Aller au contenu principal
Version: 22.04

Configurer une authentification par OpenId Connect

Centreon est compatible avec l'authentification OAuth 2.0/OpenId Connect.

Il est possible d'utiliser un fournisseur d'identité (IdP) tel que Microsoft Azure AD, Okta, Keycloak, LemonLDAP::NG ou tout autre IdP compatible avec le flux d'autorisation via un code (Authorization Code Grant).

Configurer l'authentification OpenID Connect​

L'authentification se paramĂštre Ă  la page Administration > Authentification > OpenId Connect Configuration :

image

Étape 1 : Activer l'authentification​

Activez l'authentification OpenID Connect :

  • Enable OpenId Connect authentication : active/dĂ©sactive l'authentification OpenId Connect.
  • Mode d'authentification : indique si l'authentification doit se faire uniquement par OpenId Connect ou en utilisant Ă©galement l'authentification locale (Mixte). En mode mixte, des utilisateurs crĂ©Ă©s manuellement dans Centreon (et non identifiĂ©s par OpenID) pourront Ă©galement se connecter.

Lors du paramétrage, il est recommandé d'activer le mode "mixte". Cela vous permettra de garder l'accÚs au compte local admin en cas de configuration érronée.

Étape 2 : Configurer les informations d'accĂšs au fournisseur d'identité​

Renseignez les informations du fournisseur d'identité :

  • URL de base : dĂ©finit l'URL de base du fournisseur d'identitĂ© pour les points d'entrĂ©e OpenId Connect (obligatoire).
  • Point d'entrĂ©e d'autorisation : dĂ©finit le point d'entrĂ©e d'autorisation, par exemple /authorize (obligatoire).
  • Point d'entrĂ©e de jeton : dĂ©finit le point d'entrĂ©e du jeton, par exemple /token (obligatoire).
  • ID de client : dĂ©finit l'ID client.
  • Secret de client : dĂ©finit le secret client.
  • PortĂ©es : dĂ©finit la portĂ©e du fournisseur d'identitĂ©, par exemple openid. SĂ©parez diffĂ©rentes portĂ©es par des espaces.

    Selon le fournisseur d'identité, il est nécessaire de saisir plusieurs portées (scopes) afin de récupérer la valeur (claim) qui identifiera l'utilisateur. Ceci est indiqué dans la documentation de configuration du fournisseur.

  • Valeur de la dĂ©claration de connexion : dĂ©finit quelle variable renvoyĂ©e par les points d'entrĂ©e Point d'entrĂ©e de jeton d'introspection ou Point d'entrĂ©e d'information utilisateur doit ĂȘtre utilisĂ©e pour authentifier l'utilisateur. Par exemple sub ou email.
  • Point d'entrĂ©e de fin de session : dĂ©finit le point d'entrĂ©e de dĂ©connexion, par exemple /logout.

Suivant votre fournisseur d'identité, définissez l'un ou l'autre des deux endpoints suivants :

  • Point d'entrĂ©e de jeton d'introspection : dĂ©finit le point d'entrĂ©e du jeton d'introspection, par exemple /introspect (obligatoire).
  • Point d'entrĂ©e d'information utilisateur : dĂ©finit le point d'entrĂ©e des informations utilisateur, par exemple /userinfo.

Vous pouvez également configurer :

  • Utiliser l'authentification basique pour l'authentification du point d'entrĂ©e de jeton : si cette option est activĂ©e, la mĂ©thode Authorization: Basic sera utilisĂ©e. Activez cette option si votre fournisseur d'identitĂ© le demande.
  • Disable SSL verify peer : permet de dĂ©sactiver la validation des pairs SSL. Le certificat du fournisseur d'identitĂ© ne sera pas vĂ©rifiĂ© : cette option ne doit ĂȘtre utilisĂ©e qu'Ă  des fins de test.

Il est possible de dĂ©finir une URL complĂšte pour les points de entrĂ©e au cas oĂč la base de l'URL est diffĂ©rente des autres.

Vous pouvez activer Authentification debug via le menu Administration > Parameters > Debug pour comprendre les échecs d'authentification et améliorer votre configuration.

Étape 3 : Configurer les adresses des clients​

Si vous laissez ces deux champs vides, toutes les adresses IP seront autorisées à accéder à l'interface Centreon.

  • Adresses de clients de confiance : Si vous entrez des adresses IP dans ce champ, seules ces adresses IP seront autorisĂ©es Ă  accĂ©der Ă  l'interface Centreon. Toutes les autres adresses IP seront bloquĂ©es. SĂ©parez les adressses IP par des virgules.
  • Adresses de clients sur liste noire : Ces adresses IP seront bloquĂ©es. Toutes les autres adresses IP seront autorisĂ©es.

Étape 4 : GĂ©rer la crĂ©ation des utilisateurs​

image

Si vous activez l'import automatique des utilisateurs, les utilisateurs qui se connecteront à Centreon pour la premiÚre fois seront créés dans la configuration Centreon. (Activer l'option n'importe pas automatiquement tous les utilisateurs de votre infrastructure.)

  • Activer l'importation automatique : active/dĂ©sactive l'import automatique des utilisateurs. Si l'import automatique des utilisateurs est dĂ©sactivĂ©, vous devrez crĂ©er chaque utilisateur manuellement avant que celui-ci ne se connecte.
  • ModĂšle de contact : sĂ©lectionnez un modĂšle de contact qui sera appliquĂ© aux nouveaux utilisateurs importĂ©s. Cela permet notamment de gĂ©rer le paramĂ©trage par dĂ©faut des notifications.
  • Attribut de l'email : dĂ©finit quelle variable renvoyĂ©e par les points d'entrĂ©e Point d'entrĂ©e de jeton d'introspection ou Point d'entrĂ©e d'information utilisateur doit ĂȘtre utilisĂ©e pour rĂ©cupĂ©rer l'adresse email de l'utilisateur.
  • Attribut du nom complet : dĂ©finit quelle variable renvoyĂ©e par les points d'entrĂ©e Point d'entrĂ©e de jeton d'introspection ou Point d'entrĂ©e d'information utilisateur doit ĂȘtre utilisĂ©e pour rĂ©cupĂ©rer le nom complet de l'utilisateur.

Étape 5 : GĂ©rer les autorisations​

image

Attribuez des droits aux utilisateurs en les liant Ă  des groupes d'accĂšs :

  • Groupe de contacts : SĂ©lectionnez un groupe de contacts auquel seront ajoutĂ©s automatiquement les utilisateurs lors de leur connexion Ă  l'interface Centreon.
  • ClĂ© d'autorisation : dĂ©finit quelle variable renvoyĂ©e par les points d'entrĂ©e Point d'entrĂ©e de jeton d'introspection ou Point d'entrĂ©e d'information utilisateur doit ĂȘtre utilisĂ©e pour rĂ©cupĂ©rer la liste des groupes auxquels appartient l'utilisateur. Si ce paramĂštre n'est pas renseignĂ©, la valeur groups sera appliquĂ©e par dĂ©faut.
  • DĂ©finissez ensuite des couples entre une Valeur d'autorisation et un groupe d'accĂšs Centreon pour attribuer des droits Ă  l'utilisateur lors de sa connexion Ă  l'interface.

A chaque connexion de l'utilisateur, la gestion des autorisations est réinitialisée pour tenir compte des informations provenant du fournisseur d'identité.

Étape 6 : Configurer le fournisseur d'identité​

Configurer votre fournisseur d'identité pour ajouter l'application Centreon à utiliser le protocole OpenID Connect pour authentifier vos utilisateur, et pour autoriser l'uri de redirection suivante une fois vos utilisateurs authentifiés :

{protocol}://{server}:{port}/centreon/authentication/providers/configurations/openid

Remplacez {protocol}, {server} et {port} par l'URI permettant d'accéder à votre serveur Centreon. Par exemple : https://centreon.domain.net/centreon/authentication/providers/configurations/openid

Exemples de configuration​

Voici un exemple de configuration pour Microsoft Azure Active Directory:

ChampsValeurs
Base Urlhttps://login.microsoftonline.com/${tenantId}/oauth2/v2.0
Authorization Endpoint/authorize
Token Endpoint/token
User Information Endpointhttps://graph.microsoft.com/oidc/userinfo
End Session Endpoint
Scopeopenid
Login claim valueemail
Client ID${clientId}
Client Secret${clientSecret}

Remplacez ${tenantId}, ${clientId} et ${clientSecret} par vos propres valeurs.