Contenu

Objectif

Cet article va présenter comment configurer la plateforme de gestion Microsoft Entra/Azure et les paramètres SAML SSO dans Controller pour réaliser la redirection de l'application Microsoft Enterprise vers Omada Controller.

Exigences

Contrôleur Omada (contrôleur logiciel / contrôleur matériel / contrôleur basé sur le cloud)
Microsoft Entra/Microsoft Azure

Introduction

SAML SSO est une norme ouverte basée sur XML pour l'échange de données d'authentification et d'autorisation entre parties, notamment entre un fournisseur d'identité (IdP) et un fournisseur de services (SP). Elle permet aux utilisateurs de se connecter une seule fois et d'accéder à plusieurs systèmes sans avoir à se reconnecter à chaque fois.

Cet article explique comment configurer SAML SSO, en utilisant Microsoft Entra et le contrôleur basé sur le cloud Omada v5.15.16 comme exemple.

Configuration

Notre configuration comprend la configuration IDP,

Étape 1. Accédez au Centre d'administration Microsoft Entra : Catégorie par défaut - Centre d'administration Microsoft Entra . Cliquez sur Applications , puis choisissez Applications d'entreprise .

Connectez-vous au centre d’administration Microsoft Entra.

Cliquez sur Nouvelle application pour parcourir la galerie Microsoft Entra.

Cliquez sur la première unité de toutes les applications pour accéder à la nouvelle application.

Cliquez sur Créer votre application . Saisissez le nom de votre application et cliquez sur Créer .

Cliquez sur Créer votre application pour créer une application à ce sujet.

Choisissez 2. Configurer une authentification unique .

Cliquez sur Choisir la partie d’envoi de cette unité pour configurer l’authentification unique.

Étape 2. Cliquez sur l’unité SAML pour commencer à configurer le certificat SAML.

Choisissez la deuxième partie de cette unité pour configurer l’authentification unique.

Dans Configuration SAML de base , choisissez Modifier pour configurer la configuration.

Cliquez sur la première partie pour modifier la configuration SAML de base, y compris l’ID d’entité et l’URL de réponse, qui sont les parties les plus essentielles.

Nous prenons ici comme exemple un contrôleur basé sur le Cloud :

Modifiez l’ID d’entité et l’URL de réponse en tant que parties essentielles.

Identifiant (ID d'entité) : Saisissez le domaine d'Omada Cloud dans la barre de texte : https://omada.tplinkcloud.com/. Pour les contrôleurs logiciels et matériels , vous pouvez définir l'ID d'entité comme « adresse IP + port » de votre contrôleur. Par exemple : https://192.168.10.11:8043.
URL de réponse (URL du service client d'assertion) : Ici, nous saisissons le domaine de connexion SSO dans cette barre de texte : https://aps1-omada-account.tplinkcloud.com/sso/saml/login/ Pour le contrôleur logiciel et le contrôleur matériel, vous pouvez définir l'ID d'entité comme « Adresse IP + port + /sso/saml/login ». Par exemple https://192.168.10.11:8043/sso/saml/login
.

Accédez au certificat SAML, puis cliquez sur XML de métadonnées de fédération > Télécharger pour télécharger le fichier de métadonnées IdP .

Cliquez sur la dernière ligne de la troisième partie pour modifier et télécharger le XML des métadonnées de la Fédération.

Étape 3. Accédez au contrôleur pour configurer le système SP. Accédez à Vue globale > Paramètres > SSO SAML , puis cliquez sur Ajouter une nouvelle connexion SAML .

Accédez aux paramètres SSO SAML et créez une nouvelle configuration SSO.

Dans la fenêtre Ajouter une nouvelle connexion SAML , saisissez le nom du fournisseur d'identité , téléchargez le fichier Metadata.xml que vous venez de télécharger dans cette fenêtre et cliquez sur Envoyer .

Téléchargez le fichier XML téléchargé pour configurer automatiquement SAML SSO.

Go back to the SAML SSO Manager Page and check the Details of the entry we just configured.

Record the information in this window, especially the Resource ID and the Omada ID.

Après la configuration, cliquez sur le bouton Afficher pour vérifier les attributs de ces paramètres SSO.

Click Go To SAML Roles.

Accédez à la page de configuration des rôles SAML et créez un rôle SAML.

Click Add New SAML Role to start a new SAML role.

Commencez à créer un nouveau rôle SAML.

Set the SAML Role Name and the role’s privilege, then click Create. The name will set the SAML role on Azure/Entra.

Définissez le nom du rôle et le privilège SAML.

Step 5. On Entra's homepage, click App registrations. Click the IdP you created.

Revenez à l’application Microsoft Entra pour continuer la configuration.

In Basic SAML Configuration, choose Edit to configure the configuration.

Cliquez sur la première partie pour modifier la configuration SAML de base, y compris l'ID d'entité / l'URL de réponse et l'état du relais, qui sont les parties essentielles.

Modifiez l’ID d’entité, l’URL de réponse et l’état du relais.

Identifier (Entity ID): Input the Entity ID we obtained from the Controller’s SSO Detail.

Entité issue des attributs SAML du contrôleur.

Reply URL (Assertion Consumer Service URL): Input the Sign-On URL we obtained from the Controller’s SAML Attributes.

URL de connexion à partir des attributs SAML du contrôleur.

Sign On URL(Optional): This text bar should be blank. Please don’t confuse this with the Sign-On URL we obtained from the Controller’s SSO Detail.
For Relay State, you must decode the script “resourceId_omadaId” using Base64. You can use any open-source Base64 encryption tool to encrypt this script.

ID Omada et ID de ressource à partir des attributs SAML du contrôleur.

Encodez le script original de Reply State avec Base 64.

Click App roles and create roles.

Accédez aux inscriptions d'applications pour enregistrer les rôles d'applications et les attribuer à votre application créée.

The Display name and Value here must correspond to the SAML SSO Role Name in the Controller.

Créez un nouveau rôle d'application et saisissez le nom d'affichage/les types de membres et la valeur.

Step 6. On Entra's homepage, click Enterprise Applications. Click your application, then click Users and Groups. Choose an account and assign a role you created

Modifier l'attribution d'un compte existant.

Choose to assign one role to the selected user.

Attribuer des rôles à l’utilisateur sélectionné.

Here, we take the Role “SSOtest” we created as an example and assign it to our selected user.

Attribuez le rôle que vous venez de créer à ce compte existant.

Step 7. On Entra's homepage, click Enterprise Applications. Click your application, then click Set up single sign-on.

Revenez aux paramètres SSO de l'application.

Click the Edit in Part 2—attributes & Claims to edit the attributes.

Accédez à la deuxième partie de ces paramètres SSO et modifiez les attributs et les revendications.

Click Add new claim.

Cliquez sur Ajouter une nouvelle revendication pour ajouter deux nouvelles revendications/attributs : nom d'utilisateur et nom_groupe_utilisateur.

Add the username and usergroup_name parameters. Set Name as the username and the Source attribute as the user's display name.

Ajoutez l'attribut nom d'utilisateur ; les paramètres doivent être saisis comme exemple.

Add the username and usergroup_name parameters—Set Name as usergroup_name and Source attribute as user—assigned roles.

Ajoutez l'attribut userggroup_name et les paramètres doivent être saisis comme exemple.

Download Federal Metadata XML

Revenez à la page d’accueil de la configuration SSO et téléchargez le XML des métadonnées de la fédération.

Étape 9. Revenez à l'unité SSO SAML de votre contrôleur cloud. Modifiez la configuration SSO, téléchargez le fichier Metadata.xml dans cette fenêtre, puis cliquez sur « Envoyer » .

Téléchargez le fichier XML téléchargé pour configurer automatiquement SAML SSO.

Vérification

Méthode 1 : accédez à la partie n° 5 de vos paramètres de connexion basée sur SAML et cliquez sur le bouton Tester pour tester cette connexion SSO SAML.

Cliquez sur Tester pour essayer le SSO SAML.

Cliquez sur Tester la connexion pour tester si cela peut vous rediriger vers Omada Controller.

Cliquez sur Tester la connexion pour tester la redirection vers Omada Controller.

Le navigateur vous redirigera vers Microsoft Login, qui vous demandera de choisir un identifiant Microsoft pour vous connecter. Ici, nous choisissons l’utilisateur auquel nous avons attribué des rôles à l’étape 6.

Choose the corresponding Microsoft ID to log in.

Si la connexion réussit, vous reviendrez à la page de test et le résultat du test sera affiché sous le bouton Connexion au test .

Test results will be shown under the Test sign-in button.

Méthode 2 : Accédez à https://myapplications.microsoft.com . Après vous être connecté avec votre identifiant Microsoft, cliquez sur l'application que vous venez de configurer pour vous connecter à Omada Controller.

Click the Application SSOTest to log in to the Controller directly.

Choose the corresponding Microsoft ID to log in.

Après vous être connecté, vous serez redirigé vers votre contrôleur Omada.

Conclusion

Vous avez configuré avec succès le SSO SAML du contrôleur Omada avec l'ID Microsoft Entra/Azure.

Pour en savoir plus sur chaque fonction et configuration, veuillez vous rendre dans le Centre de téléchargement pour télécharger le manuel de votre produit.

FAQ

1. Que faire si le navigateur affiche une page d'erreur « While Label » ? Après vérification des outils de développement, le code d'erreur « 405 Méthode non autorisée » s'affiche également.

Redirection with SAML SSO failed; the error code shows “405 Method Not Allowed”.

Re : D'après les outils de développement, nous pouvons constater que la méthode Allow pour les en-têtes de réponse est POST, mais généralement, la méthode Request est GET . La technique n'est pas compatible.

Revenez à la configuration SAML de base de votre application, choisissez « Modifier » pour configurer la configuration, vérifiez l'identifiant, l'URL de réponse et l'état du relais, et n'oubliez pas de nettoyer l'URL de connexion (Opential). Laissez ce champ vide.

Return to your Basic SAML Configuration and double-check your input parameters; the Sign URL(Optional) must be blank.

2. Que dois-je faire si je rencontre le code d'erreur {"errorCode":-1001, "msg": "Paramètres de requête non valides."} ?

Re : Revenez à la partie 2 Attributs et revendications pour vérifier si vous avez défini le nom d'utilisateur et le nom du groupe d'utilisateurs et si la valeur est correcte.

Return to the Attributes & Claims and check whether the username, usergroup_name, was added and the value is correct.

3. Que dois-je faire si je rencontre le code d'erreur {"errorCode":-1, "msg": "Une erreur s'est produite. Veuillez réessayer plus tard ou contacter notre support technique."} ?

Re : Revenir aux certificats SAML ; si vous avez plusieurs certificats, veuillez supprimer ceux ajoutés manuellement.

Clear the other certificates and keep only the default one.

Comment configurer SAML SSO sur le contrôleur Omada