You are not logged in.
Bonjour à tous.
Voilà 2 semaines que je cherche désespérément comment connecter mes utilisateurs avec Azure Active directory, mais ce matin, j'y suis "presque" arrivé.
J'ai cherché du côté du LDAP, mais cela n'est pas ce que je veux car le LDAP utilise les informations de Windows.
J'ai cherché du côté du serveur de messagerie avec Office365, mais cela n'a pas fonctionné. {outlook. office365. com:993/imap/ssl/tls} Je n'ai pas les autorisations apparemment.
Ensuite je suis tombé pile sur ce que je voulais https : / / plugins.glpi-project. org /#/plugin/oauth, mais à 100€ / mois mon CDP, m'a dit non.
Et ensuite je suis tombé sur https : / / github.com/edgardmessias/glpi-singlesignon . Et là, miracle, le gars a fait un plugin qui correspond presque à ce que je veux. Je prend contact avec lui et il me répond que son plugin, se sert effectivement de requête pour Oauth2 mais que ça va chercher en BDD pour voir si l'utilisateur existe dans le client. Bref pas tout à fait ce que je veux.
Après quelques jours à chercher pour trouver le bon "Resource Owner Details URL" {https : / / graph.microsoft. com/v1.0/me/} (J'utilise graph sur Azure)
, puis la bonne URL de redirection "http : / / localhost/glpi3/plugins/singlesignon/front/callback.php/provider/1", (a régler dans le portail Azure)
et pour finir le bon scope {openid profile offline_access user.read calendars.read} pour les champs de son plugin, j'arrive à me connecter avec mes identifiants Azure à Glpi en créant manuellement tout de même un utilisateur dans la BDD de GLPI avec mon adresse mail.
Donc j'en suis là, et maintenant j'aimerai savoir comment créer un utilisateur à la voler, c'est à dire d'ajouter un utilisateur automatiquement la première fois qu'il se connecte à GLPI. J'ai vu que dans l'onglet "Authentification" il y a le réglage "Ajout automatique des utilisateurs à partir des sources externes d'authentification". Donc GLPI le gère mais comment? J'aimerai ajouter cette condition dans le plugin, mais quoi appeler ?
Merci d'avance et j'espère que mes explications permettront d'aider d'autres utilisateurs (A la fin, je partagerai le plugin modifié, sur mon github)
Last edited by Isia (2019-05-26 10:00:55)
Offline
Bonjour isia,
J'ai trouvé ton poste très utile pour moi, je suis dans la même situation celai fait des mois que j'essaie de se connecter via SSO O365, et finalement j'ai tombé sur ton poste j'ai suivi ton exemple mais malgré cela je n'arrive pas, un message s'affiche dans le popup une fois je clique sur se connecter "Utilisateur non autorisé à se connecter à GLPI " je ne sais pas si c'est un problème de configuration du plugin, voila la configuration (Version GLPI 9.4.5 ):
Nom: O365
Commentaires:
SSO Type: Geniric
Actif : Oui
Client ID: bc74622d-xxxx-xxxx-8f64-a175b1955492
Client Secret: EDB]y1xxxxxxx?[:6LilL/Fewrk
Scope: openid profile offline_access user.read calendars.read
Extra Options:
Authorize URL: https : // login.microsoftonline.com/a9b4c26b-xxxx-xxxx-8xxx-c6c4701da3ea/oauth2/authorize
Access Token URL: https : // login.microsoftonline.com/a9b4c26b-xxxx-xxxx-xxxx-c6c4701da3ea/oauth2/token
Resource Owner Details URL: https : // graph.microsoft.com/v1.0/me/
Pour la création du compte O365 sur la base c'est authtype=1 et auths_id=0 ?
merci d'avance pour votre retour
Offline
Bonjour,
J'ai configuré la URL de redirection "http : / / localhost/plugins/singlesignon/front/callback.php/provider/1" sur Azure mais je tombe sur cette erreur :
AADSTS50011: The reply URL specified in the request does not match the reply URLs configured for the application: 'f26dxxxxxxxxxxxx-xxxxxxed5e7b'.
Merci pour vos réponses
Offline
Bonjour,
Je suis dans le même cas que vous tous.
@rleez j'ai eu également ce problème. Dans mon cas le site est derrière un reverse proxy. En frontal c'est du https par contre entre le reverse et le glpi c'etait du http simple.
J'ai pu voir avec l'application fiddler (capture de paquet http https) que l'url de redirection était au format http://(nom de domaine) alors que microsoft n'accepte que localhost en http.
J'ai simplement ajoute le support du https directement sur le serveur qui heberge le glpi et du coup l'url de retour était au format https://(nom de domaine)
@ysabar @isia je suis dans le même cas que vous. si vous avez trouvé une solution je suis preneur !
Je vais chercher de mon coté, si je trouve je vous ferrai un retour.
Merci !
Offline
Bonjour
Avez vous pu faire fonctionner glpi sur Azure avec SSO ?
Pour héberger glpi dans Azure, il est plus intéressant de le faire avec une vm linux ou avec les App Service ?
Merci pour votre réponse
Offline
Bonjour,
J'ai réussi a faire fonctionner le plugin : sur github.com : edgardmessias/glpi-singlesignon
J'ai avant tout ajouté le champ "mail" dans le code du plugin car l'api graph envoie ce champ : dans inc/provider.class.php ligne 880 remplacer :
$email_fields = ['email', 'e-mail', 'email-address'];
par :
$email_fields = ['email', 'e-mail', 'email-address', 'mail'];
Ensuite coté plugin :
SSO Type : Generic
Client ID : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx (Application (client) ID a récuperer dans azure)
Client Secret : xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx (secret de l'application a récuperer dans azure)
Scope : email openid profile
Authorize URL : https://login.microsoftonline.com/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/oauth2/v2.0/authorize (il faut récuperer l'id du tenant Azure)
Access Token URL : https://login.microsoftonline.com/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/oauth2/v2.0/token (il faut récuperer l'id du tenant Azure)
Resource Owner Details URL : https://graph.microsoft.com/v1.0/me
Coté Azure, j'ai crée une App registration, de type Web.
la redirect URL est celle donnée par le plugin sso : Callback URL, chez moi :
https://glpi.contoso.local/plugins/singlesignon/front/callback.php/provider/1
je lui ai crée un petit secret (comme évoqué plus haut)
enfin dans API permissions j'ai donné les droits sur Microsoft Graph :
email
offline_access
openid
profile
User.Read
Pour info, mes comptes sont crées sur le GLPI par synchro ldap. L'authentification se fait si le champ mail est bien renseigné.
Last edited by flaluque (2020-10-15 13:13:57)
Offline
Bonjour,
Je suis dans le même cas que @ysabar @isia @nicor
Je n'arrive pas à me connecter et j'ai Utilisateur non autorisé à se connecter à GLPI
Avez-vous trouvé une solution depuis ?
Merci
Offline
Bonjour,
J'ai exactement le même problème de "Utilisateur non autorisé à se connecter à GLPI". Que ce soit sur de l'Azure AD ou de l'ADFS. Avez-vous trouvez la solution ?
L'authentification se fait bien et après ça tombe sur ce message.
Merci d'avance
Offline
Bonjour,
Si vous cherchez encore, la solution est simple. Il faut ajouter le scope "User.Read"
donc en reprennent la configuration de dessus voici ce que ça donne
SSO Type : Generic
Client ID : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx (Application (client) ID a récuperer dans azure)
Client Secret : xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx (secret de l'application a récuperer dans azure)
Scope : email openid profile User.Read
Authorize URL : https://login.microsoftonline.com/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/oauth2/v2.0/authorize (il faut récuperer l'id du tenant Azure)
Access Token URL : https://login.microsoftonline.com/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/oauth2/v2.0/token (il faut récuperer l'id du tenant Azure)
Resource Owner Details URL : https://graph.microsoft.com/v1.0/me
j'espère que ça vous aidera.
Offline
Bonjour,
Je persiste mais je reste bloqué sur ce problème de "Utilisateur non autorisé à se connecter à GLPI".
J'ai créé un utilisateur avec pour adresse email la même que celle du compte Azure correspondant.
L'authentification avec Azure se fait correctement mais après la redirection j'ai ce fameux message d'erreur qui m'indique "Utilisateur non autorisé à se connecter à GLPI".
Auriez-vous une idée svp ou un peu de temps pour m'aider à identifier le problème.
J'ai effectué les autorisations API côté Azure et en Scope j'ai bien mis "email openid profile User.Read"
Merci par avance
Offline
Bonjour,
Le message est sur l'IHM Web de GLPI? Tu as bien une règle qui affecte à la fois un profil et une entité à cet utilisateur?
Ca ressemble à une authentification réussie mais l'utilisateur n'a ni profil ni entité donc il se fait jeter.
Last edited by Julien.Garrido (2021-12-01 08:36:40)
Offline
Bonjour à tous,
Même galère avec le fameux : "Utilisateur non autorisé à se connecter à GLPI"
J'ai pris en test mon utilisateur AzureAD, compte créé compte avec habilitation Admin(R) sur l'entité root de GLPI.
Bref, pas compris.
Si certains ont trouvé des solutions je suis preneur
Offline
Bonsoir a tous,
Moi j'ai bien tout configuré mais je reste sur ce message d'erreur :
AADSTS50011: The redirect URI 'https://support.dentego.fr/glpi/plugins … provider/2' specified in the request does not match the redirect URIs configured for the application '3948d36b-8e75-4d1c-9f6e-XXXX'. Make sure the redirect URI sent in the request matches one added to your application in the Azure portal. Navigate to https://aka.ms/redirectUriMismatchError to learn more about how to fix this
Alors que coté Microsoft :
Redirect URIs
The URIs we will accept as destinations when returning authentication responses (tokens) after successfully authenticating or signing out users. The redirect URI you send in the request to the login server should match one listed here. Also referred to as reply URLs. Learn more about Redirect URIs and their restrictions
https://support.dentego.fr/glpi/plugins … provider/2
Si qqn a une idée
Merci,
Last edited by raphou20 (2022-11-01 22:03:08)
Offline
Salut,
j'ai aussi galéré à installer un plugin d'authentification avec O365, et si je n'ai pas trouvé le plugin modifié de Isia, je suis tombé sur une autre version en portugais, mais fonctionnelle et avec l'ajout automatique d'utilisateur sur GitHub (utilisateur mateusassis02, plugin glpi-singlesignon) (désolé je n'ai pas le droit de mettre des liens..)
Je l'ai installé sur une 10.0.12 tout fraiche.
Ce plugin a aussi le mérite de proposer un guide d'installation très précis.
Merci à tous pour vos explications
Offline