Différences

Ci-dessous, les différences entre deux révisions de la page.

--- reseau:cloud:accesdistance:guacamoleauthsaml [2026/01/11 19:22] – admin
+++ reseau:cloud:accesdistance:guacamoleauthsaml [2026/01/12 15:34] (Version actuelle) – [Contrôler le comportement de connexion] admin
@@ Ligne 1: / Ligne 1: @@
 ====== Configuration d'une authentification SAML pour Guacamole ======
+Lien : https://guacamole.apache.org/doc/gug/saml-auth.html
 ===== Installation de l'extension SAML pour guacamole =====
   * Téléchargez guacamole-auth-sso-1.6.0.tar.gz, décompressez l'archive et déplacer guacamole-auth-sso-saml-1.6.0.jar dans le dossier extensions :
 <code>
 wget https://dlcdn.apache.org/guacamole/1.6.0/binary/guacamole-auth-sso-1.6.0.tar.gz
@@ Ligne 11: / Ligne 13: @@
 </code>
-===== Créer une application dans Entra ID =====
+===== Publier l'application dans Azure =====
   * Accéder au portail Azure → Microsoft Entra ID → Applications d’entreprise.
   * Nouvelle application → Créer votre propre application.
@@ Ligne 18: / Ligne 20: @@
 {{ :reseau:cloud:accesdistance:guacamole_02.png |}}
-Choisir Intégration locale (non-galerie) si le service n’est pas dans la galerie.
-Donner un nom (ex. MonServiceWeb).
-✅ 3. Configurer l’authentification SAML
+===== Configurer l’authentification SAML =====
+  * Accéder à l'application créee
+  * Dans l’application créée → Authentification unique → SAML.
+  * Renseigner :
+    * Identificateur (Entity ID) : fourni par le service.
+    * URL de réponse (ACS) : fourni par le service.
+    * URL de connexion (facultatif) : page de login du service.
-Dans l’application créée → Authentification unique → SAML.
-Renseigner :
-Identificateur (Entity ID) : fourni par le service.
+Télécharger le fichier de métadonnées XML d’Entra ID (il contient le certificat et les endpoints).
-URL de réponse (ACS) : fourni par le service.
-URL de connexion (facultatif) : page de login du service.
+===== Configurer le service web avec les infos Entra ID =====
+  * Modifiez guacamole.properties avec les valeurs D'Entra ID :
-Télécharger le fichier de métadonnées XML d’Entra ID (il contient le certificat et les endpoints).
+<code>
+sudo nano /etc/guacamole/guacamole.properties
+</code>
+Renseigner l'URI du fichier de métadonnées XML SAML d'Entra ID qui contient toutes les informations dont l'extension SAML de Guacamole a besoin pour savoir comment s'authentifier auprès de l'IdP Entra ID en renseignant le paramètre **saml-idp-metadata-url**. Dans Entra ID cette information est donnée à : **URL des métadonnées de fédération d'application**.
-✅ 4. Configurer le service web avec les infos Entra ID
+<code>
+saml-idp-metadata-url: <App Federation Metadata Url>
+</code>
+L'URL que l'IdP utilisera une fois l'authentification réussie pour revenir à l'application web Guacamole et fournir les détails d'authentification à l'extension SAML. L'extension SAML ne prend actuellement en charge que le rappel en tant qu'opération POST vers cette URL de rappel. Cette propriété est obligatoire.
+<code>
+saml-callback-url: https://sio.0870019Y.lan:8080/ole.votre-domaine.com/api/ext/saml/callback
+</code>
+Pour le Débug
+<code>
+saml-debug: true
+</code>
+==== Contrôler le comportement de connexion ====
+Guacamole charge les extensions d'authentification par ordre de priorité et évalue les tentatives d'authentification dans le même ordre. Cela a des implications sur le comportement du processus de connexion de Guacamole lorsqu'une extension SSO est présente :
+  * Si l'extension SSO a la priorité : Les utilisateurs qui ne sont pas encore authentifiés seront immédiatement redirigés vers le fournisseur d'identité configuré. Ils ne verront pas d'écran de connexion Guacamole.
+  * Si une extension non-SSO a la priorité : Les utilisateurs qui ne sont pas encore authentifiés verront un écran de connexion Guacamole. De plus, des liens vers le(s) fournisseur(s) d'identité configuré(s) seront disponibles pour les utilisateurs qui souhaitent se connecter via SSO.
+La priorité par défaut des extensions est déterminée par leurs noms de fichiers, les extensions apparaissant plus tôt dans l'ordre alphabétique ayant une priorité plus élevée que les autres. Cela peut être modifié en définissant explicitement la priorité des extensions.
+  * Rediriger automatiquement tous les utilisateurs non authentifiés vers SAML, en donnant la priorité à l'extension SAML  sur toutes les autres :
+<code>
+extension-priority : saml
+</code>
+  * Présenter un écran de connexion Guacamole normal avec la possibilité de se connecter avec des identifiants traditionnels ou avec SAML, ne pas donner la priorité à l'extension SAML :
+<code>
+extension-priority : mysql, saml
+</code>
+    * Redémarre Tomcat9
+<code>
+sudo systemctl restart tomcat9
+</code>
-Fournir au service :
+    * saml-entity-id: https://guacamole.votre-domaine.com/
-Entity ID d’Entra ID (souvent https://sts.windows.net/{tenant-id}/).
+  * Fournir au service :
-SSO URL : https://login.microsoftonline.com/{tenant-id}/saml2.
+    * Entity ID d’Entra ID (souvent https://sts.windows.net/{tenant-id}/).
-Certificat public (X.509) pour vérifier les signatures.
+    * SSO URL : https://login.microsoftonline.com/{tenant-id}/saml2.
+    * Certificat public (X.509) pour vérifier les signatures.