Configuration d’Adobe Workfront avec SAML 2.0
En tant qu’administrateur Adobe Workfront, vous pouvez configurer les applications web et mobiles Workfront pour les intégrer à une solution SAML 2.0 (Security Assertion Markup Language) pour l’authentification unique (SSO).
Après avoir configuré SAML 2.0 dans Workfront, comme décrit dans les sections suivantes, vous pouvez conserver la configuration, comme décrit dans la section Mise à jour des métadonnées SAML 2.0 dans votre fournisseur d’identité.
Conditions d’accès
Vous devez disposer des accès suivants pour effectuer les étapes de cet article :
| table 0-row-2 1-row-2 2-row-2 layout-auto html-authored no-header | |
|---|---|
| Forfait Adobe Workfront | N’importe quelle |
| Licence Adobe Workfront |
Nouvelle : standard ou Actuelle : formule |
| Configurations du niveau d’accès | Vous devez être un administrateur ou une administratrice de Workfront. |
Pour plus d’informations sur ce tableau, consultez Conditions d’accès requises dans la documentation Workfront.
Activation de l’authentification vers Workfront avec SAML 2.0
-
Cliquez sur l’icône Menu principal
-
Cliquez sur System > Single Sign-On (SSO).
-
Dans la liste déroulante Type, sélectionnez SAML 2.0.
-
Près de la partie supérieure des options qui s’affichent, cliquez sur Télécharger les métadonnées SAML 2.0 pour télécharger le fichier sur votre ordinateur.
Votre fournisseur d’identité SAML 2.0 requiert un fichier XML avec les informations générées dans votre instance Workfront. Après avoir téléchargé le fichier, vous devez accéder à votre serveur de fournisseur d’identité SAML 2.0 et y charger le fichier XML de métadonnées SAML 2.0 de Workfront.
-
Spécifiez les informations suivantes dans Workfront :
table 0-row-2 1-row-2 2-row-2 3-row-2 4-row-2 5-row-2 6-row-2 7-row-2 8-row-2 9-row-2 10-row-2 11-row-2 layout-auto html-authored no-header ID de fournisseur de services Cette URL, déjà renseignée pour vous, identifie Workfront à votre fournisseur d’identité. Par exemple : <yourcompany>.com/SAML2.Type de liaison Sélectionnez la méthode prise en charge par votre serveur IDP pour envoyer les informations d’authentification :
- POST
- REDIRECT
Champs remplis à partir des métadonnées de fournisseurs d'identité Dans votre solution de fournisseur d’identité SAML 2.0, exportez un fichier XML de métadonnées du fournisseur de services et enregistrez-le à un emplacement temporaire sur votre ordinateur. Sélectionnez Choisir le fichier, puis recherchez et sélectionnez le fichier que vous avez enregistré pour l’ajouter à votre configuration Workfront. URL du portail de connexion Saisissez le portail de connexion commun de votre entreprise. Il s’agit de l’URL à laquelle les utilisateurs se connectent pour accéder à Workfront et à toutes les autres applications intégrées à SAML 2.0. URL de déconnexion Saisissez l’URL de déconnexion du serveur IDP. Workfront envoie une requête HTTP à cette URL avant de se déconnecter de Workfront. La session de l’utilisateur se ferme sur le serveur distant à la fermeture de la session Workfront.
REMARQUE : Vous êtes redirigé vers l’URL de déconnexion uniquement si l’option Autoriser uniquement l’authentification SAML 2.0 est activée dans votre profil utilisateur.
Modifier l'URL de mot de passe Spécifiez l’URL vers laquelle les utilisateurs seront redirigés pour modifier leurs mots de passe.
Les informations d’identification SAML 2.0 étant utilisées pour accéder à Workfront, les utilisateurs doivent être redirigés vers une page où ils peuvent modifier leur mot de passe SAML 2.0 au lieu de terminer cette activité via Workfront.
Algorithme de hachage sécurisé Sélectionnez l’algorithme de hachage sécurisé (SHA) pris en charge par votre fournisseur d’identité :
- SHA-1
- SHA-256
Configuration automatique des utilisateurs Cette option crée automatiquement un utilisateur dans le système lorsqu’un nouvel utilisateur avec un nom d’utilisateur d’annuaire et un mot de passe tente de se connecter à Workfront pour la première fois.
Pour créer des utilisateurs dans Workfront, vous devez mapper les attributs de données Workfront avec les attributs de données utilisateur suivants dans votre fournisseur d’annuaire :
- Prénom
- Nom de famille
- Adresse e-mail
Lorsque vous cochez la case, les options suivantes s’affichent :
Sélectionnez l’ attribut utilisateur Workfront que vous souhaitez mapper dans la liste déroulante, puis spécifiez l’ attribut de répertoire correspondant dans le répertoire utilisateur.
Le champ Attribut de répertoire doit contenir le Nom d’attribut de répertoire de la table Attribut utilisateur que vous avez enregistrée lors du test de votre configuration SAML 2.0.
Vous pouvez définir une valeur Workfront par défaut dans le champ Valeur par défaut. Vous pouvez également définir des règles basées sur les valeurs de votre fournisseur d’identité SAML 2.0.
AVERTISSEMENT : Workfront tente de mapper les attributs répertoriés ci-dessous chaque fois qu’un utilisateur se connecte au système. Pour cette raison, nous vous déconseillons de mapper les niveaux d’accès. Vous pouvez facilement supprimer l’accès administrateur si un attribut n’est pas mappé correctement. Cliquez sur Ajouter un mappage pour ajouter des règles supplémentaires.
Vous pouvez mapper les attributs Workfront suivants :
-
Niveau d'accès
-
Adresse
-
Adresse2
-
Facturation par heure
-
Ville
-
Entreprise
-
Coût par heure
-
Adresse e-mail
-
Extension
-
Prénom
-
Groupe principal
-
Équipe interne
-
Fonction
-
Nom de famille
-
Modèles de mise en page
-
Gestionnaire
-
Téléphone portable
-
Numéro de téléphone
-
Code postal
-
Planning
-
Département
-
Profil de feuille de temps
-
Titre
Cliquez sur Enregistrer lorsque vous avez terminé de mapper les attributs utilisateur.
Certificat Téléchargez un certificat SSL valide pour garantir une connexion sécurisée entre le service d’authentification et Workfront. Pour les comptes OnDemand, un certificat est toujours requis. Vous pouvez obtenir ce certificat auprès de votre administrateur système SAML 2.0. Exemption admin Permet aux administrateurs Workfront d’accéder à Workfront à l’aide de leur connexion Workfront. Si cette option n’est pas sélectionnée, les administrateurs Workfront doivent utiliser leur nom d’utilisateur et mot de passe SAML 2.0.
Workfront tente pour la première fois de se connecter à Workfront via SAML 2.0 pour les utilisateurs disposant du niveau d’accès Administrateur système Workfront. Si l’authentification SAML 2.0 échoue, Workfront utilise l’authentification locale pour les administrateurs Workfront.
Nous vous recommandons de toujours sélectionner cette option afin que votre administrateur Workfront puisse se connecter à Workfront si votre fournisseur SAML 2.0 est temporairement hors service.
Activer Active la connexion unique sur le système Workfront. Assurez-vous que vous avez communiqué les instructions de connexion à vos utilisateurs.
Après avoir activé votre configuration SSO dans Workfront, vous devez activer le paramètre Only Allow SAML 2.0 Authentication pour tous les utilisateurs afin qu’ils puissent utiliser SSO.
Pour plus d’informations sur la mise à jour des utilisateurs pour la SSO, voir Mettre à jour les utilisateurs et utilisatrices pour l’authentification unique.
Pour plus d’informations sur les paramètres utilisateur, voir Modification du profil d’un utilisateur.
Confirmer la configuration Cliquez sur Tester la connexion pour vérifier que Workfront et le fournisseur d’identité SAML 2.0 peuvent communiquer entre eux. Cette connexion n'est réussie que si vous avez échangé les fichiers XML.
Une fois le lien entre votre fournisseur d’identité SAML 2.0 et Workfront testé, un écran similaire à l’image ci-dessous s’affiche.
REMARQUE : cet écran s’affiche dans une fenêtre contextuelle du navigateur. Veillez donc à désactiver le blocage des fenêtres contextuelles dans votre navigateur.
Enregistrez les informations affichées dans le tableau en vue d’une utilisation ultérieure.
-
Cliquez sur Enregistrer pour enregistrer la configuration SAML 2.0.