Vous pouvez utiliser l'espace de travail Authentification pour configurer SSO dans SaltStack Config pour fonctionner avec un système d'authentification compatible avec le protocole SAML.
À propos de SSO SAML
SAML Single Sign-On (SSO) est une fonctionnalité que de nombreuses organisations configurent lors de la mise en œuvre de SaltStack Config. SSO offre de nombreux avantages, notamment :
- Réduction du temps passé par les utilisateurs à se connecter à des services pour la même identité. Lorsque les utilisateurs se connectent à l'un des services d'une institution, ils sont ensuite automatiquement authentifiés dans tout autre service qui utilise l'authentification SSO.
- Simplification de la gestion des mots de passe. L'utilisateur n'a qu'à mémoriser un ensemble d'informations d'identification et non plusieurs.
De nombreux services fournissent des implémentations du protocole SSO SAML, notamment ADFS, OneLogin, Okta,Bboleth, SimpleSAMLPHP, Google Suite, etc.
Fonctionnement de SSO SAML avec SaltStack Config
Lorsque SaltStack Config reçoit une assertion d'identité réussie de l'une de ses intégrations d'authentification prise en charge, il recherche une connexion d'utilisateur qui correspond à la valeur de l'identité d'assertion. S'il trouve une connexion correspondante, il se connecte au compte d'utilisateur associé.
Par exemple, si SaltStack Config reçoit une assertion ADFS pour un utilisateur et que la valeur de l'attribut d'identité configuré est « fred », SSE recherche une connexion ayant le nom d'utilisateur « fred ». S'il en trouve une, l'utilisateur associé est connecté. Sinon, la connexion échoue.
Terminologie de l'authentification SAML
Acronyme | Définition |
---|---|
SAML | Security Assertion Markup Language (SAML, prononcer SAM-el) SAML est un protocole ouvert (également appelé standard) pour l'échange de données d'authentification et d'autorisation entre les parties. En particulier, il est utilisé pour échanger des données entre un fournisseur d’identité et un fournisseur de services. SAML est une authentification Single Sign-On (SSO) basée sur navigateur. Toutes les communications se produisent via l’agent utilisateur (le navigateur). Il n'existe aucune communication entre un fournisseur de services (comme SaltStack Config) et un fournisseur d'identité (comme Azure AD). Cette séparation permet l’authentification entre les domaines de sécurité où un fournisseur de services peut se trouver dans un domaine (potentiellement public) et le fournisseur d’identité dans un segment de réseau sécurisé distinct. |
IdP | Fournisseur d'identité Le travail du IdP consiste à identifier les utilisateurs en fonction des informations d’identification. Un fournisseur d'identité est un logiciel qui fournit un service conforme à la partie fournisseur d'identité de la spécification SAML. Le fournisseur d'identité fournit généralement l'interface de l'écran de connexion et présente des informations sur l'utilisateur authentifié aux fournisseurs de services après réussite de l'authentification. Exemples de fournisseurs d’identité :
|
SP | Fournisseur de services ou partie de confiance Un fournisseur de services (SP) est généralement un site Web fournissant des informations, des outils, des rapports, etc. à l'utilisateur final. Un fournisseur de services est un logiciel qui fournit un service conforme à la partie fournisseur de services de la spécification SAML SaltStack Config. Les produits Microsoft (tels qu'Azure AD et ADFS) appellent le SP une partie de confiance. Dans ce scénario, SaltStack Config est le fournisseur de services. SaltStack Config accepte les assertions d'authentification du fournisseur d'identité et permet aux utilisateurs de se connecter. Un SP ne peut pas s'authentifier auprès d'un fournisseur d'identité, sauf s'il figure dans la liste des services approuvés. La configuration d'un SP avec une liste de fournisseurs d'identité approuvés fait partie du processus de configuration. |
SSO | Single Sign-On Single Sign-On est un système d'authentification dans lequel un utilisateur n'est pas obligé de se connecter à un second service, car les informations sur l'utilisateur authentifié sont transmises au service. |
SLO | Single Logout Lorsqu'un utilisateur se déconnecte d'un service, certains fournisseurs d'identité peuvent ensuite déconnecter l'utilisateur de tous les autres services dans lesquels il s'est authentifié. SaltStack Config ne prend actuellement pas en charge SLO. |
RBAC | Contrôle d'accès basé sur les rôles Le contrôle d'accès basé sur les rôles, également appelé sécurité basée sur les rôles, est une mesure de contrôle d'accès avancé qui limite l'accès au réseau en fonction du rôle d'une personne dans une organisation. Les rôles du RBAC font référence aux niveaux d'accès dont les employés ont besoin pour accéder au réseau. Les employés sont uniquement autorisés à accéder aux ressources réseau ou à effectuer des tâches nécessaires pour effectuer efficacement leur travail. Par exemple, les employés de niveau inférieur n'ont généralement pas accès aux données sensibles ou aux ressources réseau s'ils n'en ont pas besoin pour remplir leurs responsabilités. SaltStack Config peut prendre en charge le RBAC avec des configurations SAML à l'aide de l'espace de travail Rôles. Toutefois, l'utilisateur doit d'abord se connecter à SaltStack Config pour être ajouté en tant qu'utilisateur dans la base de données d'utilisateurs locale et géré par l'espace de travail Rôles. Pour plus d'informations, consultez Configuration de RBAC pour SAML. |