![\"\"](\"http:\/\/remivernier.com\/wp-content\/uploads\/2018\/11\/shibboleth-sp-3-avec-iis-10-et-php-img1.jpg\")
<\/a><\/p>\nFournisseur d\u2019identit\u00e9 (Idp) :<\/strong>\u00a0ADFS (Windows Server 2016) Compte utilisateur standard sur l’annuaire Active Directory:<\/strong>\u00a0localadminuser@test.local<\/p>\n Sur le serveur IIS:<\/strong> Un des impond\u00e9rable \u00e0 ce type de m\u00e9canisme d’authentification est que l’ensemble des endpoints soient en HTTPS. Shibboleth comme ADFS doivent donc pr\u00e9senter des certificats TLS 1.2 sur les diff\u00e9rents endpoints.<\/p>\n Dans ce sc\u00e9nario nous allons utiliser des certificats autosign\u00e9s mais pour des raison de s\u00e9curit\u00e9, notamment en cas de besoin de r\u00e9vocation d’un certificat, une autorit\u00e9 de certification interne ou externe doit \u00eatre utilis\u00e9e.<\/p>\n Sur le serveur IIS:<\/strong> Nous allons avoir besoin de 2 composants: PHP et PHP manager for IIS. Le premier est \u00e0 t\u00e9l\u00e9charger sur le site php.net en suivant le lien ici<\/a>. Le 2eme, sous forme d\u2019extension pour IIS est \u00e0 t\u00e9l\u00e9charger sur le site IIS.net en suivant le lien ici<\/a>. PHP manager va nous permettre de configurer PHP via une interface graphique pr\u00e9sente dans le manager IIS.<\/p>\n PHP livr\u00e9 sous format ZIP, est \u00e0 d\u00e9compress\u00e9 sous\u00a0C:\\php. L’installation de PHP manager s’effectue sans probl\u00e8me particulier en suivant l’assistant.<\/p>\n Pour v\u00e9rifier que ces 2 composants sont correctement install\u00e9s, il suffira de cliquer sur l’icone PHP Manager pr\u00e9sents dans le manager IIS:<\/p>\n Il est souvent conseill\u00e9 de red\u00e9marrer un serveur apr\u00e8s l’installation d’un composant. Ici, je vous recommande de red\u00e9marrer les services IIS via la commande \u00ab\u00a0iisreset\u00a0\u00bb en tant qu’administrateur une fois l’installation de PHP et PHP manager termin\u00e9e.<\/p>\n Afin de tester le bon fonctionnement de PHP nous pouvons cr\u00e9er le fameux phpinfo(); \u00e0 la racine du site:<\/p>\n Au lancement de la page le r\u00e9sultat\u00a0attendu doit \u00eatre la page ci dessous:<\/p>\n Nous pouvons consid\u00e9rer PHP comme fonctionnel. La s\u00e9curit\u00e9 doit \u00eatre renforc\u00e9e pour une utilisation en production. Vous pouvez suivre ce lien<\/a> notamment la partie \u00ab\u00a0PHP Security Recommendations\u00a0\u00bb qui est int\u00e9ressante pour traiter ce point.<\/p>\n <\/p>\n Sur le serveur IIS:<\/strong> Le r\u00e9pertoire d\u2019installation de\u00a0Shibboleth SP est C:\\opt\\shibboleth-sp. Les r\u00e9pertoires et fichiers ci dessous vont particuli\u00e8rement nous int\u00e9resser:<\/p>\n Original:<\/strong><\/p>\n A remplacer par:<\/strong><\/p>\n l\u2019id doit correspondre \u00e0 l\u2019ID du site IIS:<\/p>\n Original:<\/strong><\/p>\n A remplacer par:<\/strong><\/p>\n Vous noterez ici que le r\u00e9pertoire \/secure\/ est par d\u00e9faut le r\u00e9pertoire o\u00f9 nous ferons appel \u00e0 Shibboleth comme m\u00e9thode d’authentification. Ceci indique qu’au chargement de l’URL\u00a0https:\/\/monsite.test.local\/secure le module Shibboleth sera appel\u00e9 et l’authentification requise. Original:<\/strong><\/p>\n A remplacer par:<\/strong><\/p>\n L\u2019ApplicationDefaults<\/strong>\u00a0EntityID<\/strong>\u00a0(Identifier) doit correspondre \u00e0 celui qui sera renseign\u00e9 lors de la cr\u00e9ation du relying party trust dans ADFS.<\/p>\n Il est \u00e0 noter que j’ajoute signing=\u00a0\u00bbtrue\u00a0\u00bb<\/strong> et encryption=\u00a0\u00bbtrue\u00a0\u00bb<\/strong>. Ces param\u00e8tres ne sont pas obligatoire. Par d\u00e9faut, la signature des SAML_REQUEST et l’encryption des SAML_RESPONSE sont propos\u00e9es par Shibboleth. En cas de suppressions de ces certificats cot\u00e9 ADFS, Shibboleth ne signera plus les SAML_REQUEST et ne chiffrera plus les SAML_RESPONSE. Passer ce param\u00e8tre \u00e0 \u00ab\u00a0true\u00a0\u00bb permet d’imposer par le SP la signature et le chiffrement. Les 2 certificats permettant cette tache (voir execution du keygen.bat) sont pr\u00e9sents dans le metadata du SP et donc int\u00e9gr\u00e9s et utilis\u00e9 par ADFS.<\/p>\n Le\u00a0SSO<\/strong>\u00a0EntityID<\/strong>\u00a0correspond \u00e0 l\u2019entityID pr\u00e9sent dans le metadata de l\u2019IDP t\u00e9l\u00e9chargeable \u00e0 l’URL suivante:\u00a0https:\/\/fs.test.local\/FederationMetadata\/2007-06\/FederationMetadata.xml<\/p>\n Nous en profitons pour renforcer les contr\u00f4les de s\u00e9curit\u00e9 en passant checkAddress et handlerSSL \u00e0 true et\u00a0cookieProps \u00e0 https. Nous pouvons supprimer la partie\u00a0discoveryProtocol et\u00a0discoveryURL, ADFS ne poss\u00e9dant pas cette fonctionnalit\u00e9 de d\u00e9couverte.<\/p>\n Enfin, nous supprimons l\u2019acl pr\u00e9sente sur la page \/Status et passons le\u00a0showAttributeValues de \/Session \u00e0 true.<\/p>\n <\/p>\n Ce fichier va permettre d\u2019indiquer \u00e0 Shibboleth de mapper les attributs pr\u00e9sents dans notre jeton SAML avec des id que nous allons r\u00e9cup\u00e9rer sous forme de variable dans PHP.<\/p>\n Nous pouvons supprimer l\u2019ensemble des exemples pr\u00e9sents par d\u00e9faut dans ce fichier XML et le remplacer par ce que nous souhaitons exploiter dans notre jeton SAML:<\/p>\n <\/p>\n Dans ce sc\u00e9nario, nous allons utiliser la possibilit\u00e9 de signer les SAML REQUEST ou chiffrer les SAML_RESPONSE avec les certificats pr\u00e9sents et inscrits dans le metadata cot\u00e9 SP. Il nous faut ex\u00e9cuter en tant qu\u2019admin les commandes ci dessous dans un \u00ab\u00a0cmd\u00a0\u00bb:<\/p>\n C:\\opt\\shibboleth-sp\\etc\\shibboleth>\u00a0keygen.bat -h shibboleth.test.local -e https:\/\/shibboleth.test.local -f -n sp-encrypt<\/strong> Les nouvelles paires de cl\u00e9s sont alors cr\u00e9\u00e9s sous\u00a0C:\\opt\\shibboleth-sp\\etc\\shibboleth<\/strong><\/p>\n Le fichier\u00a0shibboleth2.xml<\/strong>\u00a0en fait r\u00e9f\u00e9rence ci dessous\u00a0:<\/strong><\/p>\n Il s\u2019agit ni plus ni moins des m\u00e9tadonn\u00e9es de notre IDP cot\u00e9 ADFS, t\u00e9l\u00e9chargeable en suivant le lien https:\/\/fs.test.local\/FederationMetadata\/2007-06\/FederationMetadata.xml. Ce fichier est \u00e0 copier dans\u00a0C:\\opt\\shibboleth-sp\\etc\\shibboleth et \u00e0 renommer\u00a0partner-metadata.xml<\/p>\n <\/p>\n L\u2019ensemble de la configuration de Shibboleth SP est \u00e0 pr\u00e9sent termin\u00e9e. Pour appliquer celle ci, il suffit de red\u00e9marrer le service\u00a0Shibboleth Daemon (Default). Pour v\u00e9rifier que la configuration est effective, il doit \u00eatre possible de consulter le metadata du serveur Shibbolet via l’URL ci apr\u00e8s:\u00a0https:\/\/shibboleth.test.local\/Shibboleth.sso\/Metadata Sur le serveur ADFS:<\/strong> Nous allons \u00e0 pr\u00e9sent utiliser la fonction d’import automatique de la configuration Shibboleth pr\u00e9sente dans le metadata. Ce metadata sera consult\u00e9 1 fois par jour pour prendre en compte les \u00e9ventuelles modifications que nous aurions apport\u00e9es \u00e0 la configuration Shibboleth.<\/p>\n Saisir le nom de notre\u00a0Relying Party Trust:<\/p>\n Nous ne poss\u00e9dons pas dans notre sc\u00e9nario de fournisseur de MFA et souhaitons au passage une configuration sans politique de contr\u00f4le. L’ensemble de nos utilisateurs pr\u00e9sents dans notre annuaire Active Directory pourront donc s’authentifier au travers ce\u00a0Relying Party Trust. Nous pouvons s\u00e9lectionner l’option \u00ab\u00a0Permit Everyone\u00a0\u00bb:<\/p>\n Avant de valider la fin de la configuration, nous allons v\u00e9rifier que\u00a0le Relying party identifier et bien identique \u00e0 ApplicationDefaults<\/strong>\u00a0EntityID<\/strong> de notre Shibboleth :<\/p>\n Le bouton \u00ab\u00a0Add Rules\u00a0\u00bb va nous permettre d’ajouter les 2 r\u00e8gles ci dessous. Dans notre sc\u00e9nario, nous allons ajouter l’UPN et le Display Name de l’utilisateur.<\/p>\n Nous en profiterons pour cr\u00e9er une r\u00e8gle de transformation afin de pr\u00e9ciser le Name ID et son formatage:<\/p>\n La configuration du\u00a0Relying Party Trust ADFS est a pr\u00e9sent termin\u00e9e.<\/p>\n Une fois l’utilisateur authentifi\u00e9, Shibboleth va r\u00e9cup\u00e9rer les assertions transmises par le client \u00e0 travers la SAML_RESPONSE et configur\u00e9es\/mapp\u00e9es dans le fichier\u00a0attribute-map.xml<\/strong>. Il va les mettre \u00e0 disposition sous fourme de variable dans un tableau dans les en-t\u00eates HTTP cot\u00e9 serveur. Les en-t\u00eates HTTP permettent au client et au serveur de transmettre des informations suppl\u00e9mentaires avec la demande ou la r\u00e9ponse. Shibboleth va donc en profiter pour ajouter des en-t\u00eates commen\u00e7ant par:<\/p>\n Vue des en-t\u00eates HTTP:<\/strong> Vue du fichier\u00a0attribute-map.xml de Shibboleth<\/strong> Il est a noter que\u00a0variable REMOTE_USER est une variable sp\u00e9ciale. Elle prend la valeur d\u00e9j\u00e0 pr\u00e9sente dans PERSISTANT-ID car nous avons configur\u00e9 le SP Shibboleth pour cela (\u00e9l\u00e9ment ApplicationDefaults\/REMOTE_USER de shibboleth2.xml<\/strong>). Elle est pr\u00e9sente ici pour des raisons de compatibilit\u00e9:<\/p>\n Afin de r\u00e9cup\u00e9rer ces valeurs, nous pouvons utiliser une simple fonction PHP:<\/p>\n Cette fonction va nous afficher un tableau contenant\u00a0en-t\u00eates cot\u00e9 serveur:<\/p>\n <\/p>\n Pour pouvoir exploiter ces valeurs et par exemple r\u00e9cup\u00e9rer le nom de l’utilisateur, il faudra cr\u00e9er une page index.php<\/strong> sous le r\u00e9pertoire\/secure\/<\/strong> (https:\/\/shibboleth.test.local\/secure\/) contenant la m\u00eame fonction utilis\u00e9e ci dessous mais pr\u00e9cisant la valeur que nous souhaitons r\u00e9cup\u00e9rer sous forme de variable.<\/p>\n
\nMetadata de l\u2019Idp:<\/strong>\u00a0https:\/\/fs.test.local\/FederationMetadata\/2007-06\/FederationMetadata.xml
\n
\nFournisseur de services (Sp):<\/strong>\u00a0Shibboleth SP 3.0
\nMetadata du SP:<\/strong>\u00a0https:\/\/shibboleth.test.local\/Shibboleth.sso\/Metadata<\/p>\nConfiguration du serveur applicatif: IIS<\/span><\/h1>\n
\nNous partons d’une installation d’un serveur IIS vierge. Seuls les composants ci dessous doivent explicitement \u00eatre install\u00e9s:<\/p>\n\n
<\/a><\/p>\nConfiguration du serveur applicatif:\u00a0PHP<\/span><\/h1>\n
\nPlusieurs m\u00e9thodes permettent d’installer le composant PHP sur notre serveur IIS. Il est possible d’utiliser la console \u00ab\u00a0New Web Platform Components\u00a0\u00bb mais nous effectuons ici une installation manuelle.<\/p>\n<\/a><\/p>\n<?php\r\nphpinfo();\r\n?><\/pre>\n
<\/a><\/p>\nConfiguration du serveur applicatif:\u00a0Shibboleth SP<\/span><\/h1>\n
\nNous allons donc utiliser comme Service Provider l\u2019application\u00a0Shibboleth SP 3.0. Elle se pr\u00e9sente comme une\u00a0extension ISAPI. Elle est mise en \u0153uvre sous forme de DLL et charg\u00e9e sous contr\u00f4le d\u2019IIS. Je vous propose de consulter\u00a0cet article pour suivre son installation<\/a>. Dans la suite nous allons consid\u00e9rer que\u00a0Shibboleth SP est d\u00e9j\u00e0 install\u00e9 et pr\u00eat \u00e0 fonctionner. Nous verrons donc uniquement la partie param\u00e9trage du produit dans notre contexte.<\/p>\n\n
\n\u2013\u00a0shibboleth2.xml<\/strong>\u00a0qui contient la configuration g\u00e9n\u00e9rale de\u00a0Shibboleth
\n\u2013\u00a0attribute-map.xml<\/strong>\u00a0qui contient la translation des noms d\u2019attributs contenus dans les assertions SAML envoy\u00e9es par l\u2019IdP vers des en-t\u00eates HTTP exploitables par l\u2019application finale. Nous verrons \u00e0 la fin de cet article l’exploitation de ces valeurs dans PHP.
\n\u2013\u00a0keygen.bat\u00a0<\/strong>qu\u2019il faudra ex\u00e9cuter pour g\u00e9n\u00e9rer une nouvelle paire de cl\u00e9s (Signature et Encryption sur SP).
\n\u2013\u00a0partner-metadata.xml<\/strong>\u00a0est le metadata de l\u2019IDP t\u00e9l\u00e9charg\u00e9 depuis le serveur ADFS 2016.<\/li>\nFichier\u00a0shibboleth2.xml<\/strong><\/h2>\n
<\/a><\/p>\n<\/a><\/p>\n<\/a><\/p>\n<\/a><\/p>\n<\/a><\/p>\n
\nIl est bien \u00e9videment possible d’ajouter d’autres r\u00e9pertoires en ajoutant une nouvelle balise <Path name=monrepertoireasecuriser\u00a0\u00bb authType …<\/p>\n<\/a><\/p>\n<\/a><\/p>\n<\/a><\/p>\nFichier attribute-map.xml<\/strong><\/h2>\n
<\/a><\/p>\nEx\u00e9cution\u00a0du keygen.bat<\/strong><\/h2>\n
\nC:\\opt\\shibboleth-sp\\etc\\shibboleth>\u00a0keygen.bat -h shibboleth.test.local -e https:\/\/shibboleth.test.local -f -n sp-signing<\/strong><\/p>\n\n
<\/a><\/p>\nFichier partner-metadata.xml<\/strong><\/h2>\n
\nLe fichier\u00a0C:\\opt\\shibboleth-sp\\var\\log\\shibboleth\\shibd.log\u00a0doit nous indiquer aucune erreur au d\u00e9marrage.<\/p>\n
\nC’est d’ailleurs cette derni\u00e8re URL que nous allons utiliser pour initier la configuration du\u00a0relying party trust dans ADFS.<\/p>\nConfiguration du fournisseur d’identit\u00e9: ADFS<\/span><\/h1>\n
\nLa configuration des services ADFS s’effectue via la console \u00ab\u00a0AD FS Management\u00a0\u00bb. Nous allons cr\u00e9er un\u00a0relying party trust\u00a0 \u00e0 partir des informations pr\u00e9sentes dans le metadata de Shibboleth.
\nEn cliquant sur Add Relying Party Trust… nous pouvons s\u00e9lectionner le type d’application souhait\u00e9e: Claim aware.<\/a><\/p>\n<\/a><\/p>\n<\/a><\/p>\n<\/a><\/p>\n<\/a>Nous laisserons la case \u00ab\u00a0Configure claims issuance policy for this application\u00a0\u00bb coch\u00e9e. La fen\u00eatre nous permettant d’\u00e9diter le contenu de notre claim s’ouvre.<\/p>\n<\/a><\/p>\n<\/a><\/p>\nc:[Type == \"http:\/\/schemas.microsoft.com\/ws\/2008\/06\/identity\/claims\/windowsaccountname\", Issuer == \"AD AUTHORITY\"]<\/em>\r\n=> issue(store = \"Active Directory\", types = (\"http:\/\/schemas.xmlsoap.org\/ws\/2005\/05\/identity\/claims\/upn\", \"http:\/\/schemas.xmlsoap.org\/ws\/2005\/05\/identity\/claims\/name\"),<\/em>\r\nquery = \";userPrincipalName,displayName;{0}\", param = c.Value);<\/em><\/pre>\n<\/a><\/p>\nc:[Type == \"http:\/\/schemas.xmlsoap.org\/ws\/2005\/05\/identity\/claims\/upn\"]<\/em>\r\n=> issue(Type = \"http:\/\/schemas.xmlsoap.org\/ws\/2005\/05\/identity\/claims\/nameidentifier\", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties[\"http:\/\/schemas.xmlsoap.org\/ws\/2005\/05\/identity\/claimproperties\/format\"] = \"urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress\");<\/em><\/pre>\n
R\u00e9cup\u00e9ration et exploitation des assertions par PHP<\/span><\/h1>\n
\n
\n<\/a><\/p>\n
\n<\/a><\/p>\n<\/a><\/p>\n<?php \r\nprint_r($_SERVER) \r\n?><\/pre>\n
<\/a><\/p>\n