Activer l'authentification unique (SSO)
Pourquoi et quand exécuter cette tâche
Vous pouvez activer le SSO pour accéder à Talend Administration Center depuis différents systèmes d'IdP (fournisseurs d'identité) ainsi que pour gérer les rôles et types de projets des utilisateurs et des utilisatrices de l'application depuis ces fournisseurs.
Procédure
- Dans la page Configuration, développez le nœud SSO.
-
Si le SSO n'a pas été précédemment activé, sélectionnez true dans le champ Use SSO Login.
Note InformationsRemarque : Si le jeton d'accès personnel est activé, lorsque le SSO est activé ou désactivé, tous les jetons d'accès personnels sont réinitialisés. Pour plus d'informations, consultez Configurer la politique de sécurité.
- Cliquez sur Launch Upload dans le champ IDP metadata et chargez le fichier de métadonnées de l'IdP (fournisseur d'identité) que vous avez téléchargé précédemment depuis le Fournisseur d'identité (IdP).
- Dans le champ Service Provider Entity ID, saisissez l'identifiant de l'Entité de votre Fournisseur de service (disponible dans la configuration du Fournisseur d'identité), par exemple http://localhost:8080/org.talend.administrator/ssologin.
-
Dans la liste IDP Authentication Plugin, sélectionnez le fournisseur d'identité entre Okta, ADFS, ADFS3, ADFS4, PingFederate, SiteMinder, Custom plugin (Plug-in personnalisé) et Keycloak.
Si Custom plugin est sélectionné, une boîte de dialogue Upload IDP Authentication Plugin s'affiche et vous invite à charger le fichier de métadonnées du fournisseur d'identité personnalisé. Si vous avez activé le jeton d'accès personnalisé, vous pouvez utiliser le jeton d'accès personnalisé et ignorer la configuration du plug-in d'authentification IDP.SI Keycloak est sélectionné, suivez l'étape 5 de ce lien pour activer le jeton d'accès personnel.Les fichiers Jar fournis par Qlik se trouvent dans le répertoire <TomcatPath>/webapps/org.talend.administrator/idp/plugins.Note InformationsRemarque : Si vous utilisez un plug-in personnalisé pour le SSO, vous devez modifier le fichier <TomcatPath>\conf\server.xml en modifiant la valeur d'autodeploy à false dans le bloc de code suivant. Sinon, le plug-in personnalisé de fournisseur d'identité sera supprimé lors du redémarrage de Tomcat.
<Host name="localhost" appBase="webapps" unpackWARs="true" autoDeploy="true">
-
Cliquez sur Identity Provider Configuration et renseignez les informations requises.
Exemple
Exemple de configuration PingFederate :Exemple
Exemple de configuration Okta : -
Définissez le champ Use Role Mapping à true pour faire correspondre les types de projet et rôles utilisateur·rice des applications avec ceux définis dans le fournisseur d'identité.
Une fois les rôles et types de projet définis côté fournisseur d'identité, vous ne pourrez pas les modifier depuis Talend Administration Center.Exemples pour les types de projets :
- MDM=MDM; DI = DI; DQ=DQ; NPA=NPA
Exemples pour les rôles :- Rôles Talend Administration Center
- Administrator = tac_admin
- Operation Manager = tac_om
Note InformationsRemarque : Configurer les rôles dans Talend Administration Center est obligatoire. - Rôles Talend Data Preparation
- Administrator = dp_admin
- Data Preparator = dp_dp
- Rôles Talend Data Stewardship
- Data Steward = tds_ds
Attributs Role Mappings (Mappings de rôles) : Dans le cas d'une liste d'identifiants de sécurité, vous devez modifier la valeur par défaut du nom de l'attribut SAML (tac.role) en tokenGroups.
Si votre entreprise n'accepte pas les attributs personnalisés dans le jeton SAML :- Sélectionnez Show Advanced Configuration dans l'assistant et, dans le champ Path to Value, saisir l'expression XPath pour cibler la valeur SAML et mapper l'objet Talend Administration Center correspondant (Project Types, Roles, Email, First Name, Last Name).
Par exemple, l'expression XPath pour le type de projet DI : /saml2p:Response/saml2:Assertion/saml2:AttributeStatement/saml2:Attribute[@Name='tac.projectType']/saml2:AttributeValue/text()
- Définissez le champ Use Role Mapping à false.
Dans ce cas, vous ne pouvez créer manuellement les utilisateurs et utilisatrices, mais le type d'utilisateur ou d'utilisatrice et ses rôles peuvent être modifiés plus tard dans Talend Administration Center.
Lorsqu'un utilisateur ou une utilisatrice se connecte pour la première fois, son type est No Project access.
Les types de rôles et projets configurés dans le fournisseur d'identité écrasent les rôles configurés dans Talend Administration Center lors de la connexion de l'utilisateur ou de l'utilisatrice.Notez que le délai par défaut pour vous connecter est de 120 secondes, vous pouvez le modifier en ajoutant le paramètre sso.config.clientLoginTimeout avec le délai souhaité dans le fichier <ApplicationPath>/WEB-INF/classes/configuration.properties. -
Dans le champ Redirect URL on Logout, saisissez l'URL du fournisseur d'identité que vers lequel vous voulez rediriger le navigateur lors de la déconnexion de Talend Administration Center.
Si ce champ est vide, vous serez redirigé vers l'emplacement par défaut de Talend Administration Center lors de la déconnexion.
Cette page vous a-t-elle aidé ?
Si vous rencontrez des problèmes sur cette page ou dans son contenu – une faute de frappe, une étape manquante ou une erreur technique – faites-le-nous savoir.