Utilisation de Fiddler avec SAML et SharePoint pour contourner trois invites d’authentification

Article d’origine publié le lundi 3 décembre 2012

Eric Lawrence aborde ce sujet dans l’un de ses billets de blog sur Fiddler. Mais à moins de savoir exactement ce que vous cherchez, vous risquez d’avoir du mal à localiser les informations qui vous intéressent. Je vais donc vous parler de ce sujet en y ajoutant le point de vue d’un utilisateur de SharePoint. Nous recommandons souvent aux gens d’utiliser Fiddler pour tenter d’y voir un peu plus clair s’ils ont des problèmes avec leurs sites web. Cet outil est particulièrement utile si des problèmes se manifestent lors de l’utilisation de l’authentification SAML. Le problème, c’est que les modifications apportées en 2010 en matière de traitement des liaisons d’authentification rendent cette tâche quasiment impossible avec les réglages par défaut. Par conséquent, si vous exécutez Fiddler et que vous essayez de vous authentifier avec SAML sur un site SharePoint, vous serez invité à entrer vos informations d’identification à trois reprises et vous recevrez en prime une page d’erreur dans IIS.

Afin de contourner ce problème, vous devez ajouter un script à Fiddler. Pour cela, ouvrez Fiddler (j’utilise la version 4.4.1.1 ; celle-ci change assez fréquemment, donc il est possible que votre interface utilisateur soit légèrement différente). Accédez à Rules (Règles), sélectionnez le menu Customize Rules (Personnaliser des règles), puis faites défiler le script jusqu’à ce que vous trouviez la fonction OnPeekAtResponseHeaders. Là, vous pouvez ajouter du code pour contourner le problème d’authentification. Tout d’abord, voici le code que vous allez ajouter :

if (oSession.isHTTPS && oSession.responseCode == 401)
{
// Pour utiliser des informations d’identification autres que vos informations d’identification de connexion Windows,
// affectez "domain\\username:password" à X-AutoAut
oSession["X-AutoAuth"] = "default";
oSession["ui-backcolor"] = "pink";
}

Ce qui est important à noter ici, c’est que ce script tente d’utiliser vos informations d’identification Windows lors de la demande d’authentification. Il applique aussi la couleur rose à l’arrière-plan des invites d’authentification dans la fenêtre Fiddler, mais vous pouvez évidemment modifier ou supprimer cet aspect. Si vous souhaitez utiliser un autre jeu d’informations d’identification lors de l’authentification, vous pouvez remplacer « default » par domain\\username, comme je l’explique dans le script. Ce n’est pas parfait, mais cela a le mérite de fonctionner pour ADFS et c’est mieux que de ne pas avoir de suivi Fiddler du tout.

Pour plus d’informations, vous pouvez visiter le billet d’Eric à ce sujet à l’adresse https://blogs.msdn.com/b/fiddler/archive/2011/09/04/fiddler-http-401-authentication-workaround-to-support-channel-binding-tokens-removing-endless-prompts.aspx.

Ce billet de blog a été traduit de l’anglais. La version originale est disponible à la page Using Fiddler With SAML and SharePoint to Get Past the Three Authentication Prompts.