SSO avec LemonLDAP

Frédéric

bonjour,

Peut on associer LemonLDAP avec GoFAST pour gérer le SSO ?
SAML V2, OpenID ou CAS par exemple

bonne journée
Frédéric PRALONG

bcrestani

Bonjour Frédéric,

GoFAST est compatible avec ces protocoles, nous avons beaucoup de clients qui utilisent SAMLv2.
Il ne devrait donc y avoir aucun problème pour coupler GoFAST à LemonLDAP, qui semble effectivement bien supporter le SAMLv2.

Bonne journée.
Benjamin

Frédéric

On a pu paramétrer.
La partie login se passe correctement, le SSO se réalise parfaitement, seulement lors de la déconnexion depuis le menu GoFast on a une page d'erreur :
signature is not valid

Le support de LemonLdap, nous indique de consulter celui de GoFast
Voici leur analyse :
Lasso error code -113: Invalid signature algorithm.
Cette erreur est provoquée par le fait que la requête de logout n'est pas signée. En effet, dans la requête ci dessus, il manque les paramètres SigAlg et Signature

jlemangarin

Bonjour @Frédéric,

Pour information dans la configuration SSO, dans la partie "Sécurité", les champs suivants sont-ils cochés ?

• Requêtes 'Authn' signés

• Messages signés requis

• Assertions signés requis

Si tel est le cas j'imagine que vous avez du renseigner les clés de signature de LemonLDAP ?

Mais nous utilisons de toute façon la même procédure et les mêmes mécanismes de signatures pour la connexion et la déconnexion donc il s'agit possiblement d'une configuration à effectuer au niveau de LemonLDAP.

Auriez vous par hasard quelques copies d'écran de la configuration du fournisseur d'identité ?

Merci d'avance et bonne fin de journée !

Frédéric

Frédéric

jlemangarin

@Frédéric

Merci pour ces informations !

A des fins de test, pourriez vous essayer de désactiver la vérification de signature des messages SLO et ré essayer ?

Merci d'avance !

Frédéric

je regarde si c'est un paramétrage global à lemonLdap ou si on peut le modifier que pour l'entrée GoFast

Frédéric

on a désactivé la vérif SLO : on a un message "SLO request is not valid" désormais

jlemangarin

@Frédéric La vous avez désactivé "Signature des messages SLO", c'est la vérification de la signature qu'il faudrait désactiver pour coïncider avec le premier message d'erreur

Frédéric

idem : slo request is not valid

jlemangarin

Bonjour @Frédéric

Pourriez vous essayer avec les paramètres initiaux (Je vois que Signature des messages SLO est resté à Désactivé alors qu'il était avant à Default), juste en mettant le paramètre "Vérification de la signature des messages SLO" à Désactivé ?

Merci d'avance !

Frédéric

SLO request is not valid

Frédéric

on a rien à changer côté sécurité GoFAST ?

jlemangarin

@Frédéric

Non rien de particulier, merci pour ces tests en tout cas !

Il va falloir faire des analyses plus poussés dans nos environnements dans ce cas, en attendant nous vous conseillons de ne pas activer le SLO pour que la déconnexion se fasse de manière classique

Bonne journée !

Frédéric

j'ai désactivé côté lemonLdap; et pourtant j'ai toujours le meme message , étrange ?

jlemangarin

@Frédéric

Pourriez-vous plutôt essayer dans la configuration GoFAST de retirer l'URL de Logout SSO ?

Merci d'avance !

Frédéric

c'est un champ obligatoire, je ne peux pas le laisser vide

jlemangarin

Bonjour @Frédéric

En attendant d'en savoir plus sur ce sujet j'ai désactivé le SLO sur votre environnement, pourriez vous ré essayer ?

Merci d'avance !

Cordialement,

Frédéric

This post is deleted!