.
2. Cliquez sur Révoquer l’ancien secret pour supprimer définitivement l’ancien secret client. Une fois révoqué, l’ancien secret ne peut plus être utilisé et le nouveau Secret actuel du client reste actif.