Disponible pour : les forfaits Enterprise et Business
Configuré par : les admins d’entreprise
Miro prend en charge les authentifications uniques (SSO) via SAML 2.0.
Un fournisseur d’identité SAML 2.0 peut prendre de nombreuses formes, y compris un serveur ADFS (Active Directory Federation Services) auto-hébergé. Un ADFS est un service fourni par Microsoft en tant que rôle standard pour Windows Server, qui fournit une connexion Web établie à l’aide des identifiants Active Directory existants.
Ce guide se fonde sur des captures d’écran de Server 2012R2, mais les étapes à suivre devraient être similaires sur d’autres versions.
Tout d’abord, vous devez installer l’ADFS sur votre serveur. Ce guide n’est pas axé sur la configuration et l’installation d’ADFS mais vous trouverez des instructions détaillées dans cet article de Microsoft.
Pendant le test, assurez-vous que l’authentification de votre poste de travail est paramétrée sur la même adresse e-mail que celle que vous utilisez pour le test. Sinon, l’ADFS ne vous permettra pas de vous connecter même si la configuration et le profil sont corrects.
💡 Il est fortement recommandé de configurer l’authentification unique (SSO) dans une fenêtre indépendante de navigation privée de votre navigateur. Ainsi, vous conservez la session dans la fenêtre standard, ce qui vous permet de désactiver l’autorisation du SSO au cas où quelque chose serait mal configuré.
Si vous souhaitez configurer une instance de test avant d’activer l’authentification unique (SSO) en production, veuillez en faire la demande auprès de votre responsable de compte ou de votre représentant commercial ou représentante commerciale. Seules les personnes qui configurent l’authentification unique (SSO) seront ajoutées à cette instance de test.
⚠️ Voir notre article principal sur l’authentification unique ici pour découvrir les règles, les fonctionnalités prises en charge et les configurations optionnelles du côté de Miro.
Étape 1 - Ajout d’une approbation de partie de confiance
1) Connectez-vous au serveur ADFS et lancez ADFS Management Console (Console de gestion ADFS).
2) Sélectionnez le dossier Relying Party Trusts (Approbations de partie de confiance) dans AD FS Management (Gestion AD FS) et ajoutez une nouvelle Standard Relying Party Trust (Approbation de partie de confiance standard) à partir de la barre latérale Actions. L’assistant de configuration démarre pour la création d’une nouvelle approbation.
Ajout d’une approbation de partie de confiance
3) Dans l’écran Select Data Source (Sélectionner la source de données), sélectionnez la dernière option, Enter Data About the Party Manually (Saisir les données relatives à la partie manuellement).
Choix de l’option Enter Data About the Party Manually (Saisir les données relatives à la partie manuellement)
4) Saisissez un Display name (Nom d’affichage) que vous pourrez reconnaître à l’avenir ainsi que toutes les notes que vous souhaitez faire.
Ajout d’un nom d’affichage
5) Sélectionnez le bouton AD FS profile (Profil AD FS) (ADFS 2.0).
Une invite de commande vous enjoindra à rechercher un certificat pour chiffrer et déchiffrer les revendications. Cette option est facultative et peut être ignorée en appuyant sur Next (Suivant).
6) Cochez la case intitulée Enable Support for the SAML 2.0 WebSSO protocol (Activer la prise en charge du protocole WebSSO SAML 2.0).
L’URL de service sera https://miro.com/sso/saml.
Notez qu’aucune barre oblique n’est présente à la fin de l’URL.
Enable Support for the SAML 2.0 WebSSO protocol (Activer la prise en charge du protocole WebSSO SAML 2.0)
7) Ajoutez le Relying party trust identifier (Identificateur d’approbation de partie de confiance) https://miro.com/.
Ajout d’un Relying party trust identifier (Identificateur pour la partie de confiance)
Sur l’écran suivant, vous pouvez configurer l’authentification multifactorielle. Ce guide n’est cependant pas axé sur cette configuration.
Rejet de la configuration de l’authentification multifacteur
8) Sélectionnez le bouton Permit all users to access this relying party (Autoriser l’accès de tous les utilisateurs à cette partie de confiance).
Autorisation permettant à tous les utilisateurs d’accéder à la partie de confiance
Sur les deux écrans suivants, l’assistant affiche un aperçu de vos paramètres.
Sur l’écran final, cliquez sur le bouton Close (Fermer) pour quitter et ouvrir l’éditeur Claim Rules (Règles de revendication).
Finition de l’ajout d’une approbation de partie de confiance
Veuillez également vous assurer que votre configuration comprend une assertion signée.
Étape 2 - Création de règles de revendication
Une fois la partie de confiance créée, vous pouvez passer à la création des règles de revendication.
Par défaut, l’éditeur des règles de revendication s’ouvre après la création de la partie de confiance.
1) Pour créer une règle, cliquez sur Add Rule (Ajouter une règle).
Ajout d’une nouvelle règle
2) Créez une règle Send LDAP Attributes as Claims (Envoyer les attributs LDAP sous forme de revendications).
Création d’une règle
3) Sur l’écran suivant, nommez votre règle et utilisez Active Directory comme votre magasin d’attributs, à cartographier comme suit :
Attribut LDAP | Outgoing Claim Type (Type de revendication sortante) |
---|---|
E-Mail-Addresses (Adresses e-mail) | E-Mail Address (Adresse e-mail) |
Given-Name (Prénom) | FirstName (Prénom) |
Surname (Nom de famille) | LastName (Nom de famille) |
Mappage des attributs LDAP
Cliquez sur OK pour enregistrer la nouvelle règle.
4) Créez une nouvelle règle en cliquant sur Add Rule (Ajouter une règle) et cette fois, sélectionnez le modèle Transform an Incoming Claim (Transformer une revendication entrante).
Sélection du modèle Transform an Incoming Claim (Transformer une revendication entrante)
5) Nommez ensuite la règle et définissez les paramètres suivants :
Incoming Claim Type (Type de revendication entrante) |
E-mail Address (Adresse e-mail) |
Outgoing Claim Type (Type de revendication sortante) |
ID de nom |
Outgoing Name ID Format (Format d’ID de nom sortant) |
Email (E-mail) |
Configuration des paramètres de la règle
Enfin, cliquez sur OK pour créer la règle de revendication, puis cliquez à nouveau sur OK pour terminer la création des règles.
La configuration de l’ADFS est maintenant terminée ! Après cela, il vous suffit d’activer la fonctionnalité SSO pour votre plan Miro et vos utilisateurs finaux pourront commencer à utiliser SAML pour s’authentifier dans Miro.