Configuration SimpleSAMLphp

📥 Installation sur le serveur Extranet

Sur la machine Extranet (Debian/Ubuntu), installez les paquets nécessaires :

sudo apt update
sudo apt install -y php php-xml php-mbstring php-curl simplesamlphp

⚙️ Configuration de base de SimpleSAMLphp

Éditez le fichier de configuration principal :

sudo nano /etc/simplesamlphp/config.php

Modifiez les paramètres suivants :

'auth.adminpassword' => 'votre_mot_de_passe_admin',
'secretsalt' => 'une_chaine_aleatoire_longue',
'technicalcontact_name' => 'Admin SEC2',
'technicalcontact_email' => 'admin@secu07.internal',
'baseurlpath' => 'simplesaml/',

🔑 Configuration du Service Provider (authsources.php)

Éditez le fichier des sources d'authentification :

sudo nano /etc/simplesamlphp/authsources.php

Ajoutez ou modifiez la section default-sp :

'default-sp' => [
    'saml:SP',
    'entityID' => 'https://www.secu07.internal/simplesaml/module.php/saml/sp/metadata.php/default-sp',
    'idp' => 'http://iam.secu07.internal/adfs/services/trust',
    'discoURL' => null,
    'privatekey' => 'server.key',
    'certificate' => 'server.crt',
],

📑 Ajout des métadonnées de l'IdP (ADFS)

Vous devez récupérer les métadonnées d'ADFS (généralement à l'adresse https://iam.secu07.internal/FederationMetadata/2007-06/FederationMetadata.xml) et les convertir au format PHP pour SimpleSAMLphp.

Éditez le fichier des métadonnées distantes :

sudo nano /etc/simplesamlphp/saml20-idp-remote.php

Ajoutez les métadonnées converties :

$metadata['http://iam.secu07.internal/adfs/services/trust'] = [
    'entityid' => 'http://iam.secu07.internal/adfs/services/trust',
    'metadata-set' => 'saml20-idp-remote',
    'SingleSignOnService' => [
        [
            'Binding' => 'urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect',
            'Location' => 'https://iam.secu07.internal/adfs/ls/',
        ],
    ],
    'SingleLogoutService' => [
        [
            'Binding' => 'urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect',
            'Location' => 'https://iam.secu07.internal/adfs/ls/',
        ],
    ],
    'certData' => 'MIIC...', // Insérez ici les données du certificat de signature de jeton d'ADFS
];

🔒 Sécurisation avec HTTPS (Nginx/Apache)

Il est impératif que l'Extranet utilise HTTPS pour sécuriser les jetons SAML.

Exemple de configuration Nginx :

server {
    listen 443 ssl;
    server_name www.secu07.internal;

    ssl_certificate /etc/ssl/certs/extranet.crt;
    ssl_certificate_key /etc/ssl/private/extranet.key;

    location /simplesaml {
        alias /usr/share/simplesamlphp/www;
        index index.php;
        location ~ \.php$ {
            include snippets/fastcgi-php.conf;
            fastcgi_pass unix:/run/php/php-fpm.sock;
            fastcgi_param SCRIPT_FILENAME $request_filename;
        }
    }
}

🧪 Test de l'authentification

Accédez à https://www.secu07.internal/simplesaml/.
Allez dans l'onglet Authentication -> Test configured authentication sources.
Sélectionnez default-sp.
Vous devriez être redirigé vers la page de login d'ADFS.
Connectez-vous avec un utilisateur membre du groupe DL_Extranet.
Si réussi, vous verrez la liste des attributs retournés par ADFS.

PreviousInstallation ADFS NextConfiguration Pare-feu

Last updated 1 month ago

hashtag📥 Installation sur le serveur Extranet

hashtag⚙️ Configuration de base de SimpleSAMLphp

hashtag🔑 Configuration du Service Provider (authsources.php)

hashtag📑 Ajout des métadonnées de l'IdP (ADFS)

hashtag🔒 Sécurisation avec HTTPS (Nginx/Apache)

hashtag🧪 Test de l'authentification