Skip to main content

GLPI

Objectif : Permettre aux utilisateurs de se connecter à GLPI en utilisant Authentik comme fournisseur d’identité SAML (Single Sign-On).

Pré-requis

Avant de commencer :

  • Vous avez un serveur GLPI fonctionnel accessible via HTTPS.

  • Vous êtes administrateur sur GLPI et Authentik.

  • Vous avez installé le plugin samlSSO dans GLPI (communauté).

  • Vous connaissez les FQDN (domaines complets) de GLPI (glpi.company) et d’Authentik (authentik.company).

1) Installation et configuration du plugin SAML dans GLPI

Installer le plugin samlSSO

  1. Téléchargez la dernière version du plugin samlSSO depuis son dépôt GitHub.

  2. Décompressez l’archive ZIP dans le répertoire glpi/data/marketplace de votre installation GLPI.

  3. Connectez-vous à GLPI en tant qu’administrateur.

  4. Allez dans Configuration → Plugins, puis cliquez sur l’icône d’installation (dossier +).

  5. Dans la fenêtre qui s’ouvre, cliquez sur Enable pour activer le plugin.

Ajouter une instance samlSSO

  1. Dans GLPI, prenez le chemin Configuration → samlSSO.

  2. Cliquez sur Add pour créer une nouvelle instance.

  3. Dans l’onglet General :

    • Friendly name : authentik

    • Is active : activé

  4. Dans l’onglet Security :

    • Strict : activé

    • JIT user creation (création automatique d’utilisateurs à la première connexion) : activé

  5. Cliquez sur Save.

  6. Ouvrez ensuite l’instance nouvellement créée et notez les valeurs AcsURL et sloURL (nécessaires dans la configuration d’Authentik).

2) Configuration dans Authentik

Créer une application SAML dans Authentik

  1. Connectez-vous à Authentik en tant qu’administrateur.

  2. Allez dans Applications → Applications et cliquez sur Create with Provider.

  3. Remplissez les informations suivantes :

    • Application : un nom significatif (ex. GLPI SSO)

    • Provider type : SAML Provider

  4. Dans la configuration du provider :

    • ACS URL : copiez la valeur AcsURL relevée depuis GLPI.

    • Service Provider Binding : Post

    • SLS URL : copiez la valeur sloURL depuis GLPI.

    • Advanced protocol settings :

      • Signing Certificate : sélectionnez un certificat valide

      • Sign assertions : activé

      • NameID Property Mapping : choisissez Email (par défaut)

  5. Cliquez sur Submit pour enregistrer l’application et le provider.

Télécharger le certificat SAML d’Authentik

  1. Toujours dans Authentik, allez dans Applications → Providers.

  2. Sélectionnez le provider que vous venez de créer.

  3. Sous Related objects → Download signing certificate, cliquez sur Download pour obtenir le certificat au format .pem.

  4. Conservez ce fichier : il sera utilisé dans GLPI.

3) Configurer GLPI pour utiliser Authentik comme IdP

  1. Retournez dans GLPI, puis Configuration → samlSSO.

  2. Ouvrez l’instance authentik que vous aviez créée.

  3. Dans l’onglet Identity Provider :

    • Entity ID : authentik (ou un identifiant significatif)

    • SSO URL : https://authentik.company/application/saml/<application_slug>/sso/binding/redirect/

    • SLO URL : https://authentik.company/application/saml/<application_slug>/slo/binding/redirect/

    • X.509 certificate : collez le contenu du fichier de certificat téléchargé depuis Authentik

  4. Cliquez sur Save pour appliquer la configuration.

4) (Optionnel) Règles JIT dans GLPI

Vous pouvez ajouter des règles pour appliquer des profils, groupes ou autres actions aux utilisateurs créés automatiquement :

  1. Dans GLPI, allez dans Configuration → samlSSO → JIT import rules.

  2. Cliquez sur Add et créez une règle en configurant Critères et Actions selon vos besoins (ex. assigner des groupes ou entités).

  3. Activez la règle et enregistrez-la.

Vérification de l’intégration

Pour vérifier que tout fonctionne :

  1. Déconnectez-vous de GLPI.

  2. Sur la page de login de GLPI, cliquez sur Connexion via Authentik (le bouton SSO).

  3. Vous devriez être redirigé vers Authentik pour l’authentification, puis automatiquement reconnecté à GLPI une fois identifié.

Back to top