You are not logged in.

Announcement

 Téléchargez la dernière version stable de GLPI      -     Et vous, que pouvez vous faire pour le projet GLPI ? :  Contribuer
 Download last stable version of GLPI                      -     What can you do for GLPI ? :  Contribute

#1 2013-04-02 16:56:53

berserker
Member
From: Toulouse
Registered: 2009-09-15
Posts: 160

Authentification SAML (ADFS etc...)

Bonjour,

Je me demandais s'il était envisageable d'intégrer SAML dans GLPI.

SAML permet l’authentification (avec ou sans SSO) fédérée avec différents annuaires externes et non accessibles en LDAP directement.

C'est de plus en plus utilisé par les les différentes applis web (ak. Joomla, Google App, Office 365 etc....).

Cela permettrai entre autre une authentification à travers Internet et sans mise en place de VPN pour accéder à un LDAP ou Active Directory.

Active Directory dispose d'ailleurs d'un module SAML : ADFS (Active Directort Federation Service 2.0).

Certaines librairies sont disponibles pour une mise en place rapide sous Php :http://simplesamlphp.org/

Merci d'avance de votre retour


GLPI : 9.1.6 - OCS : 2.1.2
Plateforme : Windows Server 2008R2 Standard Edition Service Pack 1
Apache/2.2.31 (Win32) mod_ssl/2.2.31 OpenSSL/1.0.1p PHP/5.4.45 mod_perl/2.0.8 Perl/v5.16.3 ()
MySQL: 5.7.10-log

Offline

#2 2013-04-19 15:21:27

MoYo
GLPI - Lead
From: Poitiers
Registered: 2004-09-13
Posts: 14,513
Website

Re: Authentification SAML (ADFS etc...)

L'idée semble intéressante.
Je créé un ticket : https://forge.indepnet.net/issues/4320

Par contre je ne vois pas trop comment nous pourrions mettre en place cela sans plateforme de test.
Si vous avez des idées de plateforme simple à mettre en place


MoYo - Julien Dombre - Association INDEPNET
Contribute to GLPI :    Support     Contribute     References     Freshmeat

Offline

#3 2013-04-22 11:39:29

berserker
Member
From: Toulouse
Registered: 2009-09-15
Posts: 160

Re: Authentification SAML (ADFS etc...)

Pour la plateforme de test, il suffit d'un contrôleur Active Directory 2008 R2 il me semble. ADFS est un rôle à rajouter.

Si besoin que je le mette en place, je regarderai comment faire cela rapidement.

Autre gros avantage de cette solution : plus besoin de mod_auth_sspi ou mod_ntlm, donc une installation plus aisée pour nombre d'entre nous wink


GLPI : 9.1.6 - OCS : 2.1.2
Plateforme : Windows Server 2008R2 Standard Edition Service Pack 1
Apache/2.2.31 (Win32) mod_ssl/2.2.31 OpenSSL/1.0.1p PHP/5.4.45 mod_perl/2.0.8 Perl/v5.16.3 ()
MySQL: 5.7.10-log

Offline

#4 2013-08-23 08:39:08

jpsuter
Member
Registered: 2013-08-23
Posts: 1

Re: Authentification SAML (ADFS etc...)

Il n'y à rien à développer, j'ai mis en place une authentification SAML2 dans notre système GLPI, j'utilise le module auth_mellon avec apache (configuration similaire a sspi), puis j'active la configuration "authentification externe" dans GLPI avec "REMOTE_USER". côté federation, j'utilise SAP, mais ça marche aussi avec OpenAM (donc certainement également avec shibbolet).
ADFS est peut-être une variante possible, mais je n'utilise windows que sous la contrainte.

Offline

#5 2013-08-23 08:45:12

cartesimrefusee
Member
Registered: 2005-12-19
Posts: 79

Re: Authentification SAML (ADFS etc...)

jpsuter wrote:

Il n'y à rien à développer, j'ai mis en place une authentification SAML2 dans notre système GLPI, j'utilise le module auth_mellon avec apache (configuration similaire a sspi), puis j'active la configuration "authentification externe" dans GLPI avec "REMOTE_USER". côté federation, j'utilise SAP, mais ça marche aussi avec OpenAM (donc certainement également avec shibbolet).
ADFS est peut-être une variante possible, mais je n'utilise windows que sous la contrainte.

Tu peux nous en dire plus s'il te plait ?


GLPI 9.2.1 - FusionInventory 9.1+1.0 / Agent v2.3.10.1 - Serveur W2k8R2 - Apache 2.2.21 - PhP 5.6.32 - MySql 5.7.20

Offline

#6 2013-08-23 09:58:32

ddurieux
Plugins Dev
From: Propières, France
Registered: 2005-06-17
Posts: 7,521

Re: Authentification SAML (ADFS etc...)

Et en 0.84, tu peux récupérer les infos issues de ces authentifications externes (nom, prénom, email....) si tu n'as pas d'annuaire branché à GLPI (dans le cas ou t'as pluisuers annuaires avec les identifiants non unique sur l'ensemble de tes annuaires)

Offline

#7 2013-08-23 10:25:08

cartesimrefusee
Member
Registered: 2005-12-19
Posts: 79

Re: Authentification SAML (ADFS etc...)

Merci, faut vraiment que je teste la 0.84 big_smile


GLPI 9.2.1 - FusionInventory 9.1+1.0 / Agent v2.3.10.1 - Serveur W2k8R2 - Apache 2.2.21 - PhP 5.6.32 - MySql 5.7.20

Offline

#8 2014-01-20 17:09:11

berserker
Member
From: Toulouse
Registered: 2009-09-15
Posts: 160

Re: Authentification SAML (ADFS etc...)

jpsuter wrote:

Il n'y à rien à développer, j'ai mis en place une authentification SAML2 dans notre système GLPI, j'utilise le module auth_mellon avec apache (configuration similaire a sspi), puis j'active la configuration "authentification externe" dans GLPI avec "REMOTE_USER". côté federation, j'utilise SAP, mais ça marche aussi avec OpenAM (donc certainement également avec shibbolet).
ADFS est peut-être une variante possible, mais je n'utilise windows que sous la contrainte.

Je déterre un peu, mais pas eu beaucoup de temps pour me connecter au forum ces derniers mois !

Donc vis a vis de l'idée d'utiliser un module pour Apache, la problèmatique est qu'on se repose sur un composant externe.

Si on pouvait être autonome la dessus cela serait bcp mieux !


GLPI : 9.1.6 - OCS : 2.1.2
Plateforme : Windows Server 2008R2 Standard Edition Service Pack 1
Apache/2.2.31 (Win32) mod_ssl/2.2.31 OpenSSL/1.0.1p PHP/5.4.45 mod_perl/2.0.8 Perl/v5.16.3 ()
MySQL: 5.7.10-log

Offline

#9 2018-06-20 17:37:44

garfius
Member
Registered: 2018-06-20
Posts: 1

Re: Authentification SAML (ADFS etc...)

jpsuter wrote:

Il n'y à rien à développer, j'ai mis en place une authentification SAML2 dans notre système GLPI, j'utilise le module auth_mellon avec apache (configuration similaire a sspi), puis j'active la configuration "authentification externe" dans GLPI avec "REMOTE_USER". côté federation, j'utilise SAP, mais ça marche aussi avec OpenAM (donc certainement également avec shibbolet).
ADFS est peut-être une variante possible, mais je n'utilise windows que sous la contrainte.


Epic win, it worked like a charm.

Just used MELLON_*** $_server variables

SSO on glpi rules wink

Offline

#10 2018-08-09 22:32:46

robertocarlos.floresh
Moderator
From: San Salvador, El Salvador
Registered: 2014-12-29
Posts: 254

Re: Authentification SAML (ADFS etc...)

Hi... which file it is?? or where is located??

May you help me??

garfius wrote:
jpsuter wrote:

Il n'y à rien à développer, j'ai mis en place une authentification SAML2 dans notre système GLPI, j'utilise le module auth_mellon avec apache (configuration similaire a sspi), puis j'active la configuration "authentification externe" dans GLPI avec "REMOTE_USER". côté federation, j'utilise SAP, mais ça marche aussi avec OpenAM (donc certainement également avec shibbolet).
ADFS est peut-être une variante possible, mais je n'utilise windows que sous la contrainte.


Epic win, it worked like a charm.

Just used MELLON_*** $_server variables

SSO on glpi rules wink


Roberto Flores
Telegram: @rcfloresh

Grupo de GLPI Español (Telegram): https://t.me/glpisp   // Discord: https://discord.gg/NXwp2UjC

Offline

#11 2018-08-10 09:33:15

orthagh
Administrator
From: TECLIB - CAEN
Registered: 2010-11-30
Posts: 662
Website

Re: Authentification SAML (ADFS etc...)

it's an external project, see: https://www.google.fr/search?q=mod_auth … e&ie=UTF-8
It's a module for apache which do the saml auth like ntlm auth, so system configuration.
Glpi just need to know the header where is located the user login (set it up in Setup > Authentication > other authentication method)

Offline

#12 2018-10-17 16:18:40

ChrisADM
Member
Registered: 2018-10-11
Posts: 7

Re: Authentification SAML (ADFS etc...)

J'ai utilisé auth_mellon pour faire du SSO SAML avec un Azure AD.

Ca fonctionne parfaitement, un peu dur à paramétrer mais ça fonctionne !

Offline

#13 2018-11-17 19:43:40

ajabol
Member
Registered: 2017-12-04
Posts: 5

Re: Authentification SAML (ADFS etc...)

@ChrisAdm: pourrais-tu me dire commment tu as  fait pour le SAML avec Azure AD. Je ne trouve aucune doc à ce sujet. Ton aide serait précieuse. Merci!

Offline

#14 2018-11-23 19:43:52

Cédric-gge
Member
Registered: 2018-11-23
Posts: 2

Re: Authentification SAML (ADFS etc...)

Bonjour,

Je déterre un peu le sujet car il m'intéresse beaucoup, je suis actuellement en train de tenter de migrer l'authentification d'un glpi existant utilisant du ldap sur un AD, vers du saml2 avec onelogin.

Pour l'instant il se passe un aller retour sans fin entre le serveur sur lequel j'ai dupliqué glpi et celui qui fournit l'identité après que je me sois identifié sur celui-ci.
Apache réponds un code 303 ("POST /glpi/ HTTP/1.1" 303).

J'ai surement manqué quelque chose sur la configuration du mod_auth_mellon ou dans celle de glpi, donc un pu d'aide serait plus que bienvenue.

Merci beaucoup wink

Offline

#15 2018-11-26 11:50:14

robtou12
Member
Registered: 2018-10-05
Posts: 16

Re: Authentification SAML (ADFS etc...)

@ChrisADM Ton aide me serait bien précieuse également wink

Offline

#16 2018-12-04 16:25:38

Cédric-gge
Member
Registered: 2018-11-23
Posts: 2

Re: Authentification SAML (ADFS etc...)

Hello again,

A force de creuser j'ai fini par m'en sortir.
Je crois que c'est cette doc qui m'a le plus aidée : saml sso apache

Comme j'ai pas mal galéré, j'espère que ça pourra vous aider.

Last edited by Cédric-gge (2018-12-04 16:27:05)

Offline

#17 2018-12-07 12:10:10

GLPIM
Member
Registered: 2018-12-07
Posts: 1

Re: Authentification SAML (ADFS etc...)

Bonjour,

Je viens me greffer sur cet échange car c'est le topic qui se rapproche le plus de mon cas :
J'ai actuellement installer GLPI v9.3 sur une machine Windows Server 2016, elle même hébergée sur un serveur Azure. J'y accède (à mon site GLPI) donc par internet, aucun soucis. Cependant, Je dois maintenant raccorder cette application à OKTA (ce n'est pas moi qui est en charge). Donc pour ce faire, on m'a demandé de remplir un formulaire "OKTA SAML". Sur ce formulaire je dois renseigner notamment l' " ENTITY ID SAML". J'en déduis donc que l'installation du module SAML sur mon application est obligatoire. 
Je cherche ainsi à installer et configurer ce protocole SAML sur mon application.

Comment dois-je procéder ?


J'ai essayé d'installer le plugin "fp-saml" dispo dans la librairie plugins GLPI (avec les différentes recommandation Composer etc.) mais le plugins n’apparaît même pas dans la rubrique PLUGIN de mon site.

Je tiens à préciser que j'ai bien modifier la conditions sur les version dans setup.php en :
if (version_compare(GLPI_VERSION, '0.84', 'lt') || version_compare(GLPI_VERSION, '9.4.0', 'gt')) {


D'autre part, comment dois-je configurer le fichier conf.php ? Que dois-je y ajouter ? y enlever ?


  Merci d'avance pour votre réponse

Offline

#18 2018-12-28 11:52:43

robtou12
Member
Registered: 2018-10-05
Posts: 16

Re: Authentification SAML (ADFS etc...)

@Cédric-gge Idem, GLPI fonctionnel avec authentification ADFS Azure et SSO activé puis redirection direct sans log supplémentaires dans GLPI + SSL avec certificat intégré actif.
J'ai pris des semaines à tout mettre en place, je dirais que la doc qui m'a le plus aidé est celle-ci : https://www.techsupportpk.com/2018/05/s … mment-form
Puis vient celle-ci : https://blog.piservices.fr/post/2017/04 … r-un-linux
Si je peux aidé quelqu'un sur ce sujet, n'hésitez pas ! wink

Offline

#19 2018-12-31 16:04:50

robtou12
Member
Registered: 2018-10-05
Posts: 16

Re: Authentification SAML (ADFS etc...)

@GLPIM Le module que tu as évoqué n'est plus disponible / mis à jour, cependant à l'aide d'une machine Debian tu peux héberger GLPI et communiquer via l'ADFS/Azure grâce à un module installable -> mod_auth_mellon.
En espérant t'avoir aidé ! wink

Offline

#20 2019-05-07 14:32:00

Guill
Member
Registered: 2019-05-07
Posts: 1

Re: Authentification SAML (ADFS etc...)

J'essaye sans succès de faire fonctionner l'authentification SAML avec auth Mellon et ADFS.

Quelqu'un qui a réussi pourrait-il m'expliquer un peu en détail les paramètres à utiliser ?

Merci

Offline

#21 2019-05-07 16:04:20

richard.blade
Member
Registered: 2017-03-03
Posts: 67

Re: Authentification SAML (ADFS etc...)

Bonjour à tous,

je suis dans la même galère ...

Ma direction me demande de mettre en place un SSO entre l'Office 365 et le serveur GLPI qui est une VM sous Linux.

Je vous avoue qu'un p'tit tuto serait le bien venu...

Merci d'avance.


Glpi 9.4.2
MYSQL V14.14 distrib 5.7.25
Apache 2.4.7
Ubuntu 14.04.6 LTS

Offline

#22 2019-05-27 14:13:40

robtou12
Member
Registered: 2018-10-05
Posts: 16

Re: Authentification SAML (ADFS etc...)

https://1drv.ms/b/s!AlQR0-8AYHckmVwaG3L4DzmbY2nu

Voilà, en espérant vous avoir aidé !

Last edited by robtou12 (2019-06-17 09:56:37)

Offline

#23 2019-06-19 09:14:01

Isia
Member
Registered: 2019-05-26
Posts: 96

Re: Authentification SAML (ADFS etc...)

Salut à tous !
Moi aussi j'ai été confronté à la demande de mon entreprise d'intégrer un SSO lié avec Office365 pour GLPI.

J'ai vu qu'il existe un plugin qui fait cela mais payant et très chère.

Du coup j'ai développé mon propre plugin qui gère cela : https://github.com/virtazp/glpi-connect_azure
Il vous permettra de mettre en place le SSO avec Oauth2, en modifiant les valeurs des variables dans le fichier provider.class.php du plugin.
Il faudra également rajouter un appel de méthode dans le fichier glpi/front/logout.php : line 83 : PluginAzureProvider::logoutCookie();

A ceux qui développe un peu , il est adaptable facilement pour Facebook, Google, etc...

Offline

#24 2019-06-19 11:16:29

robtou12
Member
Registered: 2018-10-05
Posts: 16

Re: Authentification SAML (ADFS etc...)

@Isia Bien joué, je vais pas tester ton plugin car j'en ai pas l'utilité mais merci à toi de permettre au futur utilisateurs de gagner un temps considérable wink.

Offline

#25 2019-06-19 12:24:36

Isia
Member
Registered: 2019-05-26
Posts: 96

Re: Authentification SAML (ADFS etc...)

Oui j'aime bien quand les gens partage leur travail donc je fais de même smile
J'ai rajouté une minuscule documentation sur le github pour aider en plus.
Le plugin sera plus évolué dans un avenir proche, mais il est opérationnel en attendant.

Offline

Board footer

Powered by FluxBB