Configuration du SSO - ADFS (SAML 2.0)

Remplissez ce formulaire de contact pour tester ou souscrire à la fonction SSO.

Splashtop prend désormais en charge la connexion mon.splashtop.com et Application Splashtop Business en utilisant le justificatif créé par vos fournisseurs d'identité SAML 2.0. Veuillez suivre les instructions ci-dessous pour créer un Relying Party Trust avec AD FS.

Créer une confiance entre partis avec AD FS

Suivez le document Microsoft pour créer une approbation de partie de confiance, veuillez cocher uniquement Pour créer une section d' approbation de partie de confiance prenant en charge les revendications manuellement :
https: //docs.microsoft.comwindows-server/identity/ad-fs/operations/create-a-relying-party-trust

Suivez les étapes 1 à 6 du document. (Sélectionnez le profil AD FS 2.0)

À l'étape 7, page Configurer l'URL, cochez la case Activer la prise en charge du protocole SAML 2.0 WebSSO. Sous URL du service SSO SAML 2.0 de la partie de confiance, tapez " https://my.splashtop.com/sso/saml2/adfs/acs" , puis Suivant.

adfs_fr.png

À l'étape 8, page Configurer les identifiants , ajoutez https://my.splashtop.com et https://my.splashtop.com/sso/saml2/adfs/metadata.

Note : pas de "/" au bout de ces chemins
adfs2_fr.png

Ajouter une demande

1. Sélectionnez le Relying Party Trust que vous venez de créer, puis cliquez sur Edit Claim Insurance Policy.

2. Cliquez sur Ajouter une règle, sélectionnez Envoyer des attributs LDAP en tant que revendications, puis Suivant.

adfs3_fr.png

3. Sélectionnez Active Directory comme magasin d'attributs, puis ajoutez E-Mail-Address et User-Principal-Name.
E-Mail-Address: Adresse E-mail
User-Principal-Name: ID du nom

adfs4_fr.png

Ajouter une autre demande

1. Ajouter une autre règle avec le modèle de règle de réclamation Transformer une réclamation entrante.
adfs5_fr.png

2. Configurez l'ID du nom.
Type de demande entrante : Adresse e-mail
Type de demande sortante : ID du nom
Format de l'ID du nom sortant : E-mail

adfs6_fr.png

Dépannage

Si vous obtenez ce message d'erreur lorsque vous essayez de vous connecter, veuillez vérifier les journaux de l'ADFS.

adfs7_fr.png

Si vous avez une erreur similaire dans votre journal ADFS ci-dessous, veuillez supprimer le mappage entre "User-Principal-Name" et "ID du nom" de Send LDAP Attributes as Claims.

Détails des exceptions :

Microsoft.IdentityServer.Service.Policy.Policy.Engine.DuplicateNameIdentifierPolicyException : MSIS3046 : Plus d'une demande de remboursement basée sur le SamlNameIdentifierClaimResource a été produite après le traitement de la politique pour le champ d'application "https://my.splashtop.com".

à Microsoft.IdentityModel.Threading.AsyncResult.End(IAsyncResult résultat)

à Microsoft.IdentityModel.Threading.TypedAsyncResult`1.End(résultat IAsyncResult)

à Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, IList`1& identityClaimSet, List`1 additionalClaims)

à Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, List`1 additionalClaims)

à Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Problème(HttpSamlRequestMessage httpSamlRequestMessage, SecurityTokenElement onBehalfOf, String sessionState, String relayState, String& newSamlSession, String& samlpAuthenticationProvider, Boolean isUrlTranslationNeeded, WrappedHttpListenerContext, Boolean isKmsiRequested)

à Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.RequestBearerToken(WrappedHttpListenerContext context, HttpSamlRequestMessage httpSamlRequest, SecurityTokenElement onBehalfOf, String relyingPartyIdentifier, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired, String& samlpSessionState, String& samlpAuthenticationProvider)

à Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSerializedToken(HttpSamlRequestMessage httpSamlRequest, WrappedHttpListenerContext context, String relyingPartyIdentifier, SecurityTokenElement signOnTokenElement, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired)

à Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSecurityToken(SamlSignInContext context, SecurityToken securityToken, SecurityToken deviceSecurityToken)

à Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.Process(ProtocolContext context)

à Microsoft.IdentityServer.Web.PassiveProtocolListener.ProcessProtocolRequest(ProtocolContext protocolContext, PassiveProtocolHandler protocolHandler)

à Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerContext context)

 

Demander une méthode SSO sur my.splashtop.com

Vous pouvez maintenant suivre les instructions pour insérer les informations nécessaires pour demander une méthode de SSO :
https://support-splashtopbusiness.splashtop.com/hc/articles/360038280751

Note :

a. Vous devez avoir votre propre URL de connexion et votre propre émetteur à insérer sur my.splashtop.com.
Exemple (Note : http versus https pour votre URL) :
adfs8_fr.png
b. Suivez les instructions ci-dessous pour obtenir votre X.509 info à insérer sur my.splashtop.com.

Cliquez sur Service -> Certificats -> Afficher le certificat dans le menu Action sur le côté droit. (Vous devriez déjà avoir installé IIS avec votre certificat).
Cliquez sur Détails dans la fenêtre Certificat, puis cliquez sur Copier dans le fichier"4, et choisissez Base-64 encodé X.509.

adfs9_fr.png

Faites un clic droit sur le certificat exporté, puis copiez les informations pour les coller dans le champ correspondant sur my.splashtop.com.
adfs10_fr.png

adfs11_fr.png

 

Utilisateurs qui ont trouvé cela utile : 0 sur 0