Guide d’intégration AD FS SSO

Les services de fédération Active Directory (AD FS) sont une technologie qui étend votre configuration Active Directory aux services en dehors de votre infrastructure. Avec AD FS, vous pouvez donner aux utilisateurs l'accès à PagerDuty sans qu'ils aient à gérer un autre ensemble d'informations d'identification.

Ce guide a été rédigé et testé sur Windows Server 2012 R2 (également testé avec Windows Server 2016), mais les versions antérieures de Windows Server fournissent également AD FS.

 

 

Sur votre serveur AD FS

1. Ouvrez le Gestion ADFS console, cliquez sur Ajouter une approbation de partie de confiance… dans le volet Actions et cliquez sur Commencer sur la page d'introduction de l'assistant.
2. Sélectionner Saisir manuellement les données sur la partie utilisatrice et cliquez Suivant .
3. Entrez un Afficher un nom , tel que PagerDuty , et cliquez sur Suivant .
4. Sélectionner Profil AD FS et cliquez Suivant .
5. Vous n'aurez pas besoin d'un certificat de cryptage de jeton, alors cliquez sur Suivant continuer.
6. Connectez-vous à votre compte PagerDuty , cliquez sur le bouton Icône utilisateur menu, sélectionnez Paramètres du compte puis sélectionnez le Authentification unique languette.
7. Sélectionnez le SAML bouton radio pour configurer l'authentification unique dans PagerDuty , puis copiez le URL du point de terminaison SAML à coller dans l'assistant.
8. De retour sur votre serveur AD FS, cochez la case pour Activer la prise en charge du protocole SAML 2.0 WebSSO , puis collez l'URL que vous avez copiée dans le URL du service SSO SAML 2.0 de la partie utilisatrice case et cliquez Suivant .
   (Veuillez noter que si votre sous-domaine PagerDuty contient EU, il est nécessaire de saisir le sous-domaine PagerDuty complet, y compris eu, par exemple : https://(votre_sous-domaine). UE .pagerduty.com)
   
9. Entrez votre sous-domaine PagerDuty dans le champ Identifiant de confiance de la partie de confiance champ - y compris https:// et avec pas de barre oblique finale et cliquez Suivant . Note: Il est très important de saisir votre sous-domaine PagerDuty exactement comme décrit. L'intégration ne fonctionnera pas si vous n'incluez pas https:// ici, ni si vous incluez une barre oblique à la fin de l'URL.
   (Veuillez noter que si votre sous-domaine PagerDuty contient EU, il est nécessaire de saisir le sous-domaine PagerDuty complet, y compris eu, par exemple : https://(votre_sous-domaine). UE .pagerduty.com)
   
10. Sélectionnez l'option d'authentification multifacteur souhaitée pour les utilisateurs et cliquez sur Suivant . Note: L'activation de l'authentification multifacteur nécessitera des étapes supplémentaires qui sortent du cadre de ce guide et ne seront pas couvertes.
    
11. Sélectionner Autoriser tous les utilisateurs à accéder à cette partie de confiance et cliquez Suivant . Note: Vous pouvez modifier ce paramètre pour refuser par défaut et accorder uniquement à des utilisateurs spécifiques l'accès à PagerDuty, mais ce processus sort du cadre de ce guide et ne sera pas couvert.
    
12. Vérifiez vos paramètres et cliquez sur Suivant .
13. Cliquez sur Fermer pour terminer l'assistant.
14. Cliquez sur Ajouter une règle… dans l'onglet Règles de transformation d'émission.
15. Sélectionner Envoyer les attributs LDAP en tant que revendications et cliquez Suivant .
16. Entrez un Nom de la règle de revendication , tel que Obtenir les attributs , puis définissez le Magasin d'attributs à Active Directory , tapez Adresses mail pour le premier attribut LDAP et définissez son type sortant sur Adresse e-mail , et tapez Afficher un nom pour le deuxième attribut LDAP et définissez son type sortant sur Nom . Cliquez sur Finition quand tu as fini. Note: Est-il très important de sélectionner les options avec exactement les mêmes tirets et espaces documentés après avoir commencé à saisir la valeur spécifiée. L'intégration peut ne pas fonctionner si vous sélectionnez une variante qui ne correspond pas exactement.
17. Cliquez sur Ajouter une règle… à nouveau dans l'onglet Règles de transformation d'émission.
18. Sélectionner Transformer une réclamation entrante et cliquez Suivant .
19. Entrez un Nom de la règle de revendication , tel que Transformation de l'ID de nom , ensemble Type de réclamation entrante à Adresse e-mail , ensemble Type de réclamation sortante à Identifiant du nom , Et mettre Format d'identification du nom sortant à E-mail . Sélectionner Transmettre toutes les valeurs des réclamations et cliquez Finition . Note: Est-il très important de sélectionner les options avec exactement les mêmes tirets et espaces documentés après avoir commencé à saisir la valeur spécifiée. L'intégration peut ne pas fonctionner si vous sélectionnez une variante qui ne correspond pas exactement. Par exemple, définir Type de réclamation sortante à NomID au lieu de Identifiant du nom ne vous permettra pas de définir Format d'identification du nom sortant à E-mail , et l'intégration ne fonctionnera pas.
20. Cliquez sur Ajouter une règle… à nouveau dans l'onglet Règles de transformation d'émission.
21. Sélectionner Envoyer des réclamations à l'aide d'une règle personnalisée et cliquez Suivant .
22. Entrez un Nom de la règle de revendication , tel que Transformation du nom de l'attribut 'Nom' , puis définissez Règle personnalisée aux éléments suivants :

     c:[Type == 'http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name'] => issue(Type = 'Nom', Issuer = c.Issuer, OriginalIssuer = c. OriginalIssuer, Value = c.Value, ValueType = c.ValueType); 

    Cliquez sur Finition quand tu as fini.

    

23. Cliquez sur D'ACCORD dans la boîte de dialogue Modifier les règles de réclamation.
24. Aller à Service > Certificats , sélectionnez votre Certificat de signature de jeton et cliquez Afficher le certificat… dans le volet Actions.
25. Allez au Détails onglet et cliquez Copier dans un fichier… et cliquez Suivant sur l'introduction de l'assistant d'exportation de certificat.
26. Sélectionner X.509 codé en base 64 (.CER) et cliquez Suivant .
27. Choisissez un emplacement pour enregistrer le fichier de certificat, cliquez sur Suivant et cliquez Finition , D'ACCORD , et D'ACCORD encore.
28. Aller à Politiques d'authentification et cliquez sur Modifier sous Paramètres globaux d'authentification principale .
29. Sous Intranet , vérifier Authentification par formulaires et cliquez D'ACCORD . Note: Ceci est requis pour Windows Server 2012 R2. Les versions précédentes de Windows ont déjà l'authentification par formulaire activée par défaut. Notez également que l'activation de l'authentification par formulaire s'appliquera à tous les sites configurés, pas seulement à PagerDuty. Une autre option consiste à définir les formulaires comme méthode d'authentification de secours pour l'intranet à l'aide de la commande PowerShell suivante :

     Set-AdfsGlobalAuthenticationPolicy –PrimaryIntranetAuthenticationProvider @('WindowsAuthentication','FormsAuthentication') 

    

30. Ouvrez le fichier de certificat dans lequel vous avez exporté Bloc-notes (ou un autre éditeur de texte brut) et copiez le contenu. Remarque : Vous devez inclure le -----DEBUT DU CERTIFICAT----- et -----FIN CERTIFICAT----- en-têtes lors de la copie du contenu du fichier de certificat. Vous devez utiliser le Bloc-notes ou un autre éditeur de texte brut pour ouvrir le fichier de certificat ; WordPad, Word, etc. ne sont pas des éditeurs de texte brut et peuvent vous empêcher de copier correctement le certificat.
31. Dans PagerDuty, collez le certificat dans le Certificat X.509 champ, puis saisissez le URL de connexion pour votre service AD ​​FS. L'URL de connexion est généralement le FQDN ou l'IP ou votre serveur avec /adfs/ls annexé (c'est-à-dire https://login.company.com/adfs/ls ).
32. Lorsque vous avez terminé les étapes de ce guide et terminé les tests, vous pouvez revenir à cette page pour désactiver les connexions utilisateur via le nom d'utilisateur et le mot de passe. Avec l'approvisionnement automatique activé, vous pouvez autoriser les utilisateurs SSO à créer un compte PagerDuty sans intervention manuelle. Cependant, gardez à l'esprit que l'ajout d'utilisateurs supplémentaires affectera votre facturation si vous dépassez le nombre d'utilisateurs inclus dans votre plan tarifaire. Cliquez sur Sauvegarder les modifications lorsque vous aurez terminé sur cette page.
33. Toutes nos félicitations! Vous devriez maintenant pouvoir vous connecter à PagerDuty à l'aide d'AD FS.

FAQ

Le propriétaire du compte peut-il se connecter sans SSO si l'authentification par nom d'utilisateur et mot de passe est désactivée ?

Même si l'authentification par nom d'utilisateur et mot de passe est désactivée pour les utilisateurs, le propriétaire du compte pourra toujours se connecter avec son nom d'utilisateur et son mot de passe comme option de sauvegarde si vous devez modifier la configuration SSO ou la désactiver complètement.

Pourquoi ne vois-je pas l'option d'authentification unique lorsque j'accède aux paramètres du compte ?

Le SSO n'est disponible que dans les comptes sur notre compte actuel Forfaits Standard ou Entreprise . S'il te plaît contactez notre équipe commerciale si vous souhaitez mettre à niveau votre forfait.

Comment puis-je créer une règle de réclamation personnalisée pour inclure les rôles d'utilisateur/titres de poste dans ma configuration ?

Suivez les étapes que vous avez utilisées pour créer une règle de réclamation personnalisée pour Transformation du nom de l'attribut 'Nom' , mais définissez la règle de réclamation comme suit :

 c:[Type == 'jobresponsabilités'] => issue(Type = 'Role', Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType);