Documentation technique PYX4
      Revenir à l'accueil
      1. CENTRE D'AIDE PYX4
      2. Documentation technique PYX4

      Guide de paramétrage du connecteur SSO PYX4 pour ADFS

      Conditions préalables pour le service ADFS

      • Le service ADFS installé et connecté au service Active Directory
      • Le serveur ADFS doit être accessible par l’application Pyx4 (par Internet)
      • Le serveur ADFS doit être accessible par le protocol HTTPS
      • Le certificat SSL utilisé pour chiffrer la connexion HTTPS est exporté en format Base-64 X.509 (.CER)

      Guide de paramétrage ADFS SSO : configuration type

      (Windows Server 2012 R2, ADFS 3.0)

      À noter avant de commencer :

      adfs.example.com
      adresse de serveur ADFS générique, à remplacer par votre serveur ADFS.

      your-instance.pyx4.com
      adresse d'instance générique utilisée pour les besoins de cette documentation, à remplacer par l'adresse URL de votre instance PYX4.

      Il y a 4 étapes principales à suivre :

      1. Ajouter une approbation de partie de confiance
      2. Ajouter des règles des revendications
      3. Paramétrer les propriétés de l’approbation de partie de confiance
      4. Modifier/vérifier le paramétrage de connexion SSO côté Pyx4

      Facultatif:
      Annexe I. Connexion silencieuse en SSO

      Étape I. Ajouter une approbation de partie de confiance

      Dans la console ADFS, dans le volet de droite "Actions", cliquer sur "Ajouter une approbation de partie de confiance"

      Sélectionnez les options suivantes dans l’Assistant d’Ajout d’approbation de partie de confiance :

      Étape II. Modifier les Règles de Revendication

      Il faut ensuite ajouter deux règles de revendications afin d’avoir un bon mappage entre le serveur ADFS et l’application Pyx4 au niveau du SSO :    

      Étape III. Paramétrer les propriétés de l’approbation de partie de confiance

      Une fois que vous avez paramétré les Règles de revendication, il vous reste à ajuster quelques propriétés de l’Approbation de partie de confiance :

      Ajouter une URL de métadonnées :

       

      1. Ajouter un certificat de vérification de Signature :

       

      Ajouter un point de terminaison :

      Étape IV. Modifier/vérifier le paramétrage de connexion SSO côté Pyx4

      Le système SSO de Pyx4 a besoin d’un clé publique de votre certificat de Token Signing On l’exporte d’abord :

      Vous allez obtenir un fichier contenant le certificat tel que celui ci :

      Il faut le copier/coller dans la page de paramètres SSO de Pyx4 :

      Veuillez vérifier l’URL SSO et l’URL SLO ainsi que la section Correspondance :

      Dès que vous êtes prêts pour un test, vous pouvez activer la fonctionnalité de connexion Single Sign-On :

      Annexe I. Connexion silencieuse en SSO

      Il est possible de paramétrer la connexion silencieuse pour que vos utilisateurs à Pyx4 n’aient plus qu'à cliquer sur le bouton de connexion pour accéder à l’application.

      L'authentification silencieuse marche seulement dans le cadre d'un réseau local. Cela veut dire que les clients en accès VPN devront renseigner leurs identifiants même s'ils sont connectés au domaine.

      On peut paramétrer la connexion silencieuse dans les navigateurs suivants : Internet ExplorerGoogle Chrome et Mozilla Firefox

      1. Si vous utilisez Internet Explorer pour naviguer (non recommandé pour Pyx4), rien n'est nécessaire côté ADFS. Il faut néanmoins réaliser ces manipulations :

      Ajouter l'adresse de l'ADFS dans la liste des sites de confiance :

      Régler le paramètre Authentification utilisateur sur "Connexion automatique avec le nom d'utilisateur et le mot de passe" :

      S'assurer que la boite Activer l'authentification Windows intégrée est cochée (cela doit être le cas par défaut)

      1. Si vous utilisez Google Chrome (recommandé pour Pyx4), il vous faudra réaliser un ajustement sur l'ADFS.

      Dans le PowerShell du serveur ADFS, faire la commande suivante :

      Set-ADFSProperties -WIASupportedUserAgents @("MSIE 6.0", "MSIE 7.0", "MSIE 8.0", "MSIE 9.0", "MSIE 10.0", "Trident/7.0", "MSIPC", "Windows Rights Management Client", "Firefox/25.0", "Firefox/47.0", "Mozilla/4.0", "Mozilla/5.0")

      NB : Chrome utilise le paramétrage d'Internet Explorer, il est donc important d'avoir effectué les étapes ci-dessous concernant IE pour que cela fonctionne.

      1. Si vous utilisez Mozilla Firefox, il faudra effectuer les mêmes manipulations que pour Google Chrome ci-dessus, et saisir en plus la commande suivant dans le Powershell :
      Set-ADFSProperties –ExtendedProtectionTokenCheck None

      Il vous sera ensuite nécessaire de redémarrer le service ou le serveur ADFS.

      Finalement, côté Firefox, saisissez l'adresse URL about:config et changer les deux éléments comme ci-dessous :

      Les modifications prendront effet une fois le navigateur redémarré.

      NB : La configuration Firefox proposée supprime une mesure de protection additionnelle, nous recommandons donc de vous assurer que les conséquences de cette désactivation ne sont pas impactantes pour votre SI avant de les réaliser.