SSO pour Alfresco Share / Blogs / Perficient
Qu’est-ce que l’authentification unique (SSO) ?
L’authentification unique (SSO) est un service d’authentification de session et d’utilisateur qui permet à un utilisateur d’utiliser un ensemble d’informations de connexion (par exemple, un nom d’utilisateur et un mot de passe) pour accéder à plusieurs applications. Le SSO peut être utilisé par les entreprises, les petites et moyennes organisations et les particuliers pour faciliter la gestion de plusieurs informations d’identification.
Comment fonctionne l’authentification unique ?
L’authentification unique est un gestion des identités fédérées arrangement. L’utilisation d’un tel système est parfois appelée fédération d’identité. Autorisation ouverte (OAuth) est le cadre qui permet aux informations du compte d’un utilisateur final d’être utilisées par des services tiers, tels que Facebook, sans exposer le mot de passe de l’utilisateur.
OAuth agit en tant qu’intermédiaire au nom de l’utilisateur final en fournissant au service un jeton d’accès qui autorise le partage d’informations de compte spécifiques. Lorsqu’un utilisateur tente d’accéder à une application auprès du fournisseur de services, le fournisseur de services envoie une demande au fournisseur d’identité pour authentification. Le fournisseur de services vérifie ensuite l’authentification et connecte l’utilisateur.
SSO pour Alfresco.
Alfresco est un système de gestion de contenu d’entreprise et il dispose de plusieurs applications où nous pouvons gérer les contenus. Alfresco Share et Alfresco Workspace en sont deux.
Il s’agit du processus pour Alfresco ancré dans lequel nous devons installer Maven et Docker sur votre système.
But:
- Dans le cadre du processus SSO (authentification unique), nous améliorons l’expérience de connexion des utilisateurs.
- Les utilisateurs ne seront plus tenus de saisir leurs informations d’identification lorsqu’ils tenteront d’accéder au partage Alfresco.
- Cette documentation aide à comprendre le processus d’authentification et le flux d’authentification SAML.
- Permet également d’acquérir des connaissances sur Azure AD et le module SAML d’Alfresco.
Étapes pour configurer SSO avec Azure.
Installez le module SAML.
Pour cela, nous devons télécharger le module depuis le portail d’assistance de Hyland. Ci-dessous le lien pour cela.
Le .zip sera téléchargé.
Installation du dépôt Maven local :
mvn install:install-file -Dfile=”
mvn install:install-file -Dfile=”
et si vous utilisez un lien local, alors
mvn déployer:deploy-file -Dfile=”
mvn déployer:deploy-file -Dfile=”
Ensuite, nous devons l’ajouter dans le pom d’Altresco en tant que dépendance.
dans alfresco-platform-docker>pom.xml, ajoutez le code ci-dessous dans
et dans alfresco-share-docker>pom.xml, ajoutez le code ci-dessous dans
Créez ensuite les images pour alfresco-platform-docker et alfresco-share-docker et exécutez.
Ensuite, nous générerons le certificat auto-signé. Ceci est requis pour se connecter à Azure AD. Exécutez la commande ci-dessous.
keytool -genkeypair -keyalg RSA -alias my-saml-key -keypass change-me -storepass change-me -keystore my-saml.keystore -storetype JCEKS
Placez le fichier my-saml.keystore généré dans un emplacement de votre choix accessible au référentiel.
Pour utiliser la dernière méthode de configuration du magasin de clés, définissez les éléments suivants comme propriétés JVM sous JAVA_TOOL_OPTIONS
-Dsaml-keystore.aliases=ma-clé-saml
-Dsaml-keystore.password=mot de passe_AES
-Dsaml-keystore.my-saml-key.password=password_AES
-Dsaml-keystore.my-saml-key.algorithm=AES
Générez un fichier de métadonnées du magasin de clés SAML nommé my-saml-keystore-passwords.properties au même emplacement que le magasin de clés et ajoutez le contenu suivant.
alias = ma-clé-saml
keystore.password=change-moi
my-saml-key.password=change-moi
Définissez les valeurs suivantes dans le alfresco-global.properties déposer:
saml.keystore.location=
saml.keystore.keyMetaData.location=
saml.keystore.type=JCEKS
saml.message.state.duration.in.millis=300000
saml.issueInstantRule.check.clock.skew.in.seconds=60
saml.issueInstantRule.check.expiration.in.seconds=30
saml.sp.isEnabled=true
saml.sp.isEnforced=true
saml.sp.idp.certificatePath=
Configurez le connecteur Azure AD SAML.
Créez ensuite une application de connexion SAML à Azure.
Dans les URL de redirection, ajoutez les URL ci-dessous.
https://
L’équipe Azure vous enverra un fichier de certificat que vous devrez enregistrer quelque part.
Configurer au niveau du code
Ensuite, nous devons modifier notre fichier Docker alfresco-platform-docker comme ci-dessous.
COPIER extensions/*.keystore $TOMCAT_DIR/shared/classes/alfresco/extension/
COPIER extensions/*.properties $TOMCAT_DIR/shared/classes/alfresco/extension/
COPIER extensions/*.cer $TOMCAT_DIR/shared/classes/alfresco/extension/
Configuration côté Alfresco.
Ensuite, après une configuration réussie, nous devons effectuer la configuration côté plein air.
Aller à https://
sur le côté gauche sous Répertoires, vous pouvez voir Authentification unique (SAML)
cliquez ici et dans les quelques valeurs que nous devons donner.
Description du fournisseur d’identité (IdP) :
Ici, nous devons placer notre nom qui décrira la moto.
URL du service de demande d’authentification IdP :
L’adresse à laquelle la demande d’authentification est envoyée. Cela vous redirige vers la page de connexion IdP
Ici, nous devons donner l’URL que nous avons obtenue du XML de la fédération Azure.
https://login.microsoftonline.com/
URL du service de demande de déconnexion unique IdP :
L’adresse à laquelle la demande de déconnexion est envoyée lors de la déconnexion d’Alfresco. Cela vous déconnecte de l’application Web Alfresco et de toute autre application qui utilise votre configuration SSO.
Nous l’avons également indiqué dans Azure Federation XML.
https://login.microsoftonline.com/
URL du service de réponse de déconnexion unique IdP :
Adresse à laquelle la réponse de déconnexion est envoyée lorsque l’IdP reçoit une demande de déconnexion.
Nous l’avons également indiqué dans Azure Federation XML.
https://login.microsoftonline.com/
Identification de l’entité (émetteur) :
Certains fournisseurs d’identité utilisent l’émetteur pour déterminer la connexion du fournisseur de services à utiliser.
Ici, nous devons indiquer d’où nous accédons à l’URL Azure.
la même chose est configurée dans l’application Azure SAML.
Mappage d’ID utilisateur :
L’attribut SAML qui correspond à un ID utilisateur Alfresco. Pour PingFederate, utilisez « PersonImmutableID » et pour AD FS, utilisez « Subject/NameID ».
Sujet/NomID
Ensuite, nous devons télécharger un nouveau certificat IdP dans Télécharger le certificat IdP fourni par Azure.
Les références:
Alfresco Docs – Configurer les produits Alfresco
Source link