Configurer une connexion SAML

Une connexion SAML (Security Assertion Markup Language) vous permet de mettre en place une authentification unique (SSO) fluide et sécurisée pour votre organisation.

Ainsi, vous pouvez lier votre organisation dans le CIAM à un fournisseur d'identité, de sorte que vos utilisateurs n'aient pas besoin de se connecter chaque fois qu'ils veulent utiliser Centreon Cloud.

Prérequis

Dans votre fournisseur d'identité :

1. Créez une application.
2. Créez des rôles d'application, qui seront reliés à un rôle dans le CIAM : User, Editor et Administrator.
3. Assignez vos utilisateurs à l'application, puis assignez un rôle à chacun.

Si vous avez déjà des utilisateurs dans le CIAM, le rôle de l'utilisateur dans l'IdP remplacera son rôle actuel dans le CIAM, à l'exception du rôle Administrator dans le CIAM, qui ne change pas. Cela permet d'éviter de perdre par erreur l'accès à votre organisation.

Étape 1 : Accéder à la page de configuration

Vous devez avoir le rôle Administrator dans le CIAM pour pouvoir configurer SAML pour une organisation.

1. Connectez-vous au CIAM.
2. SI vous appartenez à plusieurs organisations, sélectionnez l'organization désirée dans la liste en haut à gauche de la page.
3. Allez à la page Organization > Authentication.

Étape 2 : Configurer la connexion à votre fournisseur d'identité

Avant d'activer l'authentification SAML, vous devez remplir tous les paramètres nécessaires, puis tester votre connexion. L'activation de SAML ne sera possible que si votre configuration est valide.

1. Renseignez le Nom de domaine de votre entreprise : seuls les utilisateurs dont l'adresse mail correspond à ce nom de domaine pourront se connecter à l'aide du fournisseur d'identité.

2. Copiez le contenu des deux champs suivants depuis la section Identity provider de la page du CIAM dans les champs correspondants de votre fournisseur d'identité :

   • Identifier (Entity ID): entrer l'URL représentant le nom unique de l'entité SAML.
   • Reply URL (Assertion consumer service URL): par exemple, https:/<Centreon_IP_address>/centreon/api/latest/saml/acs.

   Une fois ces champs renseignés dans le fournisseur d'identité, celui-ci vous donne les valeurs à copier ci-dessous (elles figurent toutes dans les métadonnées de l'application).

3. Remplissez les champs suivants :

   • Sign in URL: définir l'URL de connexion du fournisseur d'identité pour identifier les utilisateurs.
   • Certificate: copiez-collez le certificat x509 du fournisseur d'identité.
   • User ID (email) attribute for Centreon user: définit quelle variable renvoyée par le fournisseur d'identité doit être utilisée pour authentifier les utilisateurs. Il doit être précédé de l'URL de l'espace de noms, que vous trouverez dans la configuration de l'application de votre fournisseur d'identité. Par exemple, http://schemas.xmlsoap.org/ws/2005/05/identity/claims/email. (Obligatoire.)
   • Sign out URL: lorsque les utilisateurs se déconnectent de Centreon, ils seront redirigés vers cette URL. Cela signifie que vous pouvez également les déconnecter du fournisseur d'identité.

4. Role mapping:

   • Role attribute path: Récupérez cette valeur dans les métadonnées de votre application. Exemple : http://schemas.xmlsoap.org/ws/2005/05/identity/claims/role.

   • Créez les mappings désirés. Il existe 3 rôles dans le CIAM (User, Editor et Administrator) qui peuvent être mappés aux rôles que vous avez créés dans votre fournisseur d'identité (un rôle CIAM peut être mappé à un, plusieurs ou aucun rôle de votre IDP). Dans le champ Valeur de l'attribut, entrez la valeur exacte que vous avez définie pour chaque rôle dans votre fournisseur d'identité (la valeur, pas le nom d'affichage). Les utilisateurs qui se connectent à Centreon se verront automatiquement attribuer des droits sur les menus et les actions, car un rôle leur sera attribué selon les règles que vous avez définies.

   Il est possible de ne pas définir de mapping de rôles. Cette option est réservée à des fins de test. Dans ce cas, les utilisateurs devront être invités manuellement dans le CIAM avant de pouvoir rejoindre votre organisation à l'aide du SSO.

5. Group mapping:

   • Group attribute path: Récupérez cette valeur dans les métadonnées de votre application.
   • Grâce aux listes apparaissant en dessous, faites correspondre les valeurs d'attribut correctes avec les groupes d'utilisateurs du CIAM désirés. Cela déterminera quels droits les utilisateurs auront sur les ressources.

Étape 3 : Tester la connexion et activer SAML

Afin d'éviter toute erreur de configuration, il est obligatoire de tester la connexion avant de pouvoir l'activer. Vous serez redirigé vers votre IdP : entrez des identifiants valides pour effectuer le test. Pendant le test, le mapping des rôles est également vérifié, mais s'il échoue, la connexion pourra tout de même être activée.

1. Dans la section Activation, cliquez sur Test. Une fenêtre s'ouvre, avec les résultats du test.
2. Une fois le test réussi, activez l'option Enable Saml v2 Connection. Vos utilisateurs peuvent maintenant se connecter via leur fournisseur d'identité.