SSO avec LemonLDAP
-
wrote on Jan 23, 2024, 9:04 AM last edited by
bonjour,
Peut on associer LemonLDAP avec GoFAST pour gérer le SSO ?
SAML V2, OpenID ou CAS par exemplebonne journée
Frédéric PRALONG -
Bonjour Frédéric,
GoFAST est compatible avec ces protocoles, nous avons beaucoup de clients qui utilisent SAMLv2.
Il ne devrait donc y avoir aucun problème pour coupler GoFAST à LemonLDAP, qui semble effectivement bien supporter le SAMLv2.Bonne journée.
Benjamin -
wrote on Jan 29, 2024, 1:16 PM last edited by Frédéric Jan 29, 2024, 6:48 PM
On a pu paramétrer.
La partie login se passe correctement, le SSO se réalise parfaitement, seulement lors de la déconnexion depuis le menu GoFast on a une page d'erreur :
signature is not validLe support de LemonLdap, nous indique de consulter celui de GoFast
Voici leur analyse :
Lasso error code -113: Invalid signature algorithm.
Cette erreur est provoquée par le fait que la requête de logout n'est pas signée. En effet, dans la requête ci dessus, il manque les paramètres SigAlg et Signature -
Bonjour @Frédéric,
Pour information dans la configuration SSO, dans la partie "Sécurité", les champs suivants sont-ils cochés ?
-
Requêtes 'Authn' signés
-
Messages signés requis
-
Assertions signés requis
Si tel est le cas j'imagine que vous avez du renseigner les clés de signature de LemonLDAP ?
Mais nous utilisons de toute façon la même procédure et les mêmes mécanismes de signatures pour la connexion et la déconnexion donc il s'agit possiblement d'une configuration à effectuer au niveau de LemonLDAP.
Auriez vous par hasard quelques copies d'écran de la configuration du fournisseur d'identité ?
Merci d'avance et bonne fin de journée !
-
-
wrote on Jan 29, 2024, 6:11 PM last edited by
-
wrote on Jan 29, 2024, 6:12 PM last edited by
-
Merci pour ces informations !
A des fins de test, pourriez vous essayer de désactiver la vérification de signature des messages SLO et ré essayer ?
Merci d'avance !
-
wrote on Jan 30, 2024, 9:13 AM last edited by
je regarde si c'est un paramétrage global à lemonLdap ou si on peut le modifier que pour l'entrée GoFast
-
wrote on Jan 30, 2024, 10:08 AM last edited by
on a désactivé la vérif SLO : on a un message "SLO request is not valid" désormais
-
@Frédéric La vous avez désactivé "Signature des messages SLO", c'est la vérification de la signature qu'il faudrait désactiver pour coïncider avec le premier message d'erreur
-
wrote on Jan 30, 2024, 1:00 PM last edited by
idem : slo request is not valid
-
Bonjour @Frédéric
Pourriez vous essayer avec les paramètres initiaux (Je vois que Signature des messages SLO est resté à Désactivé alors qu'il était avant à Default), juste en mettant le paramètre "Vérification de la signature des messages SLO" à Désactivé ?
Merci d'avance !
-
wrote on Jan 31, 2024, 10:57 AM last edited by
SLO request is not valid
-
wrote on Jan 31, 2024, 10:58 AM last edited by
on a rien à changer côté sécurité GoFAST ?
-
Non rien de particulier, merci pour ces tests en tout cas !
Il va falloir faire des analyses plus poussés dans nos environnements dans ce cas, en attendant nous vous conseillons de ne pas activer le SLO pour que la déconnexion se fasse de manière classique
Bonne journée !
-
wrote on Jan 31, 2024, 12:37 PM last edited by
j'ai désactivé côté lemonLdap; et pourtant j'ai toujours le meme message , étrange ?
-
Pourriez-vous plutôt essayer dans la configuration GoFAST de retirer l'URL de Logout SSO ?
Merci d'avance !
-
wrote on Jan 31, 2024, 5:24 PM last edited by
c'est un champ obligatoire, je ne peux pas le laisser vide
-
Bonjour @Frédéric
En attendant d'en savoir plus sur ce sujet j'ai désactivé le SLO sur votre environnement, pourriez vous ré essayer ?
Merci d'avance !
Cordialement,
-
wrote on Feb 6, 2024, 3:26 PM last edited byThis post is deleted!