Configuration du SSO - ADFS (SAML 2.0)

S’abonner

Remplissez ce formulaire formulaire de contact pour tester ou s'abonner à la fonction SSO.

Splashtop prend désormais en charge la connexion à my.splashtop.com et Splashtop Business app en utilisant le justificatif d'identité créé à partir de vos fournisseurs d'identité SAML 2.0. Veuillez suivre les instructions ci-dessous pour créer un Relying Party Trust avec AD FS.

Créer un climat de confiance entre partis avec AD FS

Suivez le document de Microsoft pour créer un Relying Party Trust, veuillez cocher uniquement Pour créer manuellement un Relying Party Trust conscient des revendications section:
https://docs.microsoft.comwindows-server/identity/ad-fs/operations/create-a-relying-party-trust

Suivez les étapes 1 à 6 du document. (Sélectionnez AD FS 2.0 Profil)

À l'étape 7, Configurer l'URL page, sélectionnez le Activer la prise en charge du protocole WebSSO SAML 2.0 checkbox. Sous URL du service SSO SAML 2.0 de la partie utilisatrice, tapez "https://my.splashtop.com/sso/saml2/adfs/acs", puis suivant.
Snag_221e174e.png

À l'étape 8, Configurer les identificateurs page, ajouter https://my.splashtop.com et https://my.splashtop.com/saml/metadata.
Snag_131d4984.png

Ajouter une demande

1. Sélectionnez le Relying Party Trust que vous venez de créer, cliquez Editer la police d'assurance des sinistres.

2. Cliquez sur Add rule, sélectionnez Send LDAP Attributes as Claims, puis next.
Snag_10ea6f20.png

3. Sélectionnez Active Directory comme Attribute store, puis ajoutez E-Mail-Adresse et User-Principal-Name.
E-Mail-Adresse : Adresse électronique
User-Principal-Name : Name ID 
Snag_10f02335.png

Dépannage

Si vous obtenez ce message d'erreur lorsque vous essayez de vous connecter, veuillez vérifier les journaux de l'ADFS.

Screen_Shot_2020-04-21_at_12.53.05_PM.png

Si vous avez une erreur similaire dans votre journal ADFS ci-dessous, veuillez supprimer la cartographie entre "User-Principal-Name" et "Name ID" de la règle de réclamation LDAP.

Détails des exceptions:

Microsoft.IdentityServer.Service.Policy.PolicyServer.Engine.DuplicateNameIdentifierPolicyException: MSIS3046: More than one SamlNameIdentifierClaimResource-based claim was produced after processing policy for scope 'https://my.splashtop.com'.

à Microsoft.IdentityModel.Threading.AsyncResult.End(IAsyncResult result)

à Microsoft.IdentityModel.Threading.TypedAsyncResult`1.End(IAsyncResult result)

à Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, IList`1& identityClaimSet, List`1 additionalClaims)

à Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken request, List`1 additionalClaims)

à Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Issue(HttpSamlRequestMessage httpSamlRequestMessage, SecurityTokenElement onBehalfOf, String sessionState, String relayState, String& newSamlSession, String& samlpAuthenticationProvider, Boolean isUrlTranslationNeeded, WrappedHttpListenerContext context, Boolean isKmsiRequested)

à Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.RequestBearerToken(WrappedHttpListenerContext context, HttpSamlRequestMessage httpSamlRequest, SecurityTokenElement onBehalfOf, String relyingPartyIdentifier, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired, String& samlpSessionState, String& samlpAuthenticationProvider)

à Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSerializedToken(HttpSamlRequestMessage httpSamlRequest, WrappedHttpListenerContext context, String relyingPartyIdentifier, SecurityTokenElement signOnTokenElement, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired)

à Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSecurityToken(SamlSignInContext context, SecurityToken securityToken, SecurityToken deviceSecurityToken)

à Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.Process(ProtocolContext context)

à Microsoft.IdentityServer.Web.PassiveProtocolListener.ProcessProtocolRequest(ProtocolContext protocolContext, PassiveProtocolHandler protocolHandler)

à Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerContext context)

 

Ajouter une autre demande

1. Ajouter une autre règle avec le modèle de règle de réclamation Transformer une demande d'indemnisation entrante.
Snag_10f387cc.png

2. Configurer le nom ID.
Type de demande entrante : Adresse électronique
Type de demande sortante : ID du nom
Format d'identification du nom sortant : Email 
Snag_10fae02b.png

 

 

Demandez une méthode SSO à partir de my.splashtop.com

Vous pouvez maintenant suivre les instructions pour insérer les informations nécessaires pour demander une méthode SSO:
https://support-splashtopbusiness.splashtop.com/hc/articles/360038280751

Note: 

a. Vous devez avoir votre propre URL de connexion et votre propre émetteur à insérer sur my.splashtop.com.
b. Suivez les instructions ci-dessous pour obtenir votre X.509 info to insérer sur my.splashtop.com.

Cliquez sur Service -> Certificats -> Afficher le certificat dans le menu Action sur le côté droit. (Vous devriez déjà avoir installé IIS avec votre certificat.)
Cliquez sur Détails dans la fenêtre Certificat, puis cliquez sur Copier dans le fichier "4, et choisissez la base 64 encodée X.509.

Snag_110f7b12.png

Cliquez avec le bouton droit de la souris sur le certificat exporté, puis copiez les informations pour les coller dans le champ sur my.splashtop.com.
Snag_130eeaaf.png

Snag_130f3370.png

 

Utilisateurs qui ont trouvé cela utile : 0 sur 0