Aller au contenu principal
Version: 22.04

Configurer une authentification par OpenId Connect

Centreon est compatible avec l'authentification OAuth 2.0/OpenId Connect.

Il est possible d'utiliser un fournisseur d'identité (IdP) tel que Microsoft Azure AD, Okta, Keycloak, LemonLDAP::NG ou tout autre IdP compatible avec le flux d'autorisation via un code (Authorization Code Grant).

Configurer l'authentification OpenID Connect

L'authentification se paramètre à la page Administration > Authentification > OpenId Connect Configuration :

image

Étape 1 : Activer l'authentification

Activez l'authentification OpenID Connect :

  • Enable OpenId Connect authentication : active/désactive l'authentification OpenId Connect.
  • Mode d'authentification : indique si l'authentification doit se faire uniquement par OpenId Connect ou en utilisant également l'authentification locale (Mixte). En mode mixte, des utilisateurs créés manuellement dans Centreon (et non identifiés par OpenID) pourront également se connecter.

Lors du paramétrage, il est recommandé d'activer le mode "mixte". Cela vous permettra de garder l'accès au compte local admin en cas de configuration érronée.

Étape 2 : Configurer les informations d'accès au fournisseur d'identité

Renseignez les informations du fournisseur d'identité :

  • URL de base : définit l'URL de base du fournisseur d'identité pour les points d'entrée OpenId Connect (obligatoire).
  • Point d'entrée d'autorisation : définit le point d'entrée d'autorisation, par exemple /authorize (obligatoire).
  • Point d'entrée de jeton : définit le point d'entrée du jeton, par exemple /token (obligatoire).
  • ID de client : définit l'ID client.
  • Secret de client : définit le secret client.
  • Portées : définit la portée du fournisseur d'identité, par exemple openid. Séparez différentes portées par des espaces.

    Selon le fournisseur d'identité, il est nécessaire de saisir plusieurs portées (scopes) afin de récupérer la valeur (claim) qui identifiera l'utilisateur. Ceci est indiqué dans la documentation de configuration du fournisseur.

  • Valeur de la déclaration de connexion : définit quelle variable renvoyée par les points d'entrée Point d'entrée de jeton d'introspection ou Point d'entrée d'information utilisateur doit être utilisée pour authentifier l'utilisateur. Par exemple sub ou email.
  • Point d'entrée de fin de session : définit le point d'entrée de déconnexion, par exemple /logout.

Suivant votre fournisseur d'identité, définissez l'un ou l'autre des deux endpoints suivants :

  • Point d'entrée de jeton d'introspection : définit le point d'entrée du jeton d'introspection, par exemple /introspect (obligatoire).
  • Point d'entrée d'information utilisateur : définit le point d'entrée des informations utilisateur, par exemple /userinfo.

Vous pouvez également configurer :

  • Utiliser l'authentification basique pour l'authentification du point d'entrée de jeton : si cette option est activée, la méthode Authorization: Basic sera utilisée. Activez cette option si votre fournisseur d'identité le demande.
  • Disable SSL verify peer : permet de désactiver la validation des pairs SSL. Le certificat du fournisseur d'identité ne sera pas vérifié : cette option ne doit être utilisée qu'à des fins de test.

Il est possible de définir une URL complète pour les points de entrée au cas où la base de l'URL est différente des autres.

Vous pouvez activer Authentification debug via le menu Administration > Parameters > Debug pour comprendre les échecs d'authentification et améliorer votre configuration.

Étape 3 : Configurer les adresses des clients

Si vous laissez ces deux champs vides, toutes les adresses IP seront autorisées à accéder à l'interface Centreon.

  • Adresses de clients de confiance : Si vous entrez des adresses IP dans ce champ, seules ces adresses IP seront autorisées à accéder à l'interface Centreon. Toutes les autres adresses IP seront bloquées. Séparez les adressses IP par des virgules.
  • Adresses de clients sur liste noire : Ces adresses IP seront bloquées. Toutes les autres adresses IP seront autorisées.

Étape 4 : Gérer la création des utilisateurs

image

Si vous activez l'import automatique des utilisateurs, les utilisateurs qui se connecteront à Centreon pour la première fois seront créés dans la configuration Centreon. (Activer l'option n'importe pas automatiquement tous les utilisateurs de votre infrastructure.)

  • Activer l'importation automatique : active/désactive l'import automatique des utilisateurs. Si l'import automatique des utilisateurs est désactivé, vous devrez créer chaque utilisateur manuellement avant que celui-ci ne se connecte.
  • Modèle de contact : sélectionnez un modèle de contact qui sera appliqué aux nouveaux utilisateurs importés. Cela permet notamment de gérer le paramétrage par défaut des notifications.
  • Attribut de l'email : définit quelle variable renvoyée par les points d'entrée Point d'entrée de jeton d'introspection ou Point d'entrée d'information utilisateur doit être utilisée pour récupérer l'adresse email de l'utilisateur.
  • Attribut du nom complet : définit quelle variable renvoyée par les points d'entrée Point d'entrée de jeton d'introspection ou Point d'entrée d'information utilisateur doit être utilisée pour récupérer le nom complet de l'utilisateur.

Étape 5 : Gérer les autorisations

image

Attribuez des droits aux utilisateurs en les liant à des groupes d'accès :

  • Groupe de contacts : Sélectionnez un groupe de contacts auquel seront ajoutés automatiquement les utilisateurs lors de leur connexion à l'interface Centreon.
  • Clé d'autorisation : définit quelle variable renvoyée par les points d'entrée Point d'entrée de jeton d'introspection ou Point d'entrée d'information utilisateur doit être utilisée pour récupérer la liste des groupes auxquels appartient l'utilisateur. Si ce paramètre n'est pas renseigné, la valeur groups sera appliquée par défaut.
  • Définissez ensuite des couples entre une Valeur d'autorisation et un groupe d'accès Centreon pour attribuer des droits à l'utilisateur lors de sa connexion à l'interface.

A chaque connexion de l'utilisateur, la gestion des autorisations est réinitialisée pour tenir compte des informations provenant du fournisseur d'identité.

Étape 6 : Configurer le fournisseur d'identité

Configurer votre fournisseur d'identité pour ajouter l'application Centreon à utiliser le protocole OpenID Connect pour authentifier vos utilisateur, et pour autoriser l'uri de redirection suivante une fois vos utilisateurs authentifiés :

{protocol}://{server}:{port}/centreon/authentication/providers/configurations/openid

Remplacez {protocol}, {server} et {port} par l'URI permettant d'accéder à votre serveur Centreon. Par exemple : https://centreon.domain.net/centreon/authentication/providers/configurations/openid

Exemples de configuration

Voici un exemple de configuration pour Microsoft Azure Active Directory:

ChampsValeurs
Base Urlhttps://login.microsoftonline.com/${tenantId}/oauth2/v2.0
Authorization Endpoint/authorize
Token Endpoint/token
User Information Endpointhttps://graph.microsoft.com/oidc/userinfo
End Session Endpoint
Scopeopenid
Login claim valueemail
Client ID${clientId}
Client Secret${clientSecret}

Remplacez ${tenantId}, ${clientId} et ${clientSecret} par vos propres valeurs.