Dans notre sc\u00e9nario, nous allons exploiter une fonctionnalit\u00e9 PREMIUM d’Azure bas\u00e9e sur l’ajout d’une application SAML 2.0 qui\u00a0fournira une exp\u00e9rience d\u2019authentification unique aux utilisateurs. L’application qui sera utilis\u00e9e en exemple sera\u00a0Shibboleth SP<\/strong> sous II 8. Une autre application compatible SAML 2.0 pourrait aussi \u00eatre utilis\u00e9e, comme SimpleSAMLphp-sp<\/a> par exemple.<\/span><\/p>\n Fournisseur d’identit\u00e9 (Idp) :<\/strong> Azure AD Toute application qui externalise l\u2019authentification pour la confier \u00e0 Azure AD doit \u00eatre inscrite dans un annuaire. Cette \u00e9tape consiste \u00e0 donner des informations sur l’application \u00e0 Azure AD (\u00e9change m\u00e9tadonn\u00e9es), y compris son URL, l\u2019URL \u00e0 laquelle les r\u00e9ponses doivent \u00eatre envoy\u00e9es apr\u00e8s l\u2019authentification, l\u2019URI permettant d\u2019identifier votre application, etc… Une op\u00e9ration quasi \u00e9quivalente doit \u00eatre\u00a0effectu\u00e9e sur l’application elle m\u00eame pour lui indiquer que fournisseur d\u2019identit\u00e9s est Azure AD.<\/em><\/p><\/blockquote>\n Petite pr\u00e9sentation rapide (on reviendra plus en profondeur sur ce protocole dans un futur article): Comme vous pouvez le constater sur le sch\u00e9ma ci dessous, le \u00ab\u00a0pivot\u00a0\u00bb<\/strong> est le poste client de l’utilisateur. C’est son navigateur, qui au travers d’HTTP redirect<\/strong> va le diriger dans un premier temps vers le Service Provider (notre site), puis vers l’Identity Provider (Azure AD) et \u00e0 nouveau vers le Service Provider. C’est vers ce dernier qu’il pr\u00e9sentera ce fameux \u00ab\u00a0jeton\u00a0\u00bb SAML fourni par notre Identity provider. Au del\u00e0 de la f\u00e9d\u00e9ration et donc l’\u00e9change d’information (m\u00e9tadonn\u00e9es)\u00a0 initi\u00e9 une fois (et rafra\u00eechit p\u00e9riodiquement) entre le SP et l’IDP (repr\u00e9sent\u00e9e par RPT ci dessous), ces deux parties ne communiquent jamais entres elles directement lors d’une phase d’authentification.<\/p>\n Sch\u00e9ma repr\u00e9sentant le flux (passif) et les diff\u00e9rentes redirections du navigateur:<\/strong><\/p>\n L’ensemble de la configuration dans Azure s’effectue via le portail\u00a0portal.azure.com \\ Azure Active Directory \\ Entreprise applications.<\/p>\n Microsoft a pr\u00e9vu plusieurs cas d’usage:<\/p>\n Aujourd’hui la partie qui va nous int\u00e9resser est celle qui nous permet d’ajouter nos \u00ab\u00a0propres\u00a0\u00bb applications. Pas forcement celles que nous avons d\u00e9velopp\u00e9 mais plut\u00f4t celles qui ne sont pas dans la galerie (Add your own app):<\/p>\n <\/p>\n Un choix corn\u00e9lien s’offre alors \u00e0 nous:<\/p>\n Comme indiqu\u00e9 pr\u00e9c\u00e9demment, la configuration d’une \u00ab\u00a0non-gallery application\u00a0\u00bb impose d’avoir une licence premium:<\/p>\n Une fois la licence premium activ\u00e9e, l’assistant de configuration nous demande un nom d’application (il sera possible de le changer par la suite)<\/p>\n Apr\u00e8s qu’Azure ait cr\u00e9\u00e9 l’application et affect\u00e9 un ID d\u2019application et d’objet, la configuration s’effectue dans l’onglet Signle sign-on en s\u00e9lectionnant SAML-based Sing-on.<\/p>\n Nous pouvons alors entrer manuellement les valeurs ou charger un fichier de m\u00e9tadonn\u00e9es issu de notre application (metadata.xml dans Upload metadata file) pour pr\u00e9-remplir la valeur des champs.\u00a0<\/span>Je pr\u00e9f\u00e8re pour am\u00e9liorer la compr\u00e9hension de ce sujet, saisir \u00ab\u00a0\u00e0 la main\u00a0\u00bb les informations.<\/p>\n 2 informations principales sont requises et 2 optionnelles. Cocher \u00ab\u00a0Show advanced URL settings\u00a0\u00bb pour ces derni\u00e8res, nous allons renseigner les 3 premiers champs:<\/p>\n Les URL de redirection et identifiant \u00e9tant maintenant renseign\u00e9s, il va falloir se focaliser sur ce qui sera pr\u00e9sent dans notre jeton. A minima, nous devons fournir un identificateur de l’utilisateur.\u00a0 Il s’agit d’un identifiant unique appel\u00e9 NameID, forg\u00e9 dans le jeton en tant qu’attribut \u00e0 destination de l’application. Nous utilisons ici par d\u00e9faut l’userprincipalname de l’utilisateur mais le portail propose d’utiliser un autre attribut. Cela pourrait \u00eatre par exemple un matricule identifiant l’utilisateur dans une entreprise.<\/p>\n Le NameID sera identifiable sous cette forme dans le jeton http:\/\/schemas.xmlsoap.org\/ws\/2005\/05\/identity\/claims\/nameidentifier (Namespace ou Claim type) et contiendra donc\u00a0utilisateur1@remivernierhotmail.onmicrosoft.com.<\/p>\n Azure propose d’ajouter d’autres attributs dans le jeton. En cochant la case \u00ab\u00a0View and edit all other attributes\u00a0\u00bb nous pouvons en ajouter ou consulter ceux par d\u00e9faut. Ces informations proviennent d’Azure AD mais elle pourraient provenir d’un AD local qui serait synchronis\u00e9 via AADSync.<\/p>\n <\/p>\n Pour une interop\u00e9rabilit\u00e9 s\u00e9curis\u00e9e, les partenaires (SP et IDP) doivent partager leur propre m\u00e9tadonn\u00e9es afin que chaque partie connaisse l’autre \u00e0 l’avance. Ceci pour \u00e9tablir une base de confiance (Trust ou RPT). L’id\u00e9al est d\u2019automatiser le processus de partage des m\u00e9tadonn\u00e9es \u00e0 travers un fichier XML public. Chaque entit\u00e9 rafra\u00eechi p\u00e9riodiquement le metadata de l’autre.<\/p>\n Ce fichier metadata doit contenir \u00e0 minima:<\/p>\n Le medatata.xml de notre Idp est pr\u00e9sent dans le champs \u00ab\u00a0App Federation Metadata Url\u00a0\u00bb. Il sera \u00e0 importer cot\u00e9 SP. Il est dans Azure sous le format ci dessous ou t\u00e9l\u00e9chargeable<\/a>: URL des metadadonn\u00e9es de l’application: Ou:<\/strong> Et<\/strong> Nous l\u2019avons vu plus haut, le client est le \u00ab\u00a0pivot\u00a0\u00bb. Pour \u00e9viter qu’il puisse y avoir une compromission du jeton par ce dernier, le message pr\u00e9sent dans le jeton SAML doit \u00eatre sign\u00e9 num\u00e9riquement par l’\u00e9metteur (IDP). Pour v\u00e9rifier la signature du message, le destinataire du message (SP) utilise une cl\u00e9 publique connue et appartenant \u00e0 l’\u00e9metteur (IDP). De m\u00eame, il est aussi possible de chiffrer un message. Dans les deux situations,\u00a0les cl\u00e9 cryptographiques publiques doivent \u00eatre partag\u00e9es \u00e0 l’avance (via le metadata pr\u00e9c\u00e9demment \u00e9voqu\u00e9).<\/p>\n Le message peut \u00eatre de la forme:<\/p>\n Dans notre cas, et par d\u00e9faut, l’IDP (Azure AD) signera en SHA-256 les jetons SAML (Sign SAML assertion). Cette signature devra donc \u00eatre v\u00e9rifi\u00e9e par notre application (SP).<\/p>\n Les certificats ont une dur\u00e9e de vie, et doivent donc \u00eatre p\u00e9riodiquement renouvel\u00e9s. Le certificat automatiquement g\u00e9n\u00e9r\u00e9 a une dur\u00e9e de vie de 3 ans, mais il est plut\u00f4t conseill\u00e9 de la porter \u00e0 un an. Nous voyons ici l’importance d’automatiser la consultation des metadonn\u00e9es. Si \u00e7a n’est pas le cas les certificats publics devrons \u00eatre d\u00e9ploy\u00e9s \u00ab\u00a0\u00e0 la main\u00a0\u00bb et cela provoquera une interruption de service pour l’application.<\/p>\n Une fois l’ensemble de la configuration sauvegard\u00e9e, nous sommes pr\u00eat \u00e0 configurer l’application (SP).<\/p>\n Nous l’avons vu plus haut que pour qu’un utilisateur s’authentifie, il\u00a0doit \u00eatre repr\u00e9sent\u00e9 par un compte pr\u00e9sent chez un fournisseur d’identit\u00e9: Azure AD. Il nous faut donc cr\u00e9er un compte sans droits particulier:\u00a0utilisateur1@remivernierhotmail.onmicrosoft.com.<\/p>\n Et l’ajouter comme utilisateur habilit\u00e9 \u00e0 utiliser l’application dans \u00ab\u00a0Users and Groups\u00a0\u00bb.<\/p>\n Cette derni\u00e8re \u00e9tape est n\u00e9cessaire car l’option\u00a0 \u00ab\u00a0User assigment required\u00a0\u00bb est activ\u00e9e.<\/p>\n Nous allons utiliser comme Service Provider l’application\u00a0Shibboleth SP. Elle se pr\u00e9sente comme une\u00a0extension ISAPI. Elle est mise en \u0153uvre sous forme de DLL et charg\u00e9e sous contr\u00f4le d\u2019IIS. Je vous propose de consulter cet article pour suivre son installation<\/a>. Dans la suite nous allons consid\u00e9rer que\u00a0Shibboleth SP est d\u00e9j\u00e0 install\u00e9 et pr\u00eat \u00e0 fonctionner. Nous verrons donc uniquement la partie param\u00e9trage du produit dans notre contexte.<\/p>\n Le r\u00e9pertoire d’installation de\u00a0Shibboleth SP est C:\\opt\\shibboleth-sp. Les r\u00e9pertoires et fichiers ci dessous vont particuli\u00e8rement nous int\u00e9resser:<\/p>\n <\/p>\n Original:<\/strong> A remplacer par:<\/strong> l’id doit correspondre \u00e0 l’ID du site IIS: <\/p>\n Original:<\/strong> A remplacer par: <\/p>\n Original: A remplacer par: L’ApplicationDefaults<\/strong> EntityID<\/strong> (Identifier) doit correspondre \u00e0 celui qui est renseign\u00e9 dans Azure AD. Nous ajoutons ici une r\u00e9f\u00e9rence \u00e0 la possibilit\u00e9 de signer les SAML REQUEST ou chiffrer la cha\u00eene avec les certificats pr\u00e9sents et inscrits dans le metadata cot\u00e9 SP. Nous n’utiliserons pas ici cette fonctionnalit\u00e9.<\/p>\n Le SSO<\/strong> EntityID<\/strong>\u00a0 correspond \u00e0 l’entityID pr\u00e9sent dans le metadata de l’IDP t\u00e9l\u00e9chargeable dans l’application Azure AD:<\/p>\n Nous en profitons pour renforcer les contr\u00f4les de s\u00e9curit\u00e9 en passant checkAddress et handlerSSL \u00e0 true et\u00a0cookieProps \u00e0 https. Nous pouvons supprimer la partie\u00a0discoveryProtocol et\u00a0discoveryURL, Azure AD ne poss\u00e9dant pas cette fonctionnalit\u00e9 de d\u00e9couverte.<\/p>\n Enfin, nous supprimons l’acl pr\u00e9sente sur la page \/Status et passons le\u00a0showAttributeValues de \/Session \u00e0 true.<\/p>\n <\/p>\n Ce fichier va permettre d’indiquer \u00e0 Shibboleth de mapper les attributs pr\u00e9sents dans notre jeton SAML avec des id que nous pourrions r\u00e9cup\u00e9rer sous forme de variable si nous d\u00e9veloppions une application compl\u00e8te.<\/p>\n Nous pouvons supprimer l’ensemble des exemples pr\u00e9sents par d\u00e9faut dans ce fichier xml et le remplacer par ce qui est pr\u00e9sents dans notre jeton SAML:<\/p>\n Dans ce sc\u00e9nario, nous n’utilisons pas la possibilit\u00e9 de signer les SAML REQUEST ou chiffrer la cha\u00eene avec les certificats pr\u00e9sents et inscrits dans le metadata cot\u00e9 SP. Malgr\u00e9 tout si le besoin s’en faisait sentir ou tout simplement pour avoir un metadata cot\u00e9 SP propre, il nous faut ex\u00e9cuter en tant qu’admin les commandes ci dessous dans un \u00ab\u00a0cmd\u00a0\u00bb:<\/p>\n C:\\opt\\shibboleth-sp\\etc\\shibboleth> keygen.bat -h monsite.test.local -e https:\/\/monsite.test.local -f -n sp-encrypt<\/strong> Les nouvelles paires de cl\u00e9s sont alors cr\u00e9\u00e9s sous\u00a0C:\\opt\\shibboleth-sp\\etc\\shibboleth<\/strong><\/p>\n Le fichier\u00a0shibboleth2.xml<\/strong> en fait r\u00e9f\u00e9rence ci dessous : Il s’agit ni plus ni moins des m\u00e9tadonn\u00e9es de notre IDP cot\u00e9 Azure AD, t\u00e9l\u00e9chargeable en cliquant sur le lien Metadata XML. Ce fichier est \u00e0 copier dans\u00a0C:\\opt\\shibboleth-sp\\etc\\shibboleth et \u00e0 renommer\u00a0partner-metadata.xml<\/a> L’ensemble de la configuration de Shibboleth SP est \u00e0 pr\u00e9sent termin\u00e9e. Pour appliquer celle ci, il suffit de red\u00e9marrer le service\u00a0Shibboleth Daemon (Default). <\/p>\n Lancer avec Internet explorer par exemple l’URL:\u00a0https:\/\/monsite.test.local\/Shibboleth.sso\/Login<\/p>\n Le Service Provider doit nous transmettre un SAML REQUEST et nous rediriger vers l’URL indiqu\u00e9e dans AssertionConsumerServiceURL (URL de l’IDP).<\/p>\n Une fois redirig\u00e9 vers l’IDP (Azure AD), ce dernier doit nous demander un login et un mot de passe correspondant \u00e0 notre utilisateur\u00a0utilisateur1@remivernierhotmail.onmicrosoft.com, il doit nous authentifier et nous remettre une SAML RESPONSE<\/a> (Le fichier \u00e9tant un peu gros, vous le trouverez en suivant le lien).<\/p>\n Le SAML RESPONSE est alors transmis par le client au SP qui vient le lire et r\u00e9cup\u00e9rer les assertions. En parall\u00e8le\u00a0C:\\opt\\shibboleth-sp\\var\\log\\shibboleth\\shibd.log doit nous indiquer une trace de cette authentification:<\/p>\n INFO Shibboleth.SessionCache [1] [default]: new session created: ID (_60e90f08a8b5b050e1ee0e64671e2451) IdP (https:\/\/sts.windows.net\/93535e3e-9602-4158-afe0-d87fdeeeec9d\/) Protocol(urn:oasis:names:tc:SAML:2.0:protocol) Address (10.203.250.138)<\/p>\n <\/p>\n J’ai enregistr\u00e9 le sc\u00e9nario complet dans l’animation ci apr\u00e8s. Il faut cliquer sur l’image pour la lancer:<\/p>\nPr\u00e9requis \u00e0 cette maquette<\/h1>\n
![\"\"](\"http:\/\/remivernier.com\/wp-content\/uploads\/2018\/08\/saml-azuread-sch1.jpg\")
<\/a><\/p>\n
\nPoint de terminaison de l’Idp:<\/strong>\u00a0https:\/\/login.microsoftonline.com\/93535e3e-9602-4158-afe0-d87fdeeeec9d\/federationmetadata\/2007-06\/federationmetadata.xml?appid=2b1cf0b0-f5e9-4c58-ab5d-1c6c7b7656ce
\nFournisseur de services (Sp):<\/strong>\u00a0https:\/\/monsite.test.local\/Shibboleth.sso\/Login
\nUrl de redirection du SP:<\/strong>\u00a0https:\/\/monsite.test.local\/Shibboleth.sso\/SAML2\/POST
\nCompte utilisateur standard Azure AD:<\/strong> utilisateur1@remivernierhotmail.onmicrosoft.com<\/p>\nSAML ?<\/h1>\n
\nLe langage SAML <\/strong>(Security Assertion Markup Language) est une norme XML permettant l’\u00e9change de donn\u00e9es d’authentification et d’autorisation entre des domaines de s\u00e9curit\u00e9.\u00a0SAML est un standard support\u00e9 par un grand nombre de solutions.
\nCe protocole r\u00e9pond entre autre \u00e0 la probl\u00e9matique d\u2019authentification unique. Il est utilis\u00e9 dans notre cas pour f\u00e9d\u00e9rer des identit\u00e9s et fournir des m\u00e9canismes de SSO (SingleSign-On) aux applications qui permettent \u00e9ventuellement de prolonger les solutions de SSO au-del\u00e0 de l\u2019intranet (Application Cloud).
\nCela suppose que l’utilisateur soit repr\u00e9sent\u00e9 par un compte pr\u00e9sent chez un fournisseur d’identit\u00e9s (Azure AD dans notre cas, mais il pourrait tr\u00e8s bien \u00eatre pr\u00e9sent dans un AD local, et nous utiliserions alors des technologies ADFS\/ AADsync).<\/p>\n![\"\"](\"http:\/\/remivernier.com\/wp-content\/uploads\/2018\/08\/saml-azuread-img13.jpg\")
<\/a><\/p>\nConfiguration dans le portail AZURE<\/span><\/h1>\n
\n
![\"\"](\"http:\/\/remivernier.com\/wp-content\/uploads\/2018\/08\/saml-azuread-img1.jpg\")
<\/a><\/p>\n\n
Cr\u00e9ation de l’application<\/h2>\n
![\"\"](\"http:\/\/remivernier.com\/wp-content\/uploads\/2018\/08\/saml-azuread-img2.jpg\")
<\/a><\/p>\n![\"\"](\"http:\/\/remivernier.com\/wp-content\/uploads\/2018\/08\/saml-azuread-img5.jpg\")
<\/a><\/p>\nURL et Entity ID<\/h2>\n
![\"\"](\"http:\/\/remivernier.com\/wp-content\/uploads\/2018\/08\/saml-azuread-img6-1.jpg\")
<\/p>\n\n
\n-> https:\/\/monsite.test.local\/<\/li>\n
\n->\u00a0https:\/\/monsite.test.local\/Shibboleth.sso\/SAML2\/POST<\/li>\n
\n->\u00a0https:\/\/monsite.test.local\/Shibboleth.sso\/Login
\nLanceur d’application:
\n![\"\"](\"http:\/\/remivernier.com\/wp-content\/uploads\/2018\/08\/saml-azuread-img9.jpg\")
<\/a><\/li>\n<\/ul>\nJeton SAML<\/h2>\n
![\"\"](\"http:\/\/remivernier.com\/wp-content\/uploads\/2018\/08\/saml-azuread-img14.jpg\")
<\/a><\/p>\nMetadata<\/h2>\n
\n
\n![\"\"](\"http:\/\/remivernier.com\/wp-content\/uploads\/2018\/08\/saml-azuread-img28.jpg\")
<\/p>\n
\nhttps:\/\/login.microsoftonline.com\/93535e3e-9602-4158-afe0-d87fdeeeec9d\/federationmetadata\/2007-06\/federationmetadata.xml?appid=2b1cf0b0-f5e9-4c58-ab5d-1c6c7b7656ce<\/strong><\/p>\n
\nappid=2b1cf0b0-f5e9-4c58-ab5d-1c6c7b7656ce (correspond \u00e0 notre ID d’application)<\/p>\n![\"\"](\"http:\/\/remivernier.com\/wp-content\/uploads\/2018\/08\/saml-azuread-img12.jpg\")
<\/a><\/p>\n
\n93535e3e-9602-4158-afe0-d87fdeeeec9d (correspond \u00e0 notre ID de r\u00e9pertoire \/ Tenant ID)<\/p>\n![\"\"](\"http:\/\/remivernier.com\/wp-content\/uploads\/2018\/08\/saml-azuread-img11.jpg\")
<\/a><\/p>\nCertificats<\/h2>\n
\n
![\"\"](\"http:\/\/remivernier.com\/wp-content\/uploads\/2018\/08\/saml-azuread-img15.jpg\")
<\/a><\/p>\nCr\u00e9ation de l’utilisateur de test<\/h2>\n
![\"\"](\"http:\/\/remivernier.com\/wp-content\/uploads\/2018\/08\/saml-azuread-img17.jpg\")
<\/a><\/p>\n![\"\"](\"http:\/\/remivernier.com\/wp-content\/uploads\/2018\/08\/saml-azuread-img8.jpg\")
<\/a><\/p>\n![\"\"](\"http:\/\/remivernier.com\/wp-content\/uploads\/2018\/08\/saml-azuread-img18.jpg\")
<\/a><\/p>\nConfiguration de l’application:\u00a0Shibboleth SP<\/span><\/h1>\n
\n
\n–\u00a0shibboleth2.xml<\/strong> qui contient la configuration g\u00e9n\u00e9rale de\u00a0Shibboleth
\n– attribute-map.xml<\/strong>\u00a0qui contient la translation des noms d’attributs contenus dans les assertions SAML envoy\u00e9es par l’IdP vers des en-t\u00eates HTTP exploitables par l’application finale.
\n–\u00a0keygen.bat <\/strong>qu’il faudra ex\u00e9cuter pour g\u00e9n\u00e9rer une nouvelle paire de cl\u00e9s (Signature et Encryption sur SP). Non utilis\u00e9 dans ce sc\u00e9nario puisque seul la SAML RESPONSE est sign\u00e9e par l’IDP.
\n–\u00a0partner-metadata.xml<\/strong> est le metadata de l’IDP t\u00e9l\u00e9charg\u00e9 dans notre application Azure AD et renomm\u00e9.<\/li>\nFichier\u00a0shibboleth2.xml<\/strong><\/h2>\n
\n![\"\"](\"http:\/\/remivernier.com\/wp-content\/uploads\/2018\/08\/saml-azuread-img19.jpg\")
<\/p>\n
\n![\"\"](\"http:\/\/remivernier.com\/wp-content\/uploads\/2018\/08\/saml-azuread-img20.jpg\")
<\/p>\n
\n![\"\"](\"http:\/\/remivernier.com\/wp-content\/uploads\/2018\/08\/saml-azuread-img27.jpg\")
<\/p>\n
\n![\"\"](\"http:\/\/remivernier.com\/wp-content\/uploads\/2018\/08\/saml-azuread-img21.jpg\")
<\/p>\n
\n![\"\"](\"http:\/\/remivernier.com\/wp-content\/uploads\/2018\/08\/saml-azuread-img22.jpg\")
<\/strong><\/p>\n
\n![\"\"](\"http:\/\/remivernier.com\/wp-content\/uploads\/2018\/08\/saml-azuread-img23.jpg\")
<\/strong><\/p>\n
\n![\"\"](\"http:\/\/remivernier.com\/wp-content\/uploads\/2018\/08\/saml-azuread-img24.jpg\")
<\/strong><\/p>\n<\/p>\nFichier attribute-map.xml<\/strong><\/h2>\n
![\"\"](\"http:\/\/remivernier.com\/wp-content\/uploads\/2018\/08\/saml-azuread-img29.jpg\")
<\/p>\nEx\u00e9cution\u00a0du keygen.bat<\/strong><\/h2>\n
\nC:\\opt\\shibboleth-sp\\etc\\shibboleth> keygen.bat -h monsite.test.local -e https:\/\/monsite.test.local -f -n sp-signing<\/strong><\/p>\n\n
\n<\/strong>![\"\"](\"http:\/\/remivernier.com\/wp-content\/uploads\/2018\/08\/saml-azuread-img30.jpg\")
<\/p>\nFichier partner-metadata.xml<\/strong><\/h2>\n
\n<\/p>\n
\nLe fichier\u00a0C:\\opt\\shibboleth-sp\\var\\log\\shibboleth\\shibd.log<\/a> doit nous indiquer aucune erreur au d\u00e9marrage.<\/p>\nTest du sc\u00e9nario<\/h1>\n
![\"\"](\"http:\/\/remivernier.com\/wp-content\/uploads\/2018\/08\/saml-azuread-img31.jpg\")
\n(Pour obtenir le contenu du jeton, je vous invite \u00e0 aller consulter l’article: Outils d’analyse r\u00e9seau<\/a>).<\/p>\n
\nLa page,\u00a0https:\/\/monsite.test.local\/Shibboleth.sso\/Session nous affiche les attribut mapp\u00e9s (configur\u00e9s pr\u00e9c\u00e9demment dans le fichier\u00a0attribute-map.xml)<\/p>\n![\"\"](\"http:\/\/remivernier.com\/wp-content\/uploads\/2018\/08\/saml-azuread-img32.jpg\")
<\/p>\n
![\"\"](\"http:\/\/remivernier.com\/wp-content\/uploads\/2018\/08\/saml-azuread-img33-300x156.jpg\")
<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"