Paramétrage de l'instance avec Google Workspace¶
Accéder à l'interface admin google avec un utilisateur administrateur : https://admin.google.com
Se rendre à la section Applications --> Application Web et mobiles.
Cliquer sur "Ajouter une application" puis sur "Ajouter une application SAML personnalisée".
Entrer un nom facilement identifiable pour la liaison avec Maarch Courrier et une description facultative.
Cliquer sur continuer.
Télécharger le fichier des métadonnées et le conserver de côté.
Cliquer sur continuer.
Dans le champs "URL ACS", entrer le lien vers le script permettant de réceptionner la réponse SAML.
Format : https://[Lien instance courrier]/[nom du custom]/simplesaml/module.php/saml/sp/saml2-acs.php/default-sp
Voir exemple sur image.
Dans le champs "ID d'entité", entrer le lien d'entrée de l'application.
Format : https://[Lien instance courrier]/[nom du custom]/
Voir exemple sur image.
Inutile de remplir le champs de l'URL de démarrage et de cocher la case de "Réponse signée".
Dnas le champs "Format de l'ID du nom", séléctionner "EMAIL" et conserver l'ID du nom à "Basic Information > Primary email".
Cliquer sur continuer.
Pour les attributs, seule l'email doit être envoyé dans la réponse SAML. Il faut donc séléctionner la valeur "Primary email" en atribut Google et entrer à la main "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name" dans le champs "Attribus de l'application".
Cliquer sur continuer.
Une fois terminé, la page nous renvoi sur la configuration générale du nouveau module SAML créé. Il faut penser à aller dans la section "Accès des utilisateurs" et cliquer sur "Activé pour tous", au moins le temps d'effectuer les premiers tests de connexion automatique.
Installer SimpleSAMLphp sur le serveur applicatif¶
- Télécharger l'extension et la mettre dans le répertoire d'extension :
Configuration Apache¶
Ajouter dans le vhost de Maarch Courrier :
....
SetEnv LIBRARIES_DIR "/var/www/html/maarchcourrier/librairies/"
SetEnv SIMPLESAMLPHP_CONFIG_DIR /var/www/html/maarchcourrier/librairies/simplesamlphp/config
Alias /simplesaml /var/www/html/maarchcourrier/librairies/simplesamlphp/www
<Directory /var/www/html/maarchcourrier/librairies/simplesamlphp/www>
Require all granted
</Directory>
...
L'accès à l'interface d'administration de simple SAML est miantenant possible via l'url https://[Lien instance courrier]/[nom du custom]/simplesaml :
Modification du mot de passe root¶
Ouvrir /var/www/html/MaarchCourrier/librairies/simplesamlphp/config/config.php et changer (l.141) :
Lier vos informations Azure¶
-
Ouvrir
/var/www/html/maarchcourrier/librairies/simplesamlphp/config/authsources.phpet changer entityID avec votre identificateur (ID d'entité). Par défaut cela correpond à l'URL de l'application courrier avec le custom : -
Accéder à l'administration de l'application sur l'interface Admin Google et cliquer sur
Télécharger les métadonnées:
-
Copier le contenu du ficher et accéder à l'administration de simplesaml (http://localhost/simplesaml/).
-
Aller sur l'onglet
Federationet se connecter (lienLogin as administrator) :
- Cliquer sur le lien
XML to simpleSAMLphp metadata converteret copier le contenu du fichier xml dans le fichier/var/www/html/maarchcourrier/{custom}/librairies/simplesamlphp/metadata/saml20-idp-remote.php
- Réouvrir le fichier
/var/www/html/maarchcourrier/librairies/simplesamlphp/config/authsources.phpet changer le idp pour correspondre à celui indiqué dans le fichier de métadonnées issus des donnée Google. Commence généralement par : https://accounts.google.com/o/saml2?idpid=XXXXX
Activer l'authentification dans Maarch Courrier¶
Ouvrir le fichier apps/maarch_entreprise/xml/login_method.xml et activer azure_saml (copier le fichier dans votre custom si il n'est pas customisé) :
Il faut également mettre ENABLED à false pour toutes les autres méthodes
Connexion¶
Après redémarrage d'Apache, lors de la tentative d'accès à l'application Maarch Courrier, l'utilisateur sera redirigé vers une page de login Google afin de pouvoir se connecter.