2. Configuration de l'application AQ Manager Full Web

Pour préparer votre application AQ Manager Full Web à dialoguer avec votre fournisseur d'identités Google G Suite, vous devez :
  • veiller à disposer du framework .NET 4.6.2 minimum sur le serveur d'application sans quoi le certificat fourni par Google ne pourra être correctement pris en compte et pourra générer des erreurs à l'utilisation
  • modifier quelques fichiers de configuration disponibles sur le serveur d'application. Voir ci-après

hosting.config

Ce fichier est situé à la racine du dossier d'installation d'AQ Manager Full Web.
Ouvrez-le avec un éditeur de texte (bloc-notes) afin d'y insérer les clefs de configuration suivantes :

<?xml version="1.0"?>
 <appSettings>
    ...
   <add key="ADFSServiceURL" value="https://accounts.google.com/o/saml2?idpid=XXXXXX"/>
   <add key="ADFSAutoConnectOnSessionStart" value="true"/>
   <add key="ADFSUseEmailAddressToMapUser" value="true"/>
    ...
</appSettings> 

  • ADFSServiceURL : renseigne le point d'entrée à votre fournisseur d'identités Google. Vous devez modifier le contenu de l'attribut value afin de renseigner fidèlement la valeur obtenue dans le champ "ID d'entité" (étape 6 de la procédure suivante).
  • ADFSAutoConnectOnSessionStart : l'attribut value accepte deux valeurs possibles true ou false (vrai ou faux). 
    • Si la valeur est à true, l'application AQ Manager Full Web va automatiquement initier une demande d'authentification au service Google dès l'ouverture d'une nouvelle session sur le serveur. 
    • Sinon (valeur false), l'utilisateur verra apparaître un bouton supplémentaire sur la page de connexion lui permettant d'initier manuellement la demande au service Google en parallèle du mécanisme classique d'authentification.
  • ADFSUseEmailAddressToMapUser : laisser à true

Remarque :

Pour court-circuiter ponctuellement la tentative automatique de connexion SSO (pour du monitoring par exemple), vous pouvez employer l'URL suivante pour accéder à la page de connexion de l'application : https://fullweb.test/default.aspx?noreconnect=1 en y remplaçant bien sûr fullweb.test par le nom/IP de votre serveur.

saml.config

Ce fichier est situé à la racine du dossier d'installation d'AQ Manager Full Web.
Ouvrez-le avec un éditeur de texte (bloc-notes) afin d'y adapter/ajouter les clefs de configuration suivantes :

<?xml version="1.0"?>
<SAMLConfiguration xmlns="urn:componentspace:SAML:2.0:configuration">
  <ServiceProvider Name="urn:aqmanager:fullweb"
                   AssertionConsumerServiceUrl="~/SAML/AssertionConsumerService.aspx"
                   CertificateFile="SAML\sp.pfx"
                   CertificatePassword="password"/>

    <!-- Google -->
  <PartnerIdentityProvider Name="https://accounts.google.com/o/saml2?idpid=XXXXXX"
                           SignAuthnRequest="false"
                           SignLogoutRequest="false"
                           WantSAMLResponseSigned="false"
                           WantAssertionSigned="false"
                           WantAssertionEncrypted="false"
                           WantLogoutResponseSigned="false"
                           UseEmbeddedCertificate="false"
                           OverridePendingAuthnRequest="true"
                           CertificateFile="SAML\YYYYYY.pem"
                           SingleSignOnServiceBinding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"
                           SingleSignOnServiceUrl="https://accounts.google.com/o/saml2/idp?idpid=XXXXXX"
                           SingleLogoutServiceUrl="https://accounts.google.com/o/saml2/idp?idpid=XXXXXX"/>
  </SAMLConfiguration>
  • PartnerIdentityProvider
    • Name : rappeler la même valeur que celle indiquée dans la clef ADFSServiceURL du fichier hosting.config 
    • OverridePendingAuthnRequest : ajoutez cet attribut avec la valeur true
    • CertificateFile : vous devez modifier le contenu de l'attribut value afin de renseigner fidèlement la nom du certificat téléchargé à l'étape 7 de la procédure suivante, ce fichier devant également être copié dans le dossier "SAML" du répertoire d'installation d'AQManagerFullWeb.
    • SingleSignOnServiceUrl : vous devez modifier le contenu de l'attribut value afin de renseigner fidèlement la valeur obtenue dans le champ "URL d'authentification unique" (étape 6 de la procédure suivante).
    • SingleLogoutServiceUrl : mettre la même valeur que SingleSignOnServiceUrl  (mais pas implémenté dans l'application).
Remarques
  1. Réalisez une sauvegarde de ce fichier saml.config dans un répertoire externe à AQManagerFullWeb car vous devrez le réinstaller après tout processus de mise à jour du logiciel.
  2. Toute modification faite dans les fichiers évoqués ci-dessus nécessite un redémarrage de l'application pour être prise en compte.