Aller au contenu principal
Version: ⭐ 22.04

Configurer une authentification par OpenId Connect

Centreon est compatible avec l'authentification OAuth 2.0/OpenId Connect.

Il est possible d'utiliser un fournisseur d'identité (IdP) tel que Microsoft Azure AD, Okta, Keycloak, LemonLDAP::NG ou tout autre IdP compatible avec le flux d'autorisation via un code (Authorization Code Grant).

Configurer l'authentification OpenID Connect

L'authentification se paramètre à la page Administration > Authentification > OpenId Connect Configuration :

image

Étape 1 : Activer l'authentification

Activez l'authentification OpenID Connect :

  • Enable OpenId Connect authentication : active/désactive l'authentification OpenId Connect.
  • Mode d'authentification : indique si l'authentification doit se faire uniquement par OpenId Connect ou en utilisant également l'authentification locale (Mixte). En mode mixte, des utilisateurs créés manuellement dans Centreon (et non identifiés par OpenID) pourront également se connecter.

Lors du paramétrage, il est recommandé d'activer le mode "mixte". Cela vous permettra de garder l'accès au compte local admin en cas de configuration érronée.

Étape 2 : Configurer les informations d'accès au fournisseur d'identité

Renseignez les informations du fournisseur d'identité :

  • URL de base : définit l'URL de base du fournisseur d'identité pour les points d'entrée OpenId Connect (obligatoire).
  • Point d'entrée d'autorisation : définit le point d'entrée d'autorisation, par exemple /authorize (obligatoire).
  • Point d'entrée de jeton : définit le point d'entrée du jeton, par exemple /token (obligatoire).
  • ID de client : définit l'ID client.
  • Secret de client : définit le secret client.
  • Portées : définit la portée du fournisseur d'identité, par exemple openid. Séparez différentes portées par des espaces.

    Selon le fournisseur d'identité, il est nécessaire de saisir plusieurs portées (scopes) afin de récupérer la valeur (claim) qui identifiera l'utilisateur. Ceci est indiqué dans la documentation de configuration du fournisseur.

  • Valeur de la déclaration de connexion : définit quelle variable renvoyée par les points d'entrée Point d'entrée de jeton d'introspection ou Point d'entrée d'information utilisateur doit être utilisée pour authentifier l'utilisateur. Par exemple sub ou email.
  • Point d'entrée de fin de session : définit le point d'entrée de déconnexion, par exemple /logout.

Suivant votre fournisseur d'identité, définissez l'un ou l'autre des deux endpoints suivants :

  • Point d'entrée de jeton d'introspection : définit le point d'entrée du jeton d'introspection, par exemple /introspect (obligatoire).
  • Point d'entrée d'information utilisateur : définit le point d'entrée des informations utilisateur, par exemple /userinfo.

Vous pouvez également configurer :

  • Utiliser l'authentification basique pour l'authentification du point d'entrée de jeton : si cette option est activée, la méthode Authorization: Basic sera utilisée. Activez cette option si votre fournisseur d'identité le demande.
  • Disable SSL verify peer : permet de désactiver la validation des pairs SSL. Le certificat du fournisseur d'identité ne sera pas vérifié : cette option ne doit être utilisée qu'à des fins de test.

Il est possible de définir une URL complète pour les points de entrée au cas où la base de l'URL est différente des autres.

Vous pouvez activer Authentification debug via le menu Administration > Parameters > Debug pour comprendre les échecs d'authentification et améliorer votre configuration.

Étape 3 : Configurer les adresses des clients

Si vous laissez ces deux champs vides, toutes les adresses IP seront autorisées à accéder à l'interface Centreon.

  • Adresses de clients de confiance : Si vous entrez des adresses IP dans ce champ, seules ces adresses IP seront autorisées à accéder à l'interface Centreon. Toutes les autres adresses IP seront bloquées. Séparez les adressses IP par des virgules.
  • Adresses de clients sur liste noire : Ces adresses IP seront bloquées. Toutes les autres adresses IP seront autorisées.

Étape 4 : Créer les utilisateurs

À la page Configuration > Utilisateurs > Contacts/Utilisateurs, créez les utilisateurs qui se connecteront à Centreon avec OpenID et donnez-leur des droits via des groupes d'accès.

Step 5: Configurer le fournisseur d'identité

Configurer votre fournisseur d'identité pour ajouter l'application Centreon à utiliser le protocole OpenID Connect pour authentifier vos utilisateur, et pour autoriser l'uri de redirection suivante une fois vos utilisateurs authentifiés :

{protocol}://{server}:{port}/centreon/authentication/providers/configurations/openid

Remplacez {protocol}, {server} et {port} par l'URI permettant d'accéder à votre serveur Centreon. Par exemple : https://centreon.domain.net/centreon/authentication/providers/configurations/openid

Exemples de configuration

Voici un exemple de configuration pour Microsoft Azure Active Directory:

ChampsValeurs
Base Urlhttps://login.microsoftonline.com/${tenantId}/oauth2/v2.0
Authorization Endpoint/authorize
Token Endpoint/token
User Information Endpointhttps://graph.microsoft.com/oidc/userinfo
End Session Endpoint
Scopeopenid
Login claim valueemail
Client ID${clientId}
Client Secret${clientSecret}

Remplacez ${tenantId}, ${clientId} et ${clientSecret} par vos propres valeurs.