Activer les connexions SSO avec votre compte OVHcloud

Découvrez comment associer votre service ADFS à votre compte OVHcloud via SAML 2.0

Dernière mise à jour le 13/10/2022

Objectif

Vous pouvez utiliser l'authentification SSO (Single Sign-On) unique pour vous connecter à votre compte OVHcloud. Pour activer ces connexions, votre compte et vos services ADFS (Active Directory Federation Services) doivent être configurés à l'aide des authentifications SAML (Security Assertion Markup Language).

Ce guide vous explique comment associer votre compte OVHcloud à un Active Directory externe.

Prérequis

Les services ADFS (Active Directory Federation Services) doivent s'exécuter sur votre serveur
Disposer d'un compte OVHcloud
Être connecté à votre espace client OVHcloud

En pratique

Afin qu’un prestataire de services (c'est à dire votre compte OVHcloud) puisse établir une connexion SSO avec un fournisseur d’identité (c'est à dire votre service ADFS), l’essentiel est d’établir une relation de confiance mutuelle.

Établir la confiance ADFS

Votre ADFS agit en tant que fournisseur d'identité. Les demandes d'authentification de votre compte OVHcloud ne seront acceptées que si vous l'avez d'abord déclaré comme organisme tiers de confiance.

Dans le contexte Active Directory, cela signifie qu'il doit être ajouté en tant que Relying Party Trust.

Dans le Gestionnaire de Serveurs, ouvrez le menu Tools et sélectionnez AD FS Management.

Cliquez sur Relying Party Trusts.

Cliquez ensuite sur Add Relying Party Trust....

Sélectionnez Claims aware et validez avec le bouton Start.

Vous pouvez y entrer manuellement les informations sur l'organisme tiers de confiance ou les importer à partir d'un fichier de métadonnées.

Importer les métadonnées OVHcloud SP

Vous pouvez obtenir le fichier de métadonnées approprié via les liens suivants :

Sélectionnez Import data about the relying party from a file et sélectionnez votre fichier de métadonnées.

Cliquez ensuite sur le bouton Next .

Entrez un nom d'affichage pour l'organisme tiers de confiance et cliquez sur le bouton Next.

Cliquez sur Next dans la fenêtre du contrôle d'accès.

Cliquez de nouveau sur Next pour continuer.

Cliquez sur le bouton Close dans la dernière fenêtre. L'approbation de OVHcloud en tant qu'organisme tiers de confiance est maintenant ajoutée à votre ADFS.

Avec OVHcloud ajouté en tant qu'organisme tiers de confiance, vous devriez déjà pouvoir vous connecter via une connexion SSO. Cependant, toutes les informations relatives à l'identité de l'utilisateur (en termes d' « assertion » SAML) resteront indisponibles jusqu'à ce que vous configuriez une stratégie pour faire correspondre les champs LDAP Active Directory aux attributs de l'assertion SAML.

Correspondance des attributs LDAP aux attributs SAML

Cliquez sur l'entrée OVHcloud dans la partie « Relying Party Trusts ».

Cliquez ensuite sur Edit Claim Issuance Policy....

Cliquez sur le bouton Add Rule....

Cliquez sur Next.

Renseignez un nom de règle puis définissez votre tableau de correspondances.

Sélectionnez Active Directory comme Attribute store.

Les paramètres suivants peuvent être configurés librement afin que le fournisseur de services puisse lire correctement les données LDAP Active Directory. Vous pouvez vous référer à l'image ci-dessous comme exemple.

Lorsque vous avez terminé, cliquez sur le bouton Finish.

Cliquez sur le bouton Apply et validez avec OK.

Une fois le tableau de correspondances terminé, votre service ADFS fait désormais confiance à OVHcloud en tant que fournisseur de services. L'étape suivante consiste à vous assurer que le compte OVHcloud fait confiance à votre ADFS en tant que fournisseur d'identité.

Établir la confiance du compte OVHcloud et configurer la connexion

L'ajout de votre ADFS en tant que fournisseur d'identité de confiance s'effectue dans l'espace client OVHcloud où vous pouvez fournir les métadonnées du fournisseur d'identité.

Connectez-vous et cliquez sur votre profil en haut à droite.

Cliquez sur votre nom pour accéder à la page de gestion de votre profil.

Ouvrez l'onglet Gestion des utilisateurs.

Cliquez sur le bouton Login SSO.

Renseignez les métadonnées XML de votre service ADFS. Le champ Nom d'attribut de groupe est facultatif dans ce cas. Cliquez sur Confirmer.

Vous devez maintenant retrouver votre ADFS en tant que fournisseur d'identité, ainsi que les groupes par défaut.

Pour plus d'informations, cliquez sur le lien situé sous l'URL du service SSO.

Le bouton ... permet de mettre à jour ou de supprimer le SSO, et d’en consulter les détails.

Votre ADFS est maintenant considéré comme fournisseur d'identité de confiance. Cependant, vous devez tout de même ajouter des groupes à votre compte OVHcloud.

Si vous essayez à ce stade de vous connecter via SSO, un message d'erreur Not in valid groups s'affichera probablement.

En effet, votre compte OVHcloud vérifie si l'utilisateur s'authentifiant appartient à un groupe existant sur le compte.

Pour résoudre cela, vérifiez les informations correspondant à l'attribut « Group » retourné par votre service ADFS.

Prenez pour exemple celui d'un utilisateur « John Doe » de votre Active Directory, comme indiqué dans l'image ci-dessous.

Vérifiez le tableau de correspondances dans ADFS :

Dans cet exemple, l'attribut « Group » renvoyé par l'Active Directory pour l'utilisateur « John Doe » est « title » Cela correspond au « job title » qui est manager@<my-domain>.com.

Vous pouvez également le vérifier dans l'assertion SAML :

<AttributeStatement>
    <Attribute Name="http://schemas.xmlsoap.org/claims/Group">
        <AttributeValue>manager@<my-domain>.com</AttributeValue>
    </Attribute>
    ...
</AttributeStatement>

Cela signifie que vous devez ajouter le groupe manager@<my-domain>.com à votre compte OVHcloud en y attachant un rôle. Dans le cas contraire, votre compte OVHcloud ne sait pas ce que l'utilisateur est autorisé à faire.

Ajoutez-le en cliquant sur le bouton Déclarer un groupe et en remplissant les champs :

Vous pourrez ensuite vérifier que le groupe est ajouté à votre compte OVHcloud dans la section Groupes :

Lorsque vous vous connecterez par la suite avec l'utilisateur Active Directory « John Doe », votre compte OVHcloud reconnaîtra que l'utilisateur a le rôle « REGULAR », spécifié par son groupe.

Vous pourrez ensuite vous déconnecter de votre compte et vous reconnecter avec votre ADFS en tant que fournisseur d'identité.

Connexion via SSO

Sur la page d'identification OVHcloud, renseignez votre identifiant suivi de /idp sans mot de passe et cliquez sur le bouton Login .

Vous êtes ensuite redirigé vers votre page de connexion ADFS. Entrez un login/password d'un utilisateur de votre Active Directory LDAP, puis cliquez sur le bouton Sign in .

Vous êtes maintenant connecté avec le même identifiant client, mais via votre utilisateur Active Directory et avec votre SSO ADFS.

Aller plus loin

Créer un compte OVHcloud

Sécuriser mon compte OVHcloud et gérer mes informations personnelles

Définition et gestion du mot de passe de votre compte

Sécuriser son compte OVHcloud avec la double authentification

Échangez avec notre communauté d'utilisateurs sur https://community.ovh.com/.

Did you find this guide useful?

Please feel free to give any suggestions in order to improve this documentation.

Whether your feedback is about images, content, or structure, please share it, so that we can improve it together.

Your support requests will not be processed via this form. To do this, please use the "Create a ticket" .

Thank you. Your feedback has been received.

These guides might also interest you...

Informations de compte
Comment utiliser les politiques IAM via l’API OVHcloud

Informations de compte
Gérer des utilisateurs

Les tutoriels les plus consultés

Gestion des IP

Protection des données client

Gestion des instances

Gestion des serveurs dédiés

Gestion des VPS

Gestion des services Hosted Private Cloud

OVHcloud Community

Accedez à votre espace communautaire. Posez des questions, recherchez des informations, publiez du contenu et interagissez avec d’autres membres d'OVHcloud Community.

Echanger sur OVHcloud Community