Activer OpenID Connect pour les apps Active Directory Federation Services existantes

Cette rubrique décrit comment activer les connexions OpenID Connect (OIDC) avec les applications Active Directory Federation Services (ADFS) existantes.

Lancer la procédure

  1. Autorisez une app existante à utiliser OIDC :

    1. Dans l'Admin Console, accédez à Applications > Applications.

    2. Sélectionnez une app ADFS.
    3. Sélectionnez l'onglet Authentification.
    4. Dans la section Paramètres, cliquez sur Modifier.
    5. Sélectionnez OpenID Connect.
    6. Notez les valeurs ID de client et Clé secrète client.
    7. Dans le champ URI de redirection, saisissez votre URI de redirection. Utilisez une barre oblique à la fin de l'URI, comme https://yourdomain.com/.
    8. Cliquez sur Enregistrer.
  2. Ouvrez la politique d'authentification globale ADFS pour modification, puis sélectionnez l'onglet Multifacteur .
  3. Décochez la case Okta MFA Provider, puis cliquez sur OK avant de passer à l'étape suivante.
  4. Mettez tous les plug-ins ADFS existants à niveau vers la version 1.7.0 ou une version ultérieure.
  5. Une fois la mise à niveau terminée, vérifiez que votre app fonctionne normalement.
    1. Ouvrez ce fichier avec un éditeur de texte :

      C:\Users\<adfs_service_account_name>\AppData\Local\Okta\Okta MFA Provider\config\okta_adfs_adapter.json.

      Consultez Authentification multifacteur (MFA) pour la configuration des services de fédération Active Directory (ADFS).

    2. Recherchez la propriété useOIDC et définissez sa valeur sur true.
    3. Enregistrez vos modifications et fermez l'éditeur de texte.
  6. À l'aide d'un éditeur de texte, copiez et créez le script Microsoft PowerShell suivant et enregistrez-le sous ApplyConfigurationSettingChanges.ps1. Si nécessaire, modifiez les valeurs des variables BinDir et ConfigDir de manière à correspondre à votre environnement. 
    # ApplyConfigurationSettingChanges.ps1
[System.Reflection.Assembly]::Load("System.EnterpriseServices, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a")

$BinDir = "C:\Program Files\Okta\Okta MFA Provider\bin"
$ConfigDir = "C:\Program Files\Okta\Okta MFA Provider\config"

Start-Service adfssrv

# Remove Okta MFA Provider
$providers = (Get-AdfsGlobalAuthenticationPolicy).AdditionalAuthenticationProvider
$providers.Remove("OktaMfaAdfs") 
Set-AdfsGlobalAuthenticationPolicy -AdditionalAuthenticationProvider $providers

# Unregister 
Unregister-AdfsAuthenticationProvider -Name "OktaMfaAdfs" -Confirm:$false -ErrorAction Stop

# restart the ADFS service
Restart-Service adfssrv -Force

# register MFA adapter again
$OktaMfaAssamply = [Reflection.Assembly]::Loadfile($BinDir + "\OktaMfaAdfs.dll")
$typeName = "OktaMfaAdfs.AuthenticationAdapter, OktaMfaAdfs, Version=" + $OktaMfaAssamply.GetName().Version + ", Culture=neutral, PublicKeyToken=3c924b535afa849b"
Register-AdfsAuthenticationProvider -TypeName $typeName -Name "OktaMfaAdfs" -Verbose -ConfigurationFilePath "$ConfigDir\okta_adfs_adapter.json"

# restart the service
Restart-Service adfssrv -Force

# Enable Okta MFA adapter
$providers = (Get-AdfsGlobalAuthenticationPolicy).AdditionalAuthenticationProvider
$providers.Add("OktaMfaAdfs") 
Set-AdfsGlobalAuthenticationPolicy -AdditionalAuthenticationProvider $providers
  7. Ouvrez Microsoft Powershell en tant qu'administrateur et exécutez le script ApplyConfigurationSettingChanges.ps1.
  8. Vérifiez que l'utilisateur peut s'authentifier.

Étapes suivantes

Dépannage