Exemple : implémentation du SSO Windchill avec PingFederate comme courtier
Cet exemple décrit en détail la procédure de configuration d'un environnement où Windchill PDMLink et Shibboleth SP sont configurés pour l'authentification unique avec PingFederate en tant que serveur d'authentification centralisée (CAS) et Active Directory Federation Services (AD FS) en tant que fournisseur d'identité (IdP).
La table suivante contient les applications configurées et leur rôle dans cet exemple :
|
Rôle
|
Application
|
|---|---|
|
Fournisseur de services
|
Windchill PDMLink + Shibboleth SP
|
|
Serveur d'authentification centralisée
|
PingFederate
|
|
Fournisseur d'identité
|
AD FS
|
|
Serveur de ressources
|
Windchill
|
Le diagramme suivant illustre la configuration décrite dans cet exemple.
Partie A : Prérequis
1. Assurez-vous que Windchill est configuré. Pour plus d'informations, consultez le Centre d'aide Windchill approprié.
2. Configurez AD FS et assurez-vous que vous avez inclus les valeurs d'attribut et les fichiers suivants :
◦ uid
◦ email
◦ group
◦ Fichier de métadonnées
Partie B : Configuration manuelle de l'authentification pour AD FS
Etape 1 : Création du certificat SSL global PingFederate
1. Connectez-vous à PingFederate en tant qu'administrateur. Lancez une recherche sur SSL Server Certificates et ouvrez les résultats de la recherche.
2. Cliquez sur Create New pour créer le certificat SSL global, puis procédez comme suit :
1. Dans le champ Common Name, spécifiez le nom de domaine complet de la machine PingFederate.
2. Spécifiez d'autres informations sur la page, puis cliquez sur Next.
3. Assurez-vous que les cases suivantes sont cochées, puis cliquez sur Save.
4. Cliquez sur SSL Server Certificates.
5. Pour le certificat SSL créé, dans la liste Select Action, sélectionnez Activate Default for Runtime Server, puis Activate Default for Admin Console. Cliquez sur Save.
Ce certificat SSL est marqué comme certificat par défaut (default) pour la console d'administration et le serveur d'exécution.
3. Pour le certificat localhost, procédez comme suit :
1. Dans la liste Select Action, sélectionnez Deactivate for Runtime Server, puis Deactivate for Admin Console.
2. Supprimez le certificat localhost, puis cliquez sur Save.
Etape 2 : Création du contrat du fournisseur de services
1. Dans PingFederate, lancez une recherche sur Policy Contract et ouvrez le résultat de la recherche.
2. Cliquez sur Create New Contracts, puis effectuez les opérations suivantes :
1. Dans le champ Contract Info, spécifiez un nom de contrat, par exemple, SPContract, puis cliquez sur Next.
2. Sous Contract Attributes, afin de prolonger le contrat pour les attributs suivants, cliquez sur Add pour chaque attribut :
▪ uid
▪ email
▪ group
Par défaut, l'attribut subject est présent.
3. Cliquez sur Next, puis, dans la page Summary, cliquez sur Save.
4. Sur la page Authentication Policy Contracts, cliquez sur Save.
Pour plus d'informations, consultez la rubrique Configuration de PingFederate pour rediriger les demandes de connexion utilisateur vers votre IdP.
Etape 3 : Téléchargement du fichier AD FS FederationMetadata.xml
1. Dans le navigateur de votre machine AD FS, saisissez l'URL suivante pour télécharger le fichier FederationMetadata :
https://Hôte_ADSF.Domaine_ADFS/FederationMetadata/2007-06/FederationMetadata.xml
2. Copiez le fichier téléchargé sur la machine PingFederate.
Etape 4 : Création de la connexion IdP PingFederate
A) Spécification des informations générales pour créer une connexion IdP
1. Dans PingFederate, lancez une recherche sur IdP Connections et ouvrez les résultats de la recherche. Cliquez sur Create Connection.
2. Dans l'onglet Connection Type, cochez la case BROWSER SSO Profiles, puis cliquez sur Next.
3. Dans l'onglet Connection Options, cochez les cases BROWSER SSO et OAUTH ATTRIBUTE MAPPING, puis cliquez sur Next.
4. Dans l'onglet Import Metadata, sélectionnez File, puis cliquez sur Choose File pour accéder au fichier FederationMetadata.xml, puis cliquez sur Next.
5. Dans l'onglet Metadata Summary, cliquez sur Next.
6. L'onglet General Info est prérempli avec des données. Si vous le souhaitez, vous pouvez modifier le champ CONNECTION NAME. Vérifiez le reste des informations, puis cliquez sur Next.
7. Dans l'onglet Browser SSO, cliquez sur Configure Browser SSO. La page Browser SSO s'ouvre, dans laquelle vous devez spécifier les paramètres d'authentification unique pour votre navigateur.
B) Configuration des paramètres SSO du navigateur
1. Dans l'onglet SAML Profiles de la page Browser SSO, sélectionnez les options suivantes, puis cliquez sur Next :
▪ IDP-INITIATED SSO
▪ SP-INITIATED SSO
2. Dans l'onglet User-Session Creation, cliquez sur Configure User-Session Creation. La page User-Session Creation s'ouvre, dans laquelle vous devez spécifier les paramètres pour configurer la création de l'utilisateur.
C) Configuration des paramètres de création de session utilisateur
1. Dans l'onglet Identity Mapping, acceptez les paramètres par défaut, puis cliquez sur Next.
2. Dans l'onglet Attribute Contract, vérifiez les attributs remplis automatiquement, puis cliquez sur Next.
3. Dans l'onglet Target Session Mapping, cliquez sur Map New Authentication Policy. La page Authentication Policy Mapping s'ouvre, dans laquelle vous devez spécifier les paramètres du mappage des stratégies d'authentification.
D) Configuration des paramètres de mappage des stratégies d'authentification
1. Dans la liste Authentication Policy Contract, sélectionnez le contrat que vous avez créé dans l'Etape 2 de la Partie B, c'est-à-dire SPContract. Vérifiez que tous les attributs sont affichés, puis cliquez sur Next.
2. Dans l'onglet Attribute Retrieval, acceptez les paramètres par défaut, puis cliquez sur Next.
3. Dans l'onglet Contract Fulfillment, sélectionnez les valeurs suivantes pour les contrats de stratégie d'authentification email, group, subject et uid :
▪ Dans la liste Source, sélectionnez Assertion.
▪ Dans la liste Value, sélectionnez l'entrée correspondante dans la liste.
Cliquez sur Next.
4. Dans l'onglet Issuance Criteria, cliquez sur Next.
5. Examinez les informations de l'onglet Summary. Si les informations sont correctes, cliquez sur Done. La page User-Session Creation s'ouvre, dans laquelle vous devez passer en revue les paramètres de configuration pour la création d'une session utilisateur.
E) Passage en revue des paramètres de configuration de création de session utilisateur
1. L'onglet Target Session Mapping de la page User-Session Creation affiche les informations que vous avez sélectionnées lors du mappage d'une nouvelle stratégie d'authentification. Cliquez sur Next.
2. Examinez les informations de l'onglet Summary. Si les informations sont correctes, cliquez sur Done. La page Browser SSO s'ouvre.
3. L'onglet User-Session Creation de la page Browser SSO affiche les informations que vous avez saisies lors de la configuration de la création de session utilisateur. Cliquez sur Next.
4. Dans l'onglet OAuth Attribute Mapping, sélectionnez l'option Map Directly Into Persistent Grant, puis sélectionnez Configure OAuth Attribute Mapping, puis procédez comme suit :
1. Dans l'onglet Data Store, cliquez sur Next.
2. Dans l'onglet Contract Fulfilment, pour USER_KEY et USER_NAME, sélectionnez Source comme Assertion et Value comme attribut de nom dans ADFS, puis cliquez sur Next.
3. Dans l'onglet Issuance Criteria, cliquez sur Next.
5. Examinez les informations de l'onglet Summary. Si les informations sont correctes, cliquez sur Done. Cliquez sur Next sur la page OAuth Attribute Mapping Configuration.
6. Dans l'onglet Protocol Settings, cliquez sur Configure Protocol Settings. La page Protocol Settings s'ouvre, dans laquelle vous devez spécifier les paramètres de protocole.
F) Configuration et passage en revue des paramètres de protocole
1. Dans l'onglet SSO Service URLs, cliquez sur Next.
2. Dans l'onglet Allowable SAML Bindings, effectuez les opérations suivantes, puis cliquez sur Next :
1. Cochez les cases suivantes :
▪ POST
▪ REDIRECT
2. Décochez les cases suivantes :
▪ ARTIFACT
▪ POST
3. Ignorez les paramètres de l'onglet Overrides, puis cliquez sur Next.
4. Dans l'onglet Signature Policy, cliquez sur SPECIFY ADDITIONAL SIGNATURE REQUIREMENTS, cochez les deux cases situées sous celle-ci, puis cliquez sur Next.
5. Dans l'onglet Encryption Policy, cliquez sur ALLOW ENCRYPTED SAML ASSERTIONS AND SLO MESSAGES, cochez la case THE ENTIRE ASSERTION, puis cliquez sur Next.
6. Examinez les informations de l'onglet Summary. Si les informations sont correctes, cliquez sur Done. La page Browser SSO s'ouvre.
7. L'onglet Protocol Settings de la page Browser SSO affiche les informations que vous avez sélectionnées lors de la configuration des paramètres de protocole. Cliquez sur Next.
8. Examinez les informations de l'onglet Summary. Si les informations sont correctes, cliquez sur Done. La page IdP Connection s'ouvre.
9. Dans l'onglet Browser SSO de la page IdP Connection, cliquez sur Next.
10. Dans l'onglet Credentials, cliquez sur Configure Credentials. La page Credentials s'ouvre, dans laquelle vous devez spécifier les paramètres pour configurer les informations d'identification.
G) Configuration des informations d'identification
1. Dans l'onglet Digital Signature Settings, cliquez sur Manage Certificates.
2. Pour créer un certificat de signature, cliquez sur Create New, spécifiez les valeurs suivantes, puis cliquez sur Next :
▪ COMMON NAME
▪ ORGANIZATION
▪ COUNTRY
▪ VALIDITY (DAYS) : 365
▪ KEY ALGORITHM : RSA
▪ KEY SIZE (BITS) : 2048
▪ SIGNATURE ALGORITHM : RSA SHA256
3. Examinez les informations de l'onglet Summary. Si les informations sont correctes, cliquez sur Save, puis sur Done.
4. Dans l'onglet Digital Signature Settings, pour le certificat de signature (SIGNING CERTIFICATE) que vous avez créé, cochez la case INCLUDE THE CERTIFICATE IN THE SIGNATURE <KEYINFO> ELEMENT, puis cliquez sur Next.
Il s'agit du certificat de couche d'application utilisé pour signer numériquement la demande de PingFederate auprès de l'IdP.
5. Dans l'onglet Signature Verification Settings, cliquez sur Manage Signature Verification Settings.
a. Dans l'onglet Trust Model, sélectionnez UNANCHORED, puis cliquez sur Next.
b. Sur le certificat de vérification de la signature (Signature Verification Certificate), vérifiez que le certificat de signature de l'IdP s'affiche, puis cliquez sur Next.
Il s'agit du certificat de couche d'application utilisé pour la vérification de la signature pour les requêtes de l'IdP adressées à PingFederate. Il a été automatiquement importé dans PingFederate lors de l'importation du fichier metadata.xml à partir de l'IdP.
c. Examinez les informations de l'onglet Summary. Si les informations sont correctes, cliquez sur Done.
d. Dans l'onglet Signature Verification Settings, cliquez sur Next.
e. Dans Select Decryption Keys, sélectionnez le certificat PingFederate, puis cliquez sur Next.
f. Examinez les informations de l'onglet Summary. Si les informations sont correctes, cliquez sur Done.
g. Sur la page Credentials, cliquez sur Next.
H) Activation de la connexion IdP
Sur la page Activation & Summary, assurez-vous que l'option SSO Application Endpoint est activée, puis cliquez sur Save.
La connexion IdP est désormais créée et activée.
I) Vérification de la connexion IdP
Cliquez sur la connexion IdP que vous avez créée, copiez l'URL SSO Application Endpoint, collez-la dans un navigateur et vérifiez qu'elle redirige vers l'IdP. Par conséquent, cette URL de PingFederate doit être redirigée vers AD FS. Une page semblable à la suivante s'affiche. Elle comprend un message d'erreur.
Partie C : Configuration de la partie de confiance AD FS
Etape 1 : Exportation du fichier XML de métadonnées à partir de PingFederate
1. Dans PingFederate, accédez à Service Provider, puis sous IDP Connections, cliquez sur Manage All.
2. Pour votre connexion IdP, dans la liste Select Action, cliquez sur Export Metadata.
3. Sur la page Metadata Signing, cliquez sur Next.
4. Sur la page Export & Summary, cliquez sur Export pour télécharger le fichier de métadonnées dans le dossier Téléchargements de votre machine, puis cliquez sur Done.
5. Copiez le fichier XML de métadonnées sur la machine AD FS.
Etape 2 : Ajout de la partie de confiance dans AD FS
1. Connectez-vous au serveur AD FS et ouvrez le gestionnaire de serveur (Server Manager).
2. Accédez à > .
3. Sous AD FS, cliquez avec le bouton droit sur Relying Party Trusts, puis sélectionnez Add Relying Party Trust. Cela permet de s'assurer qu'AD FS approuve le fait que la connexion provienne de PingFederate.
4. Dans la fenêtre Add Relying Party Trust Wizard, procédez comme suit :
1. Cliquez sur Start.
2. Dans l'écran suivant, cliquez sur Import data about the relying party from a file.
3. Cliquez sur Browse pour accéder à l'emplacement du fichier Metadata.xml que vous avez copié depuis PingFederate pour créer une partie de confiance dans AD FS, puis cliquez sur Next.
4. Spécifiez un nom affiché (Display name), puis cliquez sur Next.
Prenez note de ce nom, car il sera nécessaire ultérieurement.
5. Cliquez sur Next dans les fenêtres suivantes jusqu'à ce que vous atteigniez l'écran Finish. Cliquez ensuite sur Close.
Votre entrée actuelle est ajoutée à la liste Relying Part Trusts.
La fenêtre suivante doit également s'afficher (elle est peut-être cachée derrière la fenêtre active) :
5. Pour mapper les attributs AD FS à Active Directory, procédez comme suit :
1. Dans la fenêtre Edit Claim Issuance Policy for <Nom d'approbation de la partie de confiance>, cliquez sur Add Rule, puis sur Next.
2. Renseignez le champ Claim rule name, puis définissez Attribute store sur Active Directory.
3. Dans la table Mapping of LDAP attributes to outgoing claim types, sélectionnez les valeurs dans les listes pour mapper les attributs AD FS aux attributs Active Directory :
 | Si vous ne mappez pas correctement ces attributs, l'authentification unique ne fonctionnera pas. |
Display-Name | Nom |
SAM-Account-Name | Name ID |
E-Mail-Addresses | E-Mail Address |
Is-Member-Of-DL | Groupe |
4. Cliquez sur Finish, puis sur OK.
Etape 3 : Configuration d'AD FS pour chiffrer le message complet et l'assertion
1. Sur la machine AD FS, ouvrez Windows PowerShell en tant qu'administrateur.
2. Exécutez la commande suivante sur la machine AD FS pour que la communication fonctionne :
Set-ADFSRelyingPartyTrust -TargetName <Nom d'approbation de la partie de confiance> -SamlResponseSignature "MessageAndAssertion"
où <Nom de la partie de confiance> est le nom d'approbation de la partie de confiance que vous avez créé et noté à l'Etape 2 ci-dessus.
Cette commande permet de configurer la signature de réponse SAML via Windows PowerShell.
Partie D : Vérification de l'URL du point d'extrémité de la connexion IdP
1. Dans PingFederate, copiez l'URL SSO Application Endpoint et collez-la dans une fenêtre de navigation privée.
2. Connectez-vous à l'aide du nom de domaine et de l'administrateur que vous avez créés pour AD FS.
Vous devez obtenir le message suivant :
Partie E : configuration de Shibboleth SP et PingFederate
Pour activer les fonctionnalités SAML pour Windchill à l'aide de Shibboleth Service Provider 2.6.0, suivez la procédure décrite dans la section suivante du Centre d'aide Windchill : Security Assertion Markup Language (SAML) Authentication. Suivez les instructions des sections suivantes dans cette même page du Centre d'aide Windchill :
• Troubleshooting and Debugging the Shibboleth Service Provider
• Restarting the Shibboleth Service Provider and PTC HTTP Servers
Partie F : configuration d'une entrée LDAP JNDI
Pour configurer un adaptateur JNDI, exécutez la procédure décrite dans la rubrique suivante du Centre d'aide Windchill : Entrée de configuration de l'adaptateur JNDI.
Partie G : configuration supplémentaire
Si votre processus Windchill nécessite l'utilisation d'eSignature, une étape de configuration supplémentaire est nécessaire pour déployer l'authentification unique. Pour plus d'informations, consultez les sections suivantes du Centre d'aide Windchill :
Pour plus d'informations, consultez la section "Client Compatibility" à la rubrique Security Assertion Markup Language (SAML) Authentication dans le Centre d'aide Windchill :