Avant de créer une configuration SAML pour SaltStack Config, lisez ces étapes pour vous assurer que vous connaissez bien le processus de configuration.

Étapes préalables à la configuration

Avant de configurer SAML dans SaltStack Config :

  • Installez le fournisseur d'identité SAML et assurez-vous qu'il est en cours d'exécution. Cette section ne fournit aucune instruction pour l'installation d'un fournisseur d'identité. Pour obtenir de l'aide, contactez votre administrateur de fournisseurs d'identité.
  • Assurez-vous d'avoir accès aux informations d'identification et aux données de configuration fournies par le fournisseur d'identité. En outre, consultez la section suivante sur la Création d'un certificat de fournisseur de services.

Création d’un certificat de fournisseur de services

Vous devez générer un certificat pour ajouter SaltStack Config en tant que fournisseur de services approuvé dans votre fournisseur d'identité. Le fournisseur de services SaltStack Config a besoin d'une paire de clés RSA. Lorsque vous configurez SAML pour SaltStack Config, vous entrez les valeurs de clé privée et publique à plusieurs endroits.

Note : Cette paire de clés peut être générée sur n'importe quel système. Il n'est pas nécessaire de la créer sur le serveur SSE. Ces commandes s'exécutent sur n'importe quel système avec des utilitaires openssl installés. Vous pouvez également utiliser Salt pour générer le certificat auto-signé. Consultez la documentation des certificats auto-signés avec le module Salt TLS.

Pour créer le certificat :

  1. Générez une clé privée, appelée cert.perm, à l’aide de la commande :
    openssl genrsa -out cert.pem 2048
  2. Créez la clé publique associée à la clé privée que vous venez de créer à l'étape précédente. La commande suivante vous guide dans le processus :
    openssl req -new -x509 -key cert.pem -out cert.pub -days 1825
  3. Lorsque cette commande s'exécute, répondez aux invites si nécessaire, notamment pour indiquer :
    • Nom du pays
    • Nom de l'état ou de la province
    • Nom de la localité ou de la ville
    • Nom de l'organisation ou de l'entreprise
    • Nom de l’unité d’organisation
    • Nom d'hôte du serveur
    • Adresse e-mail

Vous disposez désormais de la paire de clés publique et privée qui sera utilisée dans votre configuration SAML. Enregistrez ces paires de clés publiques et privées pour un accès facile lors de l’utilisation du reste du processus de configuration. Passez à la section suivante pour obtenir des instructions sur la Définition d'une configuration SAML.

Définition d'une configuration SAML

Avant d'exécuter les étapes de cette section, assurez-vous d'avoir généré les clés publique et privée pour SaltStack Config en tant que fournisseur de services. Pour plus d'instructions, reportez-vous à la section Création d'un certificat de fournisseur de services.

Pour configurer l'authentification SSO SAML à l'aide du fournisseur d'identité préféré de votre organisation dans SaltStack Config :

  1. Dans le menu latéral, cliquez sur Administration > Authentification.
  2. Cliquez sur Créer.
  3. Dans le menu Type de configuration, sélectionnez SAML.

    L'espace de travail affiche les paramètres pris en charge pour le type de configuration SAML.

  4. Dans l'onglet Paramètres, renseignez les champs suivants avec les informations sur votre installation de SaltStack Config :
    • Nom
    • URI de base
    • ID de l'entité
    • Nom de la société
    • Nom complet
    • Site Web
    Note : Pour obtenir une description de ces champs, reportez-vous à la section Champs d'informations SAML.
  5. Dans le champ Clé privée, copiez la clé privée que vous avez générée lorsque vous avez créé le certificat du fournisseur de services pour SaltStack Config. Pour plus d'informations, reportez-vous à la section Création d'un certificat de fournisseur de services.
  6. Dans le champ Clé publique, copiez la clé publique que vous avez générée lorsque vous avez créé le certificat du fournisseur de services pour SaltStack Config.
  7. Renseignez les champs avec les informations de contact pertinentes pour votre :
    • Contact technique
    • Contact du support
  8. Dans la section Informations sur le fournisseur, renseignez les champs suivants avec les métadonnées sur votre fournisseur d'identité :
    • ID de l'entité
    • ID d'utilisateur
    • E-mail
    • Nom d'utilisateur
    • URL
    • Certificat x509
    Note : ADFS, Azure AD et Google SAML sont des exemples de fournisseur d'identité courants. Vous renseignez ces champs avec les informations fournies par votre fournisseur d'identité. Pour plus d'informations sur ces champs, reportez-vous à la section Champs d'informations SAML.
  9. FACULTATIF : cochez la case Contrôle d'instructions d'attribut si vous souhaitez que SaltStack Config vérifie les instructions d'attribut SAML pour les profils d'utilisateur. Cette option est cochée par défaut.
  10. Cliquez sur Enregistrer.

La configuration de SAML pour SaltStack Config est terminée. Passez à la section suivante pour obtenir des instructions sur la Configuration du fournisseur d'identité avec les informations du fournisseur de services.

Configuration du fournisseur d'identité avec les informations du fournisseur de services

Avant d'exécuter les étapes de cette section, assurez-vous d'avoir d'abord configuré SAML dans SaltStack Config. Pour plus d'informations, consultez les instructions sur la Définition d'une configuration SAML.

Pour terminer la configuration SAML, le fournisseur d'identité a besoin de deux éléments de données importants :

  • URL AssertionCustomerService
  • Certificat public (x509) (clé publique) que vous avez généré lorsque vous avez créé le certificat du fournisseur de services pour SaltStack Config. Pour plus d'informations, reportez-vous à la section Création d'un certificat de fournisseur de services.

L'URL AssertionCustomerService est l'adresse Web que votre fournisseur de services utilise pour accepter les messages et les artefacts SAML lors de l'établissement d'une assertion d'identité. Dans ce cas, SaltStack Config est le fournisseur de services.

Voici un exemple du format type de l'URL AssertionCustomerService : https://<your-sse-hostname>/auth/complete/saml

Une fois que vous avez fourni ces données à votre fournisseur d'identité, passez à la section suivante pour obtenir des instructions sur la Création de mappages d'attributs.

Création de mappages d’attributs

SaltStack Config extrait des informations sur l'utilisateur à partir de l'assertion SAML entrante. C'est pourquoi le fournisseur d'identité doit s'assurer que les valeurs requises sont envoyées en tant qu'attributs supplémentaires. Le processus de mappage de ces attributs est spécifique de chaque fournisseur d'identité SAML. Pour obtenir de l'aide sur la création de mappages d'attributs, reportez-vous à la documentation de votre fournisseur d'identité ou contactez votre administrateur.

SaltStack Config doit définir les attributs suivants de l'utilisateur :

  • ID d'utilisateur
  • E-mail
  • Nom d'utilisateur

De nombreuses organisations mappent ces trois valeurs à un attribut unique : l'adresse e-mail de l'utilisateur. L’adresse e-mail de l’utilisateur est souvent utilisée, car elle est généralement unique au sein d’une organisation.

Configuration du RBAC pour SAML

SaltStack Config prend en charge la création de rôles et d'autorisations pour les utilisateurs de différents rôles. Le contrôle RBAC pour SAML est géré de la même manière que vous gérez les utilisateurs dont les informations d'identification sont stockées en mode natif dans SaltStack Config sur le serveur API (RaaS). Pour plus d'informations sur l'espace de travail Rôles, reportez-vous à la section Rôles et autorisations.

Après avoir créé des rôles, vous pouvez ajouter des utilisateurs SAML et leur attribuer des rôles. Pour plus d'informations, consultez la section l'Ajout d'utilisateurs suivante.

Ajout d'utilisateurs

Par défaut, les nouveaux utilisateurs sont enregistrés dans SaltStack Config uniquement après la première connexion réussie d'un utilisateur avec SAML. Vous pouvez également ajouter manuellement des utilisateurs pour les préenregistrer dans SaltStack Config.

Pour ajouter manuellement des utilisateurs :

  1. Dans l'espace de travail Authentification, sélectionnez la configuration SAML dans la liste Configurations d'authentification pour ouvrir les paramètres de configuration.
  2. Dans les paramètres de configuration, cliquez sur l'onglet Utilisateurs.
  3. Cliquez sur le bouton Créer.
  4. Dans le champ Nom d'utilisateur, entrez les informations d'identification de l'utilisateur que vous souhaitez ajouter. Ce nom d'utilisateur doit être identique au nom d'utilisateur SAML qui lui est attribué.
    Note : Assurez-vous que ce nom d'utilisateur est correct. Une fois qu'un utilisateur a été créé, son nom d'utilisateur ne peut être ni modifié ni renommé.
  5. Dans le champ Rôles, sélectionnez les rôles auxquels vous souhaitez ajouter l'utilisateur. Tous les nouveaux utilisateurs sont ajoutés au rôle Utilisateur par défaut. Pour plus d'informations, consultez Configuration de RBAC pour SAML.
  6. Cliquez sur Enregistrer.
    Note : Une fois qu'un utilisateur a été créé manuellement, il peut uniquement être supprimé avant sa première connexion. Une fois que l'utilisateur s'est connecté pour la première fois, le bouton Supprimer est toujours disponible dans l'espace de travail, mais il ne fonctionne plus.

Dépannage et validation de la configuration

Après avoir configuré l'authentification SSO dans SaltStack Config, essayez de vous connecter en tant qu'utilisateur classique pour vous assurer que le processus de connexion fonctionne comme prévu et que les rôles et les autorisations sont corrects.

Pour résoudre les erreurs potentielles, essayez de :

  • Utiliser l'outil de suivi SAML disponible pour les navigateurs Web Firefox et Chrome.
  • Afficher les messages des journaux /var/log/raas/raas.
Note : Les utilisateurs ne peuvent pas être supprimés via l'interface utilisateurs de SaltStack Config ou à l'aide de l'API après le provisionnement initial avec une authentification SAML réussie.