Mappage de profils d’utilisateurs SAML avec une importation depuis AD dans SharePoint 2013

  • Article

Article original publié le mercredi 8 août 2012

Cette question, qui devient très importante dans SharePoint 2013, vérifie que votre application de profil utilisateur est complète. Dans SharePoint 2013, le système de profils utilisateur joue un rôle essentiel dans l’infrastructure OAuth, ce qui permet de réussir certains scénarios d’application approuvés en permettant à d’autres applications d’agir au nom d’un utilisateur. Cependant, pour qu’une application puisse « savoir » ce qu’un utilisateur peut faire, elle doit capturer une liste d’attributs le concernant pour pouvoir appliquer des règles correctes de découpage de sécurité. Il s’agit d’une présentation très générale du sujet et je reviendrai dans un blog ultérieur sur les profils utilisateurs, la synchronisation et l’effet sur les différents choix d’authentification.

Pour le moment, il suffit de prendre conscience que c’est important et qu’il faut le faire. Étant donné cette importance et le fait que l’article très intéressant de Bryan Porter à ce sujet sur SharePoint 2010 a disparu depuis qu’il a déplacé son blog, j’ai pensé qu’il serait utile d’y revenir. La bonne nouvelle est que ce n’est pas trop compliqué si vous importez depuis Active Directory, cas traité dans cet article. 

La première chose à faire consiste à créer SPTrustedIdentityTokenIssuer ; cette étape est nécessaire pour pouvoir configurer l’aspect importation de profil. Une fois cette opération réalisée, ouvrez votre navigateur pour vous rendre sur votre page de gestion UPA. Cliquez sur le lien Configurer les connexions de synchronisation, puis sur le lien Créer une connexion. La seule chose qui diffère d’une autre connexion de profil à AD concerne la liste déroulante Type de fournisseur d’authentification. Dans cette liste déroulante, vous allez sélectionner Authentification par fournisseur de revendications approuvé. Ensuite, la liste déroulante Instance de fournisseur d’authentification en dessous remplit une liste de tous les fournisseurs SPTrustedIdentityTokenProviders que vous avez créés. Sélectionnez simplement celui à utiliser avec cette connexion de profil, puis complétez toutes les autres propriétés de connexion comme habituellement pour importer à partir d’AD et enregistrez. Voici une capture d’écran de mon cas :

 

Une fois cette étape franchie, la suivante consiste à mettre à jour les mappages de propriétés pour que SharePoint connaisse le champ importé qui contient la valeur dont se serviront les utilisateurs comme revendication d’identité. Pour ce faire, revenez à la page de gestion UPA et cliquez sur le lien Gérer les propriétés utilisateur. Faites défiler pour trouver la propriété Identificateur de l’utilisateur de revendication et cliquez sur Modifier pour l’éditer. S’il existe une valeur dans Mappage de propriété pour la synchronisation, effacez-la. Ajoutez-en une qui mappe la propriété importée à partir d’AD en tant que valeur de revendication d’identité. Dans mon cas, j’utilise l’adresse de messagerie comme revendication d’identité, et dans AD l’adresse de messagerie de l’utilisateur est stockée dans l’attribut nommé « mail ». Par conséquent, je choisis simplement la connexion de profil que j’ai créée plus haut, tape « mail » dans la zone Attribut et clique sur le bouton Ajouter. Voici le résultat :

Lorsque j’ai terminé, les informations suivantes s’affichent :

Les valeurs Identificateur du fournisseur de revendication et Type de fournisseur de revendication sont censées être définies automatiquement lors de la configuration de la connexion d’importation de profil.

Voilà. Maintenant, vous pouvez effectuer des importations de profil qui vont mapper automatiquement cette valeur de revendication d’identité à la propriété de nom de compte dans le système de profils. Voici un exemple du résultat après l’exécution de l’importation d’un profil. Remarquez qu’au lieu d’utiliser domaine\utilisateur comme nom de compte, un format de revendications SAML est affiché, avec l’adresse de messagerie comme nom de compte :

Cet article de blog est une traduction. Vous trouverez la version originale à l’adresse Mapping User Profiles for SAML Users with an AD Import in SharePoint 2013