Présentation
Dans ce tutoriel, je vais vous expliquer comment configurer un client OpenID avec AD FS et retourner des revendications (claims) à l’application cliente.
Pour ce tutoriel, j’ai utilisé un client générique de test, qui permet de voir les informations retourner par le fournisseur d’identité qui sera dans ce tutoriel AD FS.
Le client est disponible ici : https://gitlab.com/guenoledc-perso/idp-oidc-tester
Configuration du client OpenID dans ADFS
Avant de commencer cette configuration, vous aurez besoin de l’url de Callback de l’application
Depuis la console AD FS, aller sur le dossier Groupe d’application 1 puis dans le menu d’Actions, cliquer sur Ajouter un groupe d’applications 2.
Au lancement de l’assistant, nommer 1 le groupe d’application , choisir Application serveur accédant à une API web 2 et cliquer sur le bouton Suivant 3.
On commence par configurer l’Application serveur, comme vous pouvez le voir, AD FS a généré un Identificateur du client 1, commencer par le sélectionner et copier cet identifiant dans un fichier.
On va maintenant indiquer l’url de retour (callback), entrer l’url dans le champ 1 et cliquer sur le bouton Ajouter 2.
L’URI ajoutée, cliquer sur le bouton Suivant 1.
Cocher la case Générer une clé secrète partagée 1 puis utiliser le bouton 2 pour copier la clé et coller la dans une fichier / coffre-fort (elle ne sera plus visible après), ensuite cliquer sur Suivant 3.
On passe maintenant à la configuration de l’API Web, dans Identificateur, coller l’Identificateur du client 1 et cliquer sur le bouton Ajouter 2.
L’identificateur configuré, cliquer sur le bouton Suivant 1.
Configurer qui peut se connecter à l’application, ici je vais laisser Autoriser tout le monde 1 puis cliquer sur Suivant 2.
Dans les étendues autorisées 1, cocher les éléments suivant : allatclaims, email, openid et profile. Valider en cliquant sur le bouton Suivant 2.
Un résumé des paramètres s’affiche, cliquer sur le bouton Suivant 1 pour créer le client OpenID dans AD FS.
Cliquer sur Fermer 1 pour quitter l’assistant.
Le groupe d’application est créé.
Configuration du client OpenID avec AD FS et test
On va maintenant passer à la configuration de client qui va utiliser AD FS.
Pour les tests, je vous conseillé de passer par le mode privé du navigateur
Sur mon application, je vais commencer par nommer la liaison 1 et indiquer l’url de découverte 2.
L’URI de découverte sur AD FS est la suivante : https://<fqdn/adfs/.well-known/openid-configuration
Ensuite, je vais indiquer le Client ID 1, le secret 2, configurer les scopes (openid email profile) 3 et cliquer sur le bouton Save 4.
Je clique sur le client 1 que je viens de créer.
Je clique sur Apply 1 pour utiliser le client.
Maintenant pour effectuer le test, il faut se connecter, cliquer sur Login 1.
Identifier sur la page d’authentification AD FS.
Une fois connectée, on retrouve sur le client de test et on peut voir l’ensemble des informations entre le client et le fournisseur.
Ajouter des revendications (claims) dans AD FS pour OpenID
Maintenant, on va voir comment configurer des revendications pour retourner des informations supplémentaires au client OpenID.
Retourner sur la console AD FS et faire un double clic 1 sur le groupe d’application pour l’ouvrir.
Sélectionner l’API Web 1 et cliquer sur le bouton Modifier 2.
Dans les propriétés, aller sur l’onglet Règle de transformation d’émission 1 et cliquer sur le bouton Ajouter une règle 2.
Sélectionner Envoyer les attributs LDAP en tant que revendications 1 et cliquer sur le bouton Suivant 2.
Nommer la règle 1, sélectionner le magasin d’attributs 2 puis configurer le mappage 3 et cliquer sur Terminer 4 pour créer la règle.
Les attributs LDAP et le type de revendication sortante peuvent soit être sélectionner depuis la liste déroulante ou alors saisie directement.
La règle est créée, cliquer sur boutons Appliquer 1 et OK 2 pour fermer la fenêtre.
Fermer également la fenêtre de Propriétés du groupe d’application.
Maintenant depuis le client de test, j’ai bien les revendications qui sont passées.
Vous savez maintenant comment configurer une client OpenID avec comme fournisseur d’identité AD FS.