none
Mise en place d'un sso parallelement à une connexion classique RRS feed

  • Question

  • Bonjour,

    Je suis en train de mettre en place un sso sur une application qui possèdent déjà des personnes qui s'identifient de façon classique (identifiant + mot de passe). Ces utilisateurs doivent garder ce mode d'identification.

    J'avais pensé créer un nouveau fichier IdentificationSSO.aspx au même niveau que mon fichier Identification.aspx qui permettra cette identification.

    J'ai bien réussi avec Windows Identity Foundation à configurer mon webconfig pour faire du sso, le problème est que ça me fait une requête sur l'ensemble de mon site et je n'arrive pas a que ça se fasse uniquement sur un fichier.

    Je voulais savoir si il y a une possibilité pour faire cela ou il faut que j'utilise une autre méthode pour gérer les 2 mode en même temps.

    Merci d'avance,

    Romain.

    mercredi 18 juin 2014 15:06

Réponses

  • Effectivement,

    Le mieux est de ne pas avoir de site mutualisé pour faire cela.

    Passer par un sous-domaine fonctionnera à condition que le site ne soit effectivement plus mutualisé.

    Auquel ca vous auriez une instance spécifique pour ce client avec une configuration spécifique comprenant toute la configuration de WIF.

    Cordialement,


    Kevin BEAUGRAND, Modis FRANCE
    Merci de bien vouloir "Marquer comme réponse", les réponses qui ont résolu votre problème.

    • Marqué comme réponse _Romain_ jeudi 19 juin 2014 09:38
    jeudi 19 juin 2014 09:36

Toutes les réponses

  • Bonjour,

    Sur quel critère souhaitez-vous pouvoir rediriger l'authentification sur le formulaire ou sur le Module WIF ?

    Cordialement,


    Kevin BEAUGRAND, Modis FRANCE
    Merci de bien vouloir "Marquer comme réponse", les réponses qui ont résolu votre problème.

    mercredi 18 juin 2014 16:54
  • Bonjour,

    Merci à vous de prendre le temps de me répondre.

    Je ne suis pas sur de comprendre votre question.

    L'authentification par identifiant + mot de passe se fait dans un fichier Identification.aspx et l'authentification par sso sur IdentificationSSO.aspx et une fois l'utilisateur authentifié par l'une ou l'autre méthode serait redirigé sur Acceuil.aspx.

    Je ne sais pas si je répond à la question, d'autre part qu'entendez vous par Module WIF ? Pour le moment j'ai uniquement des configuration dans le fichier webconfig mais rien d'autre (C'est un site web et non une application web, je ne sais pas si ca change quelque chose). Je n'ai pas préciser aussi, je suis en framework 3.5, je sais que ca change quelque chose par rapport au 4.5

    Cordialement,

    Romain

    jeudi 19 juin 2014 07:15
  • Bonjour,

    Je ne susi pas sûr d'avoir bien compris ce que vous avez fait.

    Si vous avez uniquement fait de la configuration pour Windows Identity Framework, je suppose donc que vous site web est un Relaying party. Donc il n'y a pas besoins de page spécifique pour l'authentification puisque c'est le STS qui l'héberge.

    Ensuite ma question était afin de savoir sur quel critère vous souhaitez faire afficher soit le formulaire d'authentification, soit la page d'authentification SSO ?

    Cordialement,


    Kevin BEAUGRAND, Modis FRANCE
    Merci de bien vouloir "Marquer comme réponse", les réponses qui ont résolu votre problème.

    jeudi 19 juin 2014 08:48
  • Effectivement, je ne gère pas le STS, il sera chez un client spécifique pour qui nous mettons une connexion SSO avec notre application.

    Au niveau du critère, les utilisateurs classiques irons sur la page d'identification avec le formulaire.

    Étant donné que c'est difficile de détecter si un utilisateur doit utilisé le SSO, ils auront juste un lien sur une autre page qui traitera cette demande. (ces personnes seront toute les utilisateurs d'un même client)

    jeudi 19 juin 2014 08:53
  • Bonjour,

    Je ne suis vraiment pas sûr d'avoir compris ce que vous souhaitez faire.

    Si je comprend, alors vous souhaitez faire une redirection basée sur le nom d'utilisateur. Cela implique alors que les utilisateurs devront être authentifiés avant de savoir quelle page d'authentification sera utilisée ?

    Le SSO que vous souhaitez mettre en place est-il basée sur une authentification LDAP par exemple (Active Directory). Auquel cas effectivement, vous pourriez lire si l'utilisateur a été authentifié sur le domaine choisi et ainsi rediriger automatiquement sur le STS.

    Est-ce bien cela que vous voulez faire ?


    Kevin BEAUGRAND, Modis FRANCE
    Merci de bien vouloir "Marquer comme réponse", les réponses qui ont résolu votre problème.

    jeudi 19 juin 2014 08:57
  • Je vous avoue que je ne suis pas très clair.

    Nous avons une application web hébergée sur un site externe avec plusieurs clients. Pour le moment les utilisateurs s'identifient sur une page avec un formulaire.

    Un nouveau client souhaite que l'identification sur notre site se fasse avec leur sso interne. Nous devons si j'ai bien compris avoir le rôle de service provider.

    Nous devons donc garder l'identification comme elle est actuellement pour l'ensemble des utilisateurs tout en ajoutant la seconde identification pour le nouveau client.

    Ce que je pensais possible de faire c'est de faire 2 entrées sur le site, l'identification classique et une nouvelle page pour l'identification en sso qui une fois identifiée redirigent toute les 2 sur la page d'acceuil.

    En espérant avoir été plus clair.

    jeudi 19 juin 2014 09:07
  • Bonjour,

    Si vous êtes sur un site qui est mutualisé alors, ce sera très compliqué.

    Si vous n'êtes pas sur un site mutualisé (c a d : une instance de site par client), alors tout se joue dans la configuration.

    En clair, lors de l'authentification par formulaire :

    - Ne pas mettre de configuration pour Windows Identity Framework, et garder la configuration de l'authentification par formulaire.

    Ex :

    <system.web>
       <authentication mode="Forms">
       ...
       </authentication>
    </system.web>
    <system.webServer>
      <modules />
    </system.webServer>


    Pour l'authentification par WIF :

    - Mettre l'authentification mode = "None"

    - Ajouter la configuration de WIF

    - Supprimer le module d'authentification de Forms

    - Ajouter les modules d'authentification de WIF

    Ex :

    <system.web>
     <authentication mode="None" />      
    </system.web>
    <system.webServer>
      <modules runAllManagedModulesForAllRequests="true">
          <remove name="FormsAuthentication" />
          <add name="WSFederationAuthenticationModule" type="System.IdentityModel.Services.WSFederationAuthenticationModule, System.IdentityModel.Services, Version=4.0.0.0" preCondition="managedHandler" />
          <add name="SessionAuthenticationModule" type="System.IdentityModel.Services.SessionAuthenticationModule, System.IdentityModel.Services, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089" preCondition="managedHandler" />
       </modules>
    </system.webServer>
    <system.identityModel>
    ...
    </system.identityModel>



    Cordialement,




    jeudi 19 juin 2014 09:26
  • Effectivement, le site est mutualisé.

    J'ai bien fais toutes les configurations comme vous le mettez et ça fonctionne sauf que ça fait cela pour l'ensemble des pages de l'application et je me demandais si il est possible d'appliquer la configuration de WIF pour seulement une page ou seulement un sous répertoire pour que la requête au STS soit faite uniquement sur la page d'identification dédiée au client.

    J'ai essayer de refaire une configuration d'un webconfig dans un sous dossier pour voir si c'était possible mais certaines balises ne sont autorisées que dans le webconfig à la racine.

    En résumé, c'est pas possible "d'activer" la requête au STS pour quelques fichiers ou répertoires ?

    Si ce n'est pas le cas, est-il possible peut être de passer par un sous domaine pour faire cela ?
    • Modifié _Romain_ jeudi 19 juin 2014 09:33
    jeudi 19 juin 2014 09:32
  • Effectivement,

    Le mieux est de ne pas avoir de site mutualisé pour faire cela.

    Passer par un sous-domaine fonctionnera à condition que le site ne soit effectivement plus mutualisé.

    Auquel ca vous auriez une instance spécifique pour ce client avec une configuration spécifique comprenant toute la configuration de WIF.

    Cordialement,


    Kevin BEAUGRAND, Modis FRANCE
    Merci de bien vouloir "Marquer comme réponse", les réponses qui ont résolu votre problème.

    • Marqué comme réponse _Romain_ jeudi 19 juin 2014 09:38
    jeudi 19 juin 2014 09:36
  • Merci pour vos réponses, je vais donc voir comment nous allons pouvoir procéder.

    Cordialement,

    Romain.

    jeudi 19 juin 2014 09:38