Les cours du BTS SIO

Outils pour utilisateurs

Outils du site

Piste : guacamoleauthsaml
reseau:cloud:accesdistance:guacamoleauthsaml

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Prochaine révision		Révision précédente
reseau:cloud:accesdistance:guacamoleauthsaml [2026/01/11 18:57] – créée adminreseau:cloud:accesdistance:guacamoleauthsaml [2026/01/11 19:49] (Version actuelle) admin
Ligne 1: Ligne 1:
 ====== Configuration d'une authentification SAML pour Guacamole ====== ====== Configuration d'une authentification SAML pour Guacamole ======
 +
 +===== Installation de l'extension SAML pour guacamole =====
 +
 +
 +  * Téléchargez guacamole-auth-sso-1.6.0.tar.gz, décompressez l'archive et déplacer guacamole-auth-sso-saml-1.6.0.jar dans le dossier extensions :
 +<code>
 +wget https://dlcdn.apache.org/guacamole/1.6.0/binary/guacamole-auth-sso-1.6.0.tar.gz
 +tar -xzf guacamole-auth-sso-1.6.0.tar.gz
 +sudo mv guacamole-auth-sso-1.6.0/saml/guacamole-auth-sso-saml-1.6.0.jar /etc/guacamole/extensions/
 +</code>
 +
 +===== Publier l'application dans Azure =====
 +  * Accéder au portail Azure → Microsoft Entra ID → Applications d’entreprise.
 +  * Nouvelle application → Créer votre propre application.
 +  * Choisir **Configurer le proxy d’application pour un accès à distance sécurisé à une application locale**
 +
 +{{ :reseau:cloud:accesdistance:guacamole_02.png |}}
 +
 +
 +
 +===== Configurer l’authentification SAML =====
 +  * Accéder à l'application créee
 +  * Dans l’application créée → Authentification unique → SAML.
 +Renseigner :
 +
 +Identificateur (Entity ID) : fourni par le service.
 +URL de réponse (ACS) : fourni par le service.
 +URL de connexion (facultatif) : page de login du service.
 +
 +
 +Télécharger le fichier de métadonnées XML d’Entra ID (il contient le certificat et les endpoints).
 +
 +
 +✅ 4. Configurer le service web avec les infos Entra ID
 +
 +Fournir au service :
 +
 +Entity ID d’Entra ID (souvent https://sts.windows.net/{tenant-id}/).
 +SSO URL : https://login.microsoftonline.com/{tenant-id}/saml2.
 +Certificat public (X.509) pour vérifier les signatures.
 +
 +
 +Importer le metadata XML d’Entra ID si le service le supporte.
 +
 +
 +✅ 5. Attribuer des utilisateurs
 +
 +Dans Entra ID → Utilisateurs et groupes → attribuer les comptes qui peuvent se connecter.
 +
 +
 +✅ 6. Tester la connexion
 +
 +Utiliser le bouton Tester l’authentification unique dans Azure.
 +Vérifier les logs SAML (ACS du service) pour les assertions.
 +
 +
 +✅ Points clés
 +
 +Format des claims : Par défaut, Entra ID envoie NameID (UPN). Vous pouvez personnaliser les attributs dans Attributs et revendications.
 +Certificat : Surveillez la rotation automatique (Azure change le certificat tous les 3 ans).
 +Sécurité : Activez la signature des assertions et la validation des audiences.
 +
 +
 +----------------------
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +  * Modification du fichier **guacamole.properties** pour configurer SAML.
 +
 +<code>
 +sudo nano /etc/guacamole/guacamole.properties
 +</code>
 +
 +  * Ajoutez dans ce fichier les lignes suivantes  :
 +
 +<code>
 +# MySQL
 +mysql-hostname: 127.0.0.1
 +mysql-port: 3306
 +mysql-database: guacamole_db
 +mysql-username: guacamole_user
 +mysql-password: P@$$w0rd2025Secure
 +</code>
 +
 + * Déclarez le serveur Guacamole (ici, on déclare une connexion locale sur le port par défaut, à savoir 4822).
 +
 +<code>
 +sudo nano /etc/guacamole/guacd.conf
 +</code>
 +
 +  * Voici le code à intégrer :
 +
 +<code>
 +[server] 
 +bind_host = 0.0.0.0
 +bind_port = 4822
 +</code>
 +
 +  * Redémarrez les trois services liés à Apache Guacamole :
 +
 +<code>
 +sudo systemctl restart tomcat9 guacd mariadb
 +</code>
  
reseau/cloud/accesdistance/guacamoleauthsaml.1768154247.txt.gz · Dernière modification : 2026/01/11 18:57 de admin