You are not logged in.

Announcement

 Téléchargez la dernière version stable de GLPI      -     Et vous, que pouvez vous faire pour le projet GLPI ? :  Contribuer
 Download last stable version of GLPI                      -     What can you do for GLPI ? :  Contribute

#1 2019-05-26 09:59:52

Isia
Member
Registered: 2019-05-26
Posts: 96

Connexion automatique à GLPI via des fournisseurs externe

Bonjour à tous.

Voilà 2 semaines que je cherche désespérément comment connecter mes utilisateurs avec Azure Active directory, mais ce matin, j'y suis "presque" arrivé.

J'ai cherché du côté du LDAP, mais cela n'est pas ce que je veux car le LDAP utilise les informations de Windows.
J'ai cherché du côté du serveur de messagerie avec Office365, mais cela n'a pas fonctionné. {outlook. office365. com:993/imap/ssl/tls} Je n'ai pas les autorisations apparemment.

Ensuite je suis tombé pile sur ce que je voulais https : / / plugins.glpi-project. org /#/plugin/oauth, mais à 100€ / mois mon CDP, m'a dit non.

Et ensuite je suis tombé sur https : / / github.com/edgardmessias/glpi-singlesignon . Et là, miracle, le gars a fait un plugin qui correspond presque à ce que je veux. Je prend contact avec lui et il me répond que son plugin, se sert effectivement de requête pour Oauth2 mais que ça va chercher en BDD pour voir si l'utilisateur existe dans le client. Bref pas tout à fait ce que je veux.

Après quelques jours à chercher pour trouver le bon "Resource Owner Details URL" {https : / / graph.microsoft. com/v1.0/me/} (J'utilise graph sur Azure)
, puis la bonne URL de redirection "http : / / localhost/glpi3/plugins/singlesignon/front/callback.php/provider/1", (a régler dans le portail Azure)
et pour finir le bon scope {openid profile offline_access user.read calendars.read} pour les champs de son plugin, j'arrive à me connecter avec mes identifiants Azure à Glpi en créant manuellement tout de même un utilisateur dans la BDD de GLPI avec mon adresse mail.

Donc j'en suis là, et maintenant j'aimerai savoir comment créer un utilisateur à la voler, c'est à dire d'ajouter un utilisateur automatiquement la première fois qu'il se connecte à GLPI. J'ai vu que dans l'onglet "Authentification" il y a le réglage "Ajout automatique des utilisateurs à partir des sources externes d'authentification". Donc GLPI le gère mais comment? J'aimerai ajouter cette condition dans le plugin, mais quoi appeler ?

Merci d'avance et j'espère que mes explications permettront d'aider d'autres utilisateurs (A la fin, je partagerai le plugin modifié, sur mon github)

Last edited by Isia (2019-05-26 10:00:55)

Offline

#2 2020-02-05 15:02:38

ysabar
Member
Registered: 2020-02-05
Posts: 1

Re: Connexion automatique à GLPI via des fournisseurs externe

Bonjour isia,

J'ai trouvé ton poste très utile pour moi, je suis dans la même situation celai fait des mois que j'essaie de se connecter via SSO O365, et finalement j'ai tombé sur ton poste j'ai suivi ton exemple mais malgré cela je n'arrive pas, un message s'affiche dans le popup une fois je clique sur se connecter  "Utilisateur non autorisé à se connecter à GLPI " je ne sais pas si c'est un problème de configuration du plugin, voila la configuration (Version GLPI 9.4.5 ):

Nom: O365
Commentaires:    
SSO Type: Geniric   
Actif : Oui   
Client ID:    bc74622d-xxxx-xxxx-8f64-a175b1955492
Client Secret: EDB]y1xxxxxxx?[:6LilL/Fewrk
Scope: openid profile offline_access user.read calendars.read
Extra Options:
Authorize URL: https : //  login.microsoftonline.com/a9b4c26b-xxxx-xxxx-8xxx-c6c4701da3ea/oauth2/authorize
Access Token URL: https : // login.microsoftonline.com/a9b4c26b-xxxx-xxxx-xxxx-c6c4701da3ea/oauth2/token
Resource Owner Details URL: https : // graph.microsoft.com/v1.0/me/

Pour la création du compte O365 sur la base c'est authtype=1 et auths_id=0 ?

merci d'avance pour votre retour

Offline

#3 2020-02-14 16:26:57

rleez
Member
Registered: 2020-02-14
Posts: 1

Re: Connexion automatique à GLPI via des fournisseurs externe

Bonjour,

J'ai configuré la URL de redirection "http : / / localhost/plugins/singlesignon/front/callback.php/provider/1" sur Azure mais je tombe sur cette erreur :

AADSTS50011: The reply URL specified in the request does not match the reply URLs configured for the application: 'f26dxxxxxxxxxxxx-xxxxxxed5e7b'.

Merci pour vos réponses

Offline

#4 2020-04-24 15:54:07

nicor
Member
Registered: 2020-04-24
Posts: 1

Re: Connexion automatique à GLPI via des fournisseurs externe

Bonjour,

Je suis dans le même cas que vous tous.

@rleez j'ai eu également ce problème. Dans mon cas le site est derrière un reverse proxy. En frontal c'est du https par contre entre le reverse et le glpi c'etait du http simple.
J'ai pu voir avec l'application fiddler (capture de paquet http https) que l'url de redirection était au format http://(nom de domaine) alors que microsoft n'accepte que localhost en http.
J'ai simplement ajoute le support du https directement sur le serveur qui heberge le glpi et du coup l'url de retour était au format https://(nom de domaine)

@ysabar @isia je suis dans le même cas que vous. si vous avez trouvé une solution je suis preneur !
Je vais chercher de mon coté, si je trouve je vous ferrai un retour.

Merci !

Offline

#5 2020-06-04 17:43:09

grenier
Member
Registered: 2005-11-24
Posts: 70

Re: Connexion automatique à GLPI via des fournisseurs externe

Bonjour
Avez vous pu faire fonctionner glpi sur Azure avec SSO ?
Pour héberger glpi dans Azure, il est plus intéressant de le faire avec une vm linux ou avec les App Service ?
Merci pour votre réponse

Offline

#6 2020-10-15 13:13:29

flaluque
Member
Registered: 2020-10-15
Posts: 1

Re: Connexion automatique à GLPI via des fournisseurs externe

Bonjour,

J'ai réussi a faire fonctionner le plugin :  sur github.com : edgardmessias/glpi-singlesignon

J'ai avant tout ajouté le champ "mail" dans le code du plugin car l'api graph envoie ce champ : dans  inc/provider.class.php ligne 880 remplacer :
      $email_fields = ['email', 'e-mail', 'email-address'];
par :
     $email_fields = ['email', 'e-mail', 'email-address', 'mail'];


Ensuite coté plugin :

SSO Type : Generic
Client ID : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx (Application (client) ID a récuperer dans azure)
Client Secret : xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx (secret de l'application a récuperer dans azure)
Scope : email openid profile
Authorize URL : https://login.microsoftonline.com/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/oauth2/v2.0/authorize (il faut récuperer l'id du tenant Azure)
Access Token URL : https://login.microsoftonline.com/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/oauth2/v2.0/token (il faut récuperer l'id du tenant Azure)
Resource Owner Details URL : https://graph.microsoft.com/v1.0/me

Coté Azure, j'ai crée une App registration, de type Web.
la redirect URL est celle donnée par le plugin sso  : Callback URL, chez moi :

https://glpi.contoso.local/plugins/singlesignon/front/callback.php/provider/1

je lui ai crée un petit secret (comme évoqué plus haut)
enfin dans API permissions j'ai donné les droits sur Microsoft Graph :
email
offline_access
openid
profile
User.Read
   

Pour info, mes comptes sont crées sur le GLPI par synchro ldap. L'authentification se fait si le champ mail est bien renseigné.

Last edited by flaluque (2020-10-15 13:13:57)

Offline

#7 2021-02-26 18:23:57

julienqbo
Member
Registered: 2021-02-26
Posts: 1

Re: Connexion automatique à GLPI via des fournisseurs externe

Bonjour,

Je suis dans le même cas que @ysabar @isia @nicor
Je n'arrive pas à me connecter et j'ai Utilisateur non autorisé à se connecter à GLPI

Avez-vous trouvé une solution depuis ?
Merci

Offline

#8 2021-05-04 11:58:11

conserto
Member
Registered: 2021-05-04
Posts: 1

Re: Connexion automatique à GLPI via des fournisseurs externe

Bonjour,

J'ai exactement le même problème de "Utilisateur non autorisé à se connecter à GLPI". Que ce soit sur de l'Azure AD ou de l'ADFS. Avez-vous trouvez la solution ?
L'authentification se fait bien et après ça tombe sur ce message.

Merci d'avance

Offline

#9 2021-10-15 12:11:31

lermit
Member
Registered: 2020-08-03
Posts: 3

Re: Connexion automatique à GLPI via des fournisseurs externe

Bonjour,

Si vous cherchez encore, la solution est simple. Il faut ajouter le scope "User.Read"

donc en reprennent la configuration de dessus voici ce que ça donne

SSO Type : Generic
Client ID : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx (Application (client) ID a récuperer dans azure)
Client Secret : xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx (secret de l'application a récuperer dans azure)
Scope : email openid profile User.Read
Authorize URL : https://login.microsoftonline.com/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/oauth2/v2.0/authorize (il faut récuperer l'id du tenant Azure)
Access Token URL : https://login.microsoftonline.com/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/oauth2/v2.0/token (il faut récuperer l'id du tenant Azure)
Resource Owner Details URL : https://graph.microsoft.com/v1.0/me

j'espère que ça vous aidera.

Offline

#10 2021-11-28 02:09:50

banzai3020
Member
Registered: 2021-11-28
Posts: 1

Re: Connexion automatique à GLPI via des fournisseurs externe

Bonjour,

Je persiste mais je reste bloqué sur ce problème de "Utilisateur non autorisé à se connecter à GLPI".
J'ai créé un utilisateur avec pour adresse email la même que celle du compte Azure correspondant.

L'authentification avec Azure se fait correctement mais après la redirection j'ai ce fameux message d'erreur qui m'indique "Utilisateur non autorisé à se connecter à GLPI".

Auriez-vous une idée svp ou un peu de temps pour m'aider à identifier le problème.
J'ai effectué les autorisations API côté Azure et en Scope j'ai bien mis "email openid profile User.Read"

Merci par avance wink

Offline

#11 2021-12-01 08:36:04

Julien.Garrido
Member
Registered: 2019-12-23
Posts: 97

Re: Connexion automatique à GLPI via des fournisseurs externe

Bonjour,

Le message est sur l'IHM Web de GLPI? Tu as bien une règle qui affecte à la fois un profil et une entité à cet utilisateur?
Ca ressemble à une authentification réussie mais l'utilisateur n'a ni profil ni entité donc il se fait jeter.

Last edited by Julien.Garrido (2021-12-01 08:36:40)

Offline

#12 2022-06-09 15:25:36

sachawolf
Member
Registered: 2021-01-18
Posts: 1

Re: Connexion automatique à GLPI via des fournisseurs externe

Bonjour à tous,
Même galère avec le fameux : "Utilisateur non autorisé à se connecter à GLPI"
J'ai pris en test mon utilisateur AzureAD, compte créé compte avec habilitation Admin(R) sur l'entité root de GLPI.
Bref, pas compris.
Si certains ont trouvé des solutions je suis preneur

Offline

#13 2022-11-01 20:37:19

raphou20
Member
Registered: 2016-09-04
Posts: 18

Re: Connexion automatique à GLPI via des fournisseurs externe

Bonsoir a tous,

Moi j'ai bien tout configuré mais je reste sur ce message d'erreur :

AADSTS50011: The redirect URI 'https://support.dentego.fr/glpi/plugins … provider/2' specified in the request does not match the redirect URIs configured for the application '3948d36b-8e75-4d1c-9f6e-XXXX'. Make sure the redirect URI sent in the request matches one added to your application in the Azure portal. Navigate to https://aka.ms/redirectUriMismatchError to learn more about how to fix this

Alors que coté Microsoft :

Redirect URIs

The URIs we will accept as destinations when returning authentication responses (tokens) after successfully authenticating or signing out users. The redirect URI you send in the request to the login server should match one listed here. Also referred to as reply URLs. Learn more about Redirect URIs and their restrictions

https://support.dentego.fr/glpi/plugins … provider/2


Si qqn a une idée

Merci,

Last edited by raphou20 (2022-11-01 22:03:08)

Offline

#14 2024-02-20 18:43:09

VirgileL
Member
Registered: 2024-02-20
Posts: 1

Re: Connexion automatique à GLPI via des fournisseurs externe

Salut,

j'ai aussi galéré à installer un plugin d'authentification avec O365, et si je n'ai pas trouvé le plugin modifié de Isia, je suis tombé sur une autre version en portugais, mais fonctionnelle et avec l'ajout automatique d'utilisateur sur GitHub (utilisateur mateusassis02, plugin glpi-singlesignon) (désolé je n'ai pas le droit de mettre des liens..)
Je l'ai installé sur une 10.0.12 tout fraiche.

Ce plugin a aussi le mérite de proposer un guide d'installation très précis.

Merci à tous pour vos explications smile

Offline

Board footer

Powered by FluxBB