Configurez Microsoft Active Directory sur site avec Active Directory Federation Service et SSO SAML

Configurer l'authentification unique (SSO) via les Services de Fédération Active Directory (AD FS) pour votre compte ClickUp permettra aux utilisateurs de se connecter à ClickUp avec votre compte Microsoft auto-hébergé.

Si vous utilisez Microsoft 365 ou Azure Active Directory, vous devrez utiliser notre option authentification unique Microsoft à la place.

Ce dont vous aurez besoin

  • Seuls les propriétaires et administrateurs peuvent configurer l'authentification unique SAML SSO.
  • Le SAML personnalisé est uniquement disponible avec le forfait Enterprise. Pour en savoir plus sur nos différents forfaits, cliquez ici.

Configurez Microsoft Active Directory sur site avec Active Directory Federation Service et SSO SAML

Il y a cinq étapes pour configurer l'authentification unique SAML pour votre compte ClickUp avec Microsoft Active Directory sur site.

  1. Rassemblez les détails SSO SAML dans ClickUp
  2. Configurer la confiance de partie de confiance pour AD FS
  3. Ajouter des règles à AD FS
  4. Exporter le certificat de signature
  5. Terminez le processus de configuration dans ClickUp

Étape 1 : Collecter les détails SAML SSO dans ClickUp

La première étape consiste à rassembler SAML SSO détails dans ClickUp.

  1. Cliquez sur l'avatar de votre environnement de travail puis cliquez sur Paramètres.
  2. Sélectionnez Sécurité & Permissions.
  3. Depuis la section authentification unique (SSO) , sélectionnez SAML.
    • Tous les paramètres SSO précédents de votre environnement de travail seront écrasés.
  4. Sous Configurer l'authentification unique SAML , vous trouverez les éléments suivants à référencer dans les étapes suivantes :
    • Certificat SP
    • URL de l’authentification unique
    • URL de l’audience (identifiant de l’entité du prestataire de service)
  5. Copiez l'intégralité du texte Certificat SP et collez-le dans un éditeur de texte, comme VS code.
  6. Enregistrez le fichier sous clickup.cert.

    Le certificat de sécurité ne fonctionnera pas si du texte de Certificat SP est supprimé.

Étape 2 : Configurer la confiance de la partie de confiance pour AD FS

Après avoir enregistré votre certificat de sécurité, vous créerez une Confiance de partie de confiance dans Gestionnaire de serveur Windows. Cela permettra à ClickUp de se connecter à votre déploiement Active Directory

  1. Dans Gestionnaire de serveurs Windows, cliquez sur Outils, puis sélectionnez Gestion AD FS.
  2. Dans la colonne Actions à droite, cliquez sur Ajouter une partie de confiance. Cela ouvre un assistant qui vous guide à travers le processus d'installation.
  3. Sur la page Bienvenue, choisissez Conscient des revendications et cliquez sur Démarrer.
  4. À l'étape Sélectionner la source de données, choisissez Saisir manuellement les données sur la partie de confiance et cliquez sur Suivant.
  5. Ajoutez un nom d'affichage puis cliquez sur Suivant. Nous recommandons de nommer cela ClickUp.
  6. À l’étape Configurer le certificat , cliquez sur le bouton Parcourir .
  7. Sélectionnez le fichier clickup.cert créé à l'étape précédente et cliquez sur Suivant.
  8. À l’étape Configurer URL , cochez la case Activer l’assistance pour le protocole WebSSO SAML 2.0.
  9. Collez l'URL d'authentification unique de l'étape précédente dans le champ URL du service SAML 2.0 de la partie de confiance  et cliquez sur Suivant.
  10. À l’étape Configurer les identifiants, collez votre URL d’audience (identifiant d’entité SP) de l’étape précédente dans le champ Identificateur d’approbation de la partie utilisatrice.
  11. Cliquez sur Ajouter puis sur Suivant.
  12. À l'étape Choisir la politique de contrôle d'accès, sélectionnez Permettre à tous puis cliquez sur Suivant. Cela détermine qui peut authentifier son compte ClickUp via l'authentification unique.
  13. À l'étape Prêt à ajouter de la confiance, cliquez sur Suivant et Fermer l'assistant.

Étape 3 : Ajouter des règles à AD FS

Ensuite, vous devez ajouter deux règles à AD FS dans Windows Server Manager. Cela garantira que l'intégration envoie les attributs du Protocole d'accès aux annuaires légers (LDAP) comme revendications.

  1. Depuis Windows Server Manager, cliquez sur Outils.
  2. Sélectionnez Gestion AD FS.
  3. Dans l'arborescence de la console sous AD FS, cliquez sur Relying Party Trusts.
  4. Cliquez-droit sur le nom d'affichage créé dans l'étape précédente et sélectionnez Modifier la politique d'émission de revendications.

Ajouter la première règle

  1. Depuis la boîte de dialogue Modifier la politique d'émission de réclamation, sous l'onglet Règles de transformation d'émission, cliquez sur Ajouter une règle.
  2. Depuis la page Sélectionner un modèle de règle, sous Modèle de règle de revendication, choisissez Envoyer les attributs LDAP comme revendications dans la liste, puis cliquez sur Suivant.
  3. Sur la page Configurer la règle , renseignez les informations suivantes et cliquez sur Terminer pour compléter le processus et revenir à la boîte de dialogue Modifier la politique d'émission de revendications :
    • 1 : Nom de la règle de revendication :  ClickUp LDAP
    • 2 : Magasin d’attributs : Active Directory
    • 3 : Dans l'attribut LDAP : Adresse e-mail
    • 4 : Type de revendication de l'adresse e-mail sortante : Adresse e-mail

Ajouter une deuxième règle

  1. Cliquez sur Ajouter une règle pour ajouter une seconde règle de transformation. 
  2. Sur la page Sélectionner un modèle de règle, sous Modèle de règle de revendication, sélectionnez Transformer une revendication entrante dans la liste, puis cliquez sur Suivant pour continuer. 
  3. Sur la page Configurer la règle de revendication, renseignez les informations suivantes et cliquez sur Terminerpour compléter le processus.
    • 1 : Nom de la règle de revendication : Transformer l'adresse e-mail en NameID
    • 2 : Type de revendication entrante : Adresse e-mail.
    • 3 : Type de revendication sortante : NameID
    • 4 : Format de l'ID de nom sortant : Email
    • 5 : Sélectionnez Transmettre toutes les valeurs des claims.
  4. Depuis la boîte de dialogue Modifier la politique d'émission de revendications , cliquez sur Appliquer pour appliquer les deux règles.

Étape 4 : Exporter le certificat de signature

Vous devrez maintenant exporter votre Certificat de Signature depuis le Gestionnaire de serveurs Windows. Cela est souvent appelé le certificat X509. Ceci est utilisé pour vérifier votre organisation via votre fournisseur d'identité.

  1. Depuis Windows Server Manager, cliquez sur Outils et sélectionnez Gestion AD FS.
  2. Développez le dossier Service puis sélectionnez Certificats.
  3. Cliquez avec le bouton droit sur le certificat de signature de jeton et sélectionnez Afficher le certificat

  4. Depuis la boîte de dialogue Certificat, cliquez sur l'onglet Détails.
  5. Cliquez sur Copier dans le fichier
  6.  Dans l'assistant d'exportation de certificat, cliquez sur Suivant.
  7. Sélectionnez Base-64 encodé X.509 (CER) et cliquez sur Suivant.
  8. Nommez votre fichier de certificat adfsdomain.cer et cliquez sur Suivant.
  9. Cliquez sur Terminer pour exporter le certificat.

    Assurez-vous que le certificat se trouve sous l'onglet Signature et non sous l'onglet Chiffrement.

AD FS exportera le certificat vers votre dossier de téléchargements configuré.

Étape 5 : Terminez le processus de configuration dans ClickUp

Maintenant que tout est configuré dans AD FS, vous devez ajouter vos détails AD FS à ClickUp. Pour plus d'informations, consultez Authentification unique SAML personnalisée.

  1. Cliquez sur l'avatar de votre environnement de travail puis cliquez sur Paramètres.
  2. Sélectionnez Sécurité & Permissions.
  3. Depuis la section authentification unique (SSO) , sélectionnez SAML.
  4. Ajoutez les informations suivantes d’AD FS à ClickUp :
    1. IdP Entity ID : Cela permet à ClickUp de savoir quel fournisseur d'identité vous utilisez.
    2. URL cible SSO IdP : ClickUp utilisera ce lien pour se connecter au fournisseur d'identité lorsque quelqu'un de votre organisation tentera de se connecter via SSO SAML. Pour AD FS, cela devrait ressembler à ceci: https://sso.yourdomain.tld/adfs/ls/
    3. Certificat de signature IDP : Il s'agit du certificat téléchargé à l'étape 4.
      1. Ouvrez l'éditeur de texte de votre choix.
      2. Utilisez l'éditeur de texte pour ouvrir le fichier adfsdomain.cer précédemment téléchargé à l'étape 4.
      3. Copiez la valeur du texte entière dans notre section Certificat public IDP.
    1.  

Conseils de dépannage

L'erreur La réponse SAML n'est pas encore valide peut être causée par un problème de synchronisation de l'horloge du serveur ADFS avec le Timestamp SAML.

Pour résoudre cela, vous pouvez :

  • Mettez à jour l'horloge du serveur ADFS selon le fuseau horaire de votre environnement de travail ClickUp
  • Exécutez la commande PowerShell ci-dessous, qui ignorera cette vérification :Set-AdfsRelyingPartyTrust -TargetName Clickup -NotBeforeSkew 5

Cet article vous a-t-il été utile ?