KB N°17 : Configuration de LemonLDAP::NG en tant que fournisseur d’identité (IdP) avec Olfeo Saas

Contexte

Ce document porte sur la mise en œuvre de la solution LemonLDAP::NG en tant que fournisseur d’identité (IDP) pour le produit Olfeo Saas.

LemonLDAP::NG est une solution open source Française initialement développée et utilisée par la Gendarmerie nationale. Elle offre des fonctionnalités de contrôle d’accès et de fédération d’identités. Compatible avec les protocoles SAML, OpenID Connect et CAS, il supporte divers modes d’authentification (LDAP, Kerberos, SQL) et intègre la gestion de l’authentification à deux facteurs (MFA). Pour en savoir plus sur les fonctionnalités de cette solution, vous pouvez vous rendre ici : LemonLDAP::NG.

Vous trouverez également à ce niveau la documentation LemonLDAP::NG pour configurer une application avec Olfeo SaaS.

 

Prérequis

Avoir synchronisé votre annuaire d’entreprise avec Olfeo Saas. Pour cette partie se reporter à la documentation technique d’Olfeo Saas : Configurer et gérer des annuaires.

Avoir fait en sorte que les points de terminaison nécessaires à l’authentification soient exposés publiquement sur internet.

Avoir sélectionné la méthode d’authentification SAML au niveau de votre annuaire Olfeo.

 

Étapes de configuration :

  • Au niveau de la console LemonLDAP, déclarez un nouveau fournisseur de service SAML.
  • Au niveau de la console Olfeo SaaS, allez dans Configuration, Annuaires, Edition d’annuaire, Authentification, et compléter la partie « Métadonnées du fournisseur » avec celle de votre LemonLDAP.
  • Ensuite, au niveau de la console LemonLDAP, renseignez les Métadonnées Olfeo.

  • Attention, la propriété identifiante définie lors de la synchronisation de votre annuaire avec Olfeo Saas doit être utilisée au niveau de l’attribut NameID envoyé dans l’assertion SAML par LemonLDAP. Au niveau de la console LemonLDAP, vous pouvez jouer avec ce paramètre dans la partie Option, Réponse d’authentification, puis renseigner le champ « Forcer le clef de session NameID ».

  • Vérifiez que les options de signatures sont bien renseignées de la sorte :

  • A ce stade, il ne vous restera plus qu’à faire un test d’authentification avec un utilisateur.