Cette page decrit comment configurer un IDP shibboleth (v4.1.2) pour assurer une authentification SSO avec Azure AD

le SSO avec Azure AD suppose que les comptes de l'AD “on-premise” soient pre-provisionnés sur l'Azure AD “online”. Ceci est le role de AzureAD Connect

• https://docs.microsoft.com/fr-fr/azure/architecture/reference-architectures/identity/azure-ad
• https://docs.microsoft.com/en-us/azure/active-directory/hybrid/plan-connect-topologies

references

• https://wiki.shibboleth.net/confluence/display/KB/Office+365
• https://github.com/zckb/azuread-shibboleth-docs/blob/master/azuread-sso-shibboleth-idp-20180607.docx?raw=true

azuread-sso-shibboleth-idp-20180607-2.docx

nous realisons cette configuration sur un IDP v4.1.2

il faut charger les metadata de Microsoft online dans notre IDP au moyen du fichier metadata-provider.xml

     <!-- Microsoft Azure AD Metadata -->
<MetadataProvider id="AAD" xsi:type="FileBackedHTTPMetadataProvider"
             metadataURL="https://nexus.microsoftonline-p.com/federationmetadata/saml20/federationmetadata.xml"
             backingFile="%{idp.home}/metadata/AAD-FederationMetadata.xml" />

Azure AD ne gere pas les requetes d'authentification chiffrées, il faut donc declarer une exeption (ovverride) pour cet ServiceProvider / Entity ID de valeur “urn:federation:MicrosoftOnline” afinde lui positionner encryptAssertions=“false”

<util:list id="shibboleth.RelyingPartyOverrides">
  <!-- Microsoft Azure AD -->
        <bean parent="RelyingPartyByName" c:relyingPartyIds="urn:federation:MicrosoftOnline">
            <property name="profileConfigurations">
                <list>
                    <bean parent="SAML2.SSO" p:encryptAssertions="false" />
                </list>
            </property>
        </bean>

    </util:list>

il faut que l'IDP envoit au SP MS-online un attribut “pivot” et identifiant unique entre le referentiel local (on-premise) et l'Azure AD. Pour cela on utilise l'attribut mS-DS-ConsistencyGuid qui est généré dans l'AD on-premise suite a la premiere synchronisation avec Azure AD via l'outil de synchro Azure AD Connect .

https://docs.microsoft.com/fr-fr/azure/active-directory/hybrid/plan-connect-design-concepts

“Utiliser ms-DS-ConsistencyGuid en tant qu’attribut sourceAnchor pour les objets utilisateur. ObjectGUID est utilisé pour d’autres types d’objets.”

On va nommer cet attribut ImmutableID dans les assertion SAML , mais il s'appuiera dans notre attribute-Resolver sur la valeur de mS-DS-ConsistencyGuid qu'il faut s'arrurer de disposer dans le referentiel ldap sur lequel s'appui l'IDP . Si l'IDP interroge directement un AD c'estdirectement disponible, autrement i lfaut le repliquer dans LDAP . C'est l'object de la tache LSC (synchro AD → Ldap ) qui suit .

Ensuite un identifiant plus lisible / userfirandly est utilisé pour l'affichage du nom de compte passé sur l'UPN (format mail) via l'attribut SAML UserId.