This is an old revision of the document!
SSO Azure AD 365
Cette page decrit comment configurer un IDP shibboleth (v4.1.2) pour assurer une authentification SSO avec Azure AD
Azure AD
le SSO avec Azure AD suppose que les comptes de l'AD “on-premise” soient pre-provisionnés sur l'Azure AD “online”. Ceci est le role de AzureAD Connect
References IDP shibboleth
references
Parametrages IDP shibboleth
nous realisons cette configuration sur un IDP v4.1.2
Matadata MS online
il faut charger les metadata de Microsoft online dans notre IDP au moyen du fichier metadata-provider.xml
<!-- Microsoft Azure AD Metadata -->
<MetadataProvider id="AAD" xsi:type="FileBackedHTTPMetadataProvider"
metadataURL="https://nexus.microsoftonline-p.com/federationmetadata/saml20/federationmetadata.xml"
backingFile="%{idp.home}/metadata/AAD-FederationMetadata.xml" />
Configuration du relying party override
Azure AD ne gere pas les requetes d'authentification chiffrées, il faut donc declaré une exeption (ovverride) pour cet ServiceProvider / Entity ID de valeur “urn:federation:MicrosoftOnline” afinde lui positionner encryptAssertions=“false”
<util:list id="shibboleth.RelyingPartyOverrides">
<!-- Microsoft Azure AD -->
<bean parent="RelyingPartyByName" c:relyingPartyIds="urn:federation:MicrosoftOnline">
<property name="profileConfigurations">
<list>
<bean parent="SAML2.SSO" p:encryptAssertions="false" />
</list>
</property>
</bean>
</util:list>
