Clever Geek Handbook

Intégration SAML dans Zimbra OSE

La technologie d'authentification unique présente de nombreux avantages par rapport aux méthodes d'authentification classiques, le principal étant que l'authentification unique offre le meilleur équilibre entre la commodité de l'utilisateur et la sécurité des informations de l'entreprise. Nous avons précédemment expliqué comment implémenter SSO dans Zimbra OSE lors de l'utilisation de l'authentification Active Directory à l'aide de Kerberos. Cette fois, nous allons parler de la façon d'implémenter Zimbra OSE une autre technologie d'authentification unique - SAML en utilisant l'exemple du fournisseur Okta.



image



SAML SSO dans Zimbra OSE n'est disponible que pour les utilisateurs de Zextras Suite Pro.



Préparation à l'intégration



Tout d'abord, pour activer l'intégration SAML, vous devez patcher NGINX. Pour cela, dans le dossier /opt/zimbra/conf/nginx/templates/, éditez les fichiers un par un :



  • nginx.conf.web.http.default.template
  • nginx.conf.web.http.template
  • nginx.conf.web.https.default.template
  • nginx.conf.web.https.template


Dans tous les fichiers Ă  l' emplacement ^ ~ / zx / section, remplacez le contenu par 



location ^~ /zx/

{

proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

proxy_set_header Host $http_host;

proxy_set_header X-Forwarded-Proto $scheme;

proxy_set_header X-Forwarded-Port $server_port;

proxy_pass ${web.upstream.zx};

}


Ces modifications sont nécessaires pour composer des URL de protocole X et X-Port complÚtes.



Il est Ă©galement nĂ©cessaire d'activer le moteur d'authentification Zextras au niveau du domaine. Cela peut ĂȘtre fait par l'administrateur du serveur en entrant la commande zmprov modifyDomain example.ru zimbraAuthMech custom: zx dans la ligne de commande .



Créer une application dans Okta



Dans le cas oĂč vous n'auriez jamais utilisĂ© SAML pour accĂ©der aux ressources de l'entreprise, vous devrez crĂ©er votre propre application d'authentification des utilisateurs. Pour crĂ©er une telle application dans Okta :



1. Inscrivez-vous en tant que développeur sur okta.com



2. Dans votre compte personnel, cliquez sur le bouton « Créer une intégration d'applications »







3. Dans la liste qui s'ouvre, sélectionnez SAML 2.0 et cliquez sur Suivant







4. Dans la fenĂȘtre suivante, spĂ©cifiez un nom pour votre application, sĂ©lectionnez une icĂŽne et dĂ©finissez sa visibilitĂ© et cliquez sur Suivant lorsque tout est prĂȘt







. 5. Dans la fenĂȘtre suivante :



  1. Spécifiez l'adresse de votre serveur avec appendix / zx / auth / saml comme URL SSO
  2. Pour l'URI Audiend, précisez l'adresse de votre serveur avec l'annexe / zx / auth / samlMetadata
  3. DĂ©finissez le format d'identification du nom sur EmailAddress
  4. Cliquez sur Suivant






6. Dans la mini-enquĂȘte, sĂ©lectionnez la premiĂšre option de rĂ©ponse et cliquez sur Terminer







7. Téléchargez les métadonnées de votre application SAML







Si vous avez déjà votre application dans Okta, téléchargez simplement votre fichier de métadonnées d'application.



Exporter des comptes depuis un domaine Zimbra OSE



L'application SAML prend en charge à la fois la création de nouveaux comptes et l'importation de comptes existants depuis Zimbra. Pour importer des comptes, vous devez d'abord les exporter depuis Zimbra au format .csv.



Pour exporter des comptes, accĂ©dez Ă  la console d'administration Zimbra, accĂ©dez Ă  l'onglet Rechercher et recherchez les utilisateurs avec le nom de domaine dans la requĂȘte de recherche. Le rĂ©sultat de la recherche sera une liste complĂšte des utilisateurs du domaine, qui peut ĂȘtre tĂ©lĂ©chargĂ©e au format CSV en cliquant sur l'icĂŽne "ParamĂštres supplĂ©mentaires" dans le coin supĂ©rieur droit et en sĂ©lectionnant la section "TĂ©lĂ©charger".







Importez le fichier CSV reçu dans l'application SAML en utilisant l'outil approprié dans le compte personnel du développeur.



Intégration de l'application dans Zimbra OSE



Pour intégrer une application SAML dans Zimbra OSE, vous avez besoin des données du fichier de métadonnées d'application précédemment téléchargé.



L'intégration peut se faire automatiquement en spécifiant simplement l'emplacement du fichier avec les métadonnées dans les paramÚtres, ou manuellement en ajoutant toutes les données nécessaires au fichier de configuration.



Pour effectuer l'intégration automatique, entrez la commande zxsuite auth saml import example.ru url dev-3299935.okta.com/app/exkvjcggn7C7jrhc75d6/sso/saml/metadata . Si vous utilisez votre propre serveur SAML avec des certificats auto-signés, utilisez le paramÚtre allow_insecure true pour contourner l'authentification par certificat SSL.



Pour une intĂ©gration manuelle, exportez les paramĂštres SAML par dĂ©faut Ă  l'aide de la commande zxsuite auth saml get example.com export_to /tmp/saml.json . Ouvrez le fichier rĂ©sultant /tmp/saml.json dans n'importe quel Ă©diteur et ajoutez-y les donnĂ©es suivantes, en remplaçant les lignes marquĂ©es par >> << par les donnĂ©es du fichier de mĂ©tadonnĂ©es. Dans notre cas, les lignes ajoutĂ©es ressembleront Ă  ceci :



«sp.nameidformat»:«urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress »,

«sp.entityid»: >> example.ru/zx/auth/samlMetadata?domain=example.ru <<,

«sp.assertion_consumer_service.url»: >> example.ru/zx/auth/saml <<,

«idp.single_sign_on_service.url»: >> dev-3299935.okta.com/app/dev-3299935_zextrassamlintegration_1/exkvjcggn7C7jrhc75d6/sso/saml <<,

«idp.entityid»: >> www.okta.com/exkvjcggn7C7jrhc75d6 <<,

«idp.x509cert»: >>MIIDpjCCAo6gAwIBAgIGAXmC9e8bMA0GCSqGSIb3DQEBCwUAMIGTMQswCQYDVQQGEwJVUzETMBEG A1UECAwKQ2FsaWZvcm5pYTEWMBQGA1UEBwwNU2FuIEZyYW5jaXNjbzENMAsGA1UECgwET2t0YTEU MBIGA1UECwwLU1NPUHJvdmlkZXIxFDASBgNVBAMMC2Rldi0zMjk5OTM1MRwwGgYJKoZIhvcNAQkB Fg1pbmZvQG9rdGEuY29tMB4XDTIxMDUxOTA0NDkyNloXDTMxMDUxOTA0NTAyNlowgZMxCzAJBgNV BAYTAlVTMRMwEQYDVQQIDApDYWxpZm9ybmlhMRYwFAYDVQQHDA1TYW4gRnJhbmNpc2NvMQ0wCwYD VQQKDARPa3RhMRQwEgYDVQQLDAtTU09Qcm92aWRlcjEUMBIGA1UEAwwLZGV2LTMyOTk5MzUxHDAa BgkqhkiG9w0BCQEWDWluZm9Ab2t0YS5jb20wggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIB AQCOJA7bhf/LO89VpuGTHur77RbwKlJg3Eni/P4JKowSVrQD6PghwprCdzThyTsKWcHwESZoYwEL WdrZ6CVzDZWAegWJnaJivfiFlFjsEZ15UHOGizMBM3VI0ePWjaWJ6O2DM9BID2mGULnXUDbQXbf6 rE1EHxzlxzCKIBWmT8ut/JsA/lmBm0YNi4BKfP06KXCLianxoH+fEETNd/NH2mXwgHdxMV1BS/mm TAHSJtkDfWxTM+dTGngrjMANKvmChGjSO1ZXFs/pm+vx0o6ffYcoeXnfgodBX3FZ7aTFBTk0s5Se Wms1utjfa8qhHbrolErqqIc1PPBngEFvzcLjFAfRAgMBAAEwDQYJKoZIhvcNAQELBQADggEBAByU jjdAc5tdH+QFAHS0CJNYa9VNaapxuEFrlR3ZdAztIaczKUqYfHqHdXuDHYCjdHXhLFHwntBsnphk M2sk8D2zG0wpoYsEA3IrvbXoTwwqDzACpLF37S7Pfn0RjE5IvvJ9WP4DoZa9ikM/p0N+H7fpqkU2 xavoiNGOMqot9xpWrytM0P+luXereriOOzVaBS1+DuhA4INhze5luyc52X18T4HrJ3iGivfXR2os L8/PI4gZwR956Ju8tDEcmFVCelLN4FlN3ITogPK+SyKHhlTBuSGHidrGKQJBRmkLhk6lhKWTHjWP mI88ECqrA63+QvxU4KRUl1zzRgKVwrgzos4= <<


Enregistrez les modifications apportées au fichier et importez-le dans Zimbra OSE à l'aide de la commande zxsuite auth saml import example.ru /tmp/saml.json







AprĂšs avoir effectuĂ© toutes les actions dĂ©crites sur la page de connexion du client Web Zimbra OSE, le bouton "SAML Login" apparaĂźtra lorsque vous cliquerez sur lequel le serveur contactera l'application SAML avec une demande d'authentification de l'utilisateur. Si l'application confirme l'authenticitĂ© de la connexion, l'utilisateur sera connectĂ© Ă  son compte sans saisir de donnĂ©es d'authentification. Dans le mĂȘme temps, l'utilisateur a la possibilitĂ© de se connecter par login et mot de passe.



Pour toutes questions relatives à Zextras Suite Pro et Team Pro, vous pouvez contacter la Représentante de Zextras Technology Ekaterina Triandafilidi par e-mail ekaterina.triandafilidi@zextras.com


More articles:


All Articles