Vous pouvez configurer la méthode d'authentification SAML pour authentifier les utilisateurs disposant d'un accès administrateur à l'interface utilisateur d'administration. Cela délègue l'authentification et l'autorisation à un fournisseur d'identité SAML 2.0 externe avec un administrateur Unified Access Gateway faisant office de fournisseur de services SAML. Lorsqu'un utilisateur accède à l'interface utilisateur d'administration d'Unified Access Gateway à l'aide de la valeur https://<<uag-fqdn>>:9443/admin, il est redirigé vers le fournisseur d'identité externe pour lequel il est invité à entrer ses informations d'identification. S'il est authentifié correctement et autorisé, il est redirigé vers Unified Access Gateway et automatiquement connecté.

Une application SAML doit être créée sur le fournisseur d'identité spécifiquement pour l'administrateur Unified Access Gateway. Les métadonnées SAML exportées à partir de cette application de fournisseur d'identité sont utilisées pour configurer l'approbation SAML sur Unified Access Gateway. Il s'agit d'une intégration SAML entièrement fédérée. Il est donc inutile d'ajouter séparément des utilisateurs Admin à Unified Access Gateway.

Note : À partir d' Unified Access Gateway 2209, un utilisateur disposant du rôle SURVEILLANCE (administrateur avec privilèges limités) peut accéder aux API à l'aide de l'authentification de base lorsque la fonctionnalité d'authentification SAML de l'administrateur est activée. Lorsque l'authentification SAML pour l'administrateur est activée, l'administrateur par défaut (avec le rôle ADMIN et les informations d'identification de base) est automatiquement désactivé. Au contraire, lorsque l'authentification SAML pour l'administrateur est désactivée, l'administrateur par défaut est automatiquement activé. Si l'administrateur est configuré avec l'authentification SAML, assurez-vous de désactiver l'option Préouverture de session par mot de passe pour l'utilisateur SURVEILLANCE.

L'application SAML du fournisseur d'identité peut être attribuée à des utilisateurs ou à des groupes d'utilisateurs spécifiques pour accorder un accès administrateur. Le nom d'utilisateur de l'administrateur autorisé est alors reçu dans le champ NameID d'assertion SAML signée. Si le fournisseur d'identité chiffre les assertions SAML, Unified Access Gateway doit être configuré avec un certificat de chiffrement lors du chargement des métadonnées du fournisseur d'identité. Ce dernier utilise la clé publique de ce certificat pour chiffrer l'assertion. La AuthNRequest générée par Unified Access Gateway est signée à l'aide d'un certificat TLS public.

  1. Dans la section Configurer manuellement de l'interface utilisateur d'administration, cliquez sur Sélectionner.
  2. Sous Paramètres avancés, sélectionnez l'icône en forme d'engrenage Paramètres du compte.
  3. Dans la fenêtre Paramètres du compte, cliquez sur Configuration de la connexion SAML, puis renseignez les paramètres.
    1. Activez l'option Activer l'authentification SAML pour activer le paramètre.
    2. Sélectionnez Fournisseur d'identité dans le menu déroulant.
      Note :
      • Le fournisseur d'identité peut être sélectionné dans le menu déroulant si vous avez préalablement téléchargé le fichier de métadonnées du fournisseur d'identité.
      • Utilisez les paramètres suivants pour la configuration SAML sur la console d'administration du fournisseur d'identité.
        Option Description
        URL de Single Sign-On Entrez l'URL Assertion Consumer Service en tant que

        https://<<uag-fqdn>>:9443/login/saml2/sso/admin

        URI de public (ID d'entité de fournisseur de services) Entrez l'URL du public en tant que

        https://<<uag-fqdn>>:9443/admin

        Émetteur de fournisseur de services Si nécessaire, entrez l'émetteur de fournisseur de services en tant que

        https://<<uag-fqdn>>:9443/admin

      Pour plus d'informations sur la configuration du fournisseur d'identité et le téléchargement du fichier de métadonnées du fournisseur d'identité vers UAG, reportez-vous aux sections Configurer le fournisseur d'identité avec les informations d'Unified Access Gateway et Télécharger les métadonnées SAML du fournisseur d'identité vers Unified Access Gateway.

  4. Activez l'option Signer avec un certificat d'administrateur pour signer la demande d'authentification SAML à l'aide du certificat TLS de l'interface d'administration. Lorsque cette option est désactivée, la demande d'authentification SAML est signée à l'aide d'un certificat TLS Internet.
  5. (Facultatif) Entrez l'ID d'entité de SP statique s'il existe plusieurs instances d'Unified Access Gateways à configurer avec l'administrateur SAML. Cette option est utile lorsque plusieurs instances d'Unified Access Gateway doivent être configurées avec l'application SAML d'administrateur, car il n'est pas nécessaire de créer une application SAML individuelle sur le fournisseur d'identité de chaque instance d'Unified Access Gateway.
    1. Créez une application SAML dans le fournisseur d'identité avec un ID d'entrée statique.
    2. Configurez l'application SAML pour vérifier la signature de demande d'authentification SAML entrante. Lorsque la vérification de la demande réussit, le fournisseur d'identité envoie la réponse d'assertion SAML à l'URL du service clients d'assertion de la demande d'authentification SAML.
    3. Configurez chaque instance d'Unified Access Gateway avec le même ID d'entité statique.
    Note : Lorsque vous n'entrez aucun ID d'entité de SP statique, la valeur de l'émetteur de la demande d'authentification SAML provenant d'UAG est définie par défaut sur l'URL du portail d'administration. Par exemple, https://<uagip>:9443/portal. Toutefois, lorsque l' ID d'entité de SP statique est fourni, la valeur de l'émetteur correspond à l'ID d'entité statique.
  6. Cliquez sur Enregistrer.

    Les modifications d'authentification sont appliquées, et l'utilisateur Admin se déconnecte automatiquement de l'interface utilisateur d'administration. Lors de la prochaine connexion, Unified Access Gateway redirige la demande de connexion de l'administrateur vers le fournisseur d'identité. Une fois l'authentification réussie, le fournisseur d'identité donne alors accès à l'administrateur.

    Note : Pour rétablir les paramètres de configuration d'administration et restaurer l'authentification par mot de passe par défaut, utilisez la commande adminreset. Pour plus d'informations, reportez-vous à la section Récupérer l'administrateur à l'aide de la commande adminreset.