Configurer Adobe Workfront avec SAML 2.0 à l’aide d’ADFS
En tant qu’administrateur ou administratrice Adobe Workfront, vous pouvez intégrer Workfront à une solution SAML 2.0 pour une authentification unique à l’aide d’ADFS.
Ce guide aborde la configuration d’ADFS sans approvisionnement automatique ni mappage d’attributs. Nous vous recommandons de terminer la configuration et de la tester avant de mettre en place l’approvisionnement automatique.
Conditions d’accès
Vous devez disposer des accès suivants pour effectuer les étapes décrites dans cet article :
table 0-row-2 1-row-2 2-row-2 layout-auto html-authored no-header | |
---|---|
Formule Adobe Workfront | Tous |
Licence Adobe Workfront | Plan |
Configurations des niveaux d’accès |
Vous devez être un administrateur ou une administratrice Workfront. NOTE : si vous n’avez toujours pas accès, demandez à votre administrateur ou administratrice Workfront si des restrictions supplémentaires à votre niveau d’accès ont été appliquées. Pour plus d’informations sur la façon dont l’administration Workfront peut modifier votre niveau d’accès, consultez la section Créer ou modifier des niveaux d’accès personnalisés. |
Activer l’authentification à Workfront avec SAML 2.0
Pour activer l’authentification à l’application web Workfront et à l’application mobile Workfront avec SAML 2.0, accomplissez les sections suivantes :
Récupérer le fichier de métadonnées Workfront SSO retrieve-the-workfront-sso-metadata-file
-
Cliquez sur l’icône Menu principal dans le coin supérieur droit d’Adobe Workfront, ou (si disponible), cliquez sur l’icône Menu principal dans le coin supérieur gauche, puis cliquez sur Configuration .
-
Dans le panneau de gauche, cliquez sur Système > Authentification unique (SSO).
-
Dans le menu déroulant Type, cliquez sur SAML 2.0 pour afficher des informations et des options supplémentaires.
-
Copiez l’URL qui s’affiche après URL de métadonnées.
-
Poursuivez vers la section suivante, Configurer les parties de confiance.
Configurer les parties de confiance configure-relying-party-trusts
-
Ouvrez le Gestionnaire ADFS via Windows Server 2008 R2 (la version peut varier).
-
Accédez à Démarrer.
-
Cliquez sur Outils d’administration.
-
Cliquez sur Gestion d’ADFS 2.0.
-
Sélectionnez ADFS et développez Relations de confiance.
-
Cliquez avec le bouton droit de la souris sur Parties de confiance, puis sélectionnez Ajouter une partie de confiance pour lancer l’assistant d’ajout de partie de confiance.
-
À partir de la Page d’accueil, sélectionnez Démarrer.
-
Dans la section Sélectionner une source de données, collez l’URL de métadonnées de Workfront.
-
Cliquez sur Suivant.
-
Cliquez sur OK pour confirmer le message d’avertissement.
-
Dans la section Spécifier le nom d’affichage, ajoutez un Nom d’affichage et des Notes pour pouvoir distinguer la partie de confiance, puis cliquez sur Suivant.
-
Sélectionnez Autoriser tous les utilisateurs et utilisatrices à accéder à cette partie de confiance (ou Aucun si vous souhaitez configurer cette option ultérieurement).
-
Cliquez sur Suivant.
Vous accédez alors à la section Partie de confiance prête à être ajoutée.
-
Poursuivez vers la section suivante Configurer les règles de revendication.
Configurer les règles de revendication configure-claim-rules
-
Cliquez sur Suivant dans la section Partie de confiance prête à être ajoutée, puis vérifiez que l’option Ouvrir la boîte de dialogue Modifier les règles de revendication est sélectionnée.
Cela vous permet de modifier les règles de revendication lors d’une étape ultérieure.
-
Cliquez sur Fermer.
-
Cliquez sur Ajouter une règle.
-
Sélectionnez Envoyer les attributs LDAP en tant que revendications.
-
Cliquez sur Suivant pour afficher l’étape Configurer une règle de revendication.
-
Spécifiez les conditions minimales requises suivantes pour configurer la règle de revendication : (celles-ci vont dans l’ID de fédération dans la configuration de l’utilisateur ou de l’utilisatrice et sont utilisées pour identifier la personne qui se connecte).
table 0-row-2 1-row-2 2-row-2 3-row-2 html-authored no-header Nom de la règle de revendication Spécifiez un nom pour la règle de revendication. Par exemple, « Workfront ». Magasin d’attributs Sélectionnez Active Directory dans le menu déroulant. Attribut LDAP Il peut s’agir de n’importe quel type d’attribut. Nous vous recommandons d’utiliser SAM-Account-Name pour cet attribut. Type de revendication sortante Vous devez sélectionner Identifiant de nom comme type de revendication sortante. -
(Facultatif) Afin de mettre en place l’approvisionnement automatique, ajoutez les revendications supplémentaires suivantes dans l’attribut LDAP et dans le type de revendication sortante :
- Prénom
- Nom
- Adresse e-mail
-
Cliquez sur Terminé, puis sur OK sur l’écran suivant.
-
Cliquez avec le bouton droit de la souris sur la nouvelle Partie de confiance, puis sélectionnez Propriétés.
-
Sélectionnez l’onglet Avancé. Puis, dans Algorithme de hachage sécurisé, sélectionnez SHA-1 ou SHA-256.
note note NOTE L’option que vous sélectionnez pour l’algorithme de hachage sécurisé doit correspondre au champ Algorithme de hachage sécurisé dans Workfront situé dans Configuration > Système > Authentification unique (SSO). -
Poursuivez vers la section suivante Charger le fichier de métadonnées et tester la connexion.
Charger le fichier de métadonnées et tester la connexion upload-the-metadata-file-and-test-the-connection
-
Ouvrez un navigateur et accédez à
https://<yourserver>/FederationMetadata/2007-06/FederationMetadata.xml
.Cela doit lancer le téléchargement d’un fichier de métadonnées nommé FederationMetadata.xml.
-
Cliquez sur Choisir un fichier dans Renseigner les champs à partir des métadonnées du fournisseur d’identité et sélectionnez le fichier FederationMetadata.xml.
-
(Facultatif) Si les informations relatives au certificat n’ont pas été renseignées à l’aide du fichier de métadonnées, vous pouvez charger un autre fichier séparément. Sélectionnez Choisir un fichier dans la section Certificat.
-
Cliquez sur Tester la connexion. Si la configuration est correcte, vous devez voir apparaître une page similaire à celle présentée ci-dessous :
note note NOTE Si vous souhaitez mettre en place un mappage d’attributs, veillez à copier les attributs de la connexion de test dans le répertoire Attributs. Pour plus d’informations, voir Mappage des attributs des utilisateurs et des utilisatrices. -
Sélectionnez Exception pour les administrateurs et les administratrices pour permettre aux administrateurs et aux administratrices Workfront de se connecter à l’aide des informations d’identification de Workfront via l’URL de contournement.
Les marque-pages qui dirigent vers
<yourdomain>
.my.workfront.com/login contournent la redirection. -
Cochez la case Activer pour activer la configuration.
-
Cliquer sur Enregistrer.
À propos de la mise à jour des utilisateurs et des utilisatrices pour l’authentification unique
En suivant ce guide, le nom d’utilisateur ou d’utilisatrice pour l’authentification unique devient le nom d’utilisateur ou d’utilisatrice pour Active Directory.
En tant qu’administrateur ou administratrice Workfront, vous pouvez mettre à jour en masse les utilisateurs et les utilisatrices pour l’authentification unique. Pour plus d’informations sur la mise à jour des utilisateurs et des utilisatrices pour l’authentification unique, voir Mettre à jour les utilisateurs et les utilisatrices pour l’authentification unique.
En tant qu’administrateur ou administratrice Workfront, vous pouvez également attribuer manuellement un identifiant de fédération en modifiant le profil de l’utilisateur ou de l’utilisatrice et en renseignant le champ ID de fédération. Pour plus d’informations sur la modification d’un utilisateur ou d’une utilisatrice, voir Modifier le profil d’un utilisateur ou d’une utilisatrice.
<yourdomain>
.my.workfront.com/login).