Accéder au contenu principal Passer au contenu complémentaire

Configurer le serveur SAML

Configurez le serveur SAML pour activer le serveur d'authentification externe à l'aide du protocole SAML 2.0.

Avant de commencer

  • En tant qu'administrateur, vous avez configuré l'application Talend Data Catalog dans votre système de fournisseur d’identité.
  • En tant qu'administrateur, vous avez configuré les utilisateurs et utilisatrices et les attributs d'utilisateur ou d'utilisatrice de votre application dans votre système de fournisseur d'identité.
  • Un rôle global avec la capacité Security Administration (Administration de la sécurité) vous a été assigné.

Procédure

  1. Allez dans MANAGE (GESTION) > Users (Utilisateurs).
  2. Dans le champ Authentication (Authentification) de la barre d'outils, sélectionnez SAML dans la liste déroulante.
  3. Cliquez sur l'icône Configure authentication (Configurer l'authentification), à côté de la liste déroulante.

    Talend Data Catalog n'utilise pas d'API Azure AD pour lire les affectations des groupes. Toutes les informations concernant l'utilisateur·trice sont extraites de la réponse SAML standard depuis AD FS. Un fournisseur d'identité compose la couche se reposant sur l'AD. Si l'utilisateur·trice a créé un mapping d'attribut pour l'attribut Groups (Groupes) et mappé ces mappings de groupes des groupes externes vers les groupes locaux, l'utilisateur·trice externe sera automatiquement attribué·e à un groupe local après sa connexion.

  4. Dans l'onglet Connection (Connexion), renseignez les informations requises pour lier Talend Data Catalog à votre fournisseur d'identité.
    Champ Action
    Identity Provider Entity ID (ID de l'entité du fournisseur d'identité) Saisissez l'URL du serveur de votre fournisseur d'identité.
    Service Provider Entity ID

    Saisissez le nom d'hôte du fournisseur de service. Si le serveur d'application Talend Data Catalog est derrière un répartiteur de charge ou un serveur proxy, le nom de l'hôte doit être celui du répartiteur de charge ou du serveur proxy. Ce nom d'hôte est utilisé pour émettre les requêtes SAML générées par le serveur d'application Talend Data Catalog. Configurez l'ID de l'application et la restriction d'audience sur le serveur du fournisseur d'identité.

    Identity Provider X509 Certificate (Certificat X509 du fournisseur d'identité) Saisissez le certificat public X509 de votre fournisseur d'identité qui permet à Talend Data Catalog de vérifier les signatures et d'établir la confiance dans les message échangés.
    Binding Type (Type de liaison)
    Sélectionnez comment accomplir la liaison :
    • HTTP-Redirect :

      Talend Data Catalog envoie une demande d'authentification SAML au service SSO du fournisseur d'identité à l'aide de la liaison HTTP-Redirect.

      Note InformationsRemarque : Comme Talend Data Catalog n'a pas la clé privée du fournisseur d'identité, la requête d'authentification SAML envoyée par Talend Data Catalog peut être signée mais pas chiffrée. Talend Data Catalog utilise la clé privée et le certificat X509 du fournisseur de service pour signer la requête d'authentification SAML.
    • HTTP-POST :

      Le fournisseur d'identité retourne la réponse SAML au service consommateur d'assertions de Talend Data Catalog, à l'aide de la liaison HTTP-POST.

      Note InformationsRemarque : Comme Talend Data Catalog n'a pas la clé privée du fournisseur d'identité, l'assertion SAML reçue par Talend Data Catalog peut être signée, mais pas chiffrée.

      Pour valider la signature, Talend Data Catalog n'a besoin que de la clé publique du fournisseur d'identité. L'assertion doit être signée pour que Talend Data Catalog puisse vérifier que le contenu de l'assertion n'a pas été modifié lors du transfert.

    Single Sign On URL (URL du SSO)

    Saisissez l'URL du SSO.

    Assertion Consumer Service URL (URL du service de consommation d'assertions)

    Liaison du protocole SAML à utiliser pour retourner la réponse SAML depuis le serveur IdP si un serveur proxy ou un répartiteur de charge est utilisé du côté du fournisseur de service. Cette URL est utilisée comme récepteur ou URL de destination des réponses SAML. Si le serveur d'application Talend Data Catalog est derrière un répartiteur de charge ou un serveur proxy, le protocole, le nom de l'hôte et le port dans l'URL doivent correspondre à ceux du du répartiteur de charge ou du serveur proxy.

    Service Provider Private Key (Clé privée du fournisseur de service)

    Clé privée du fournisseur de service.

    Service Provider X509 Certificate (Certificat X509 du fournisseur de service)

    Certificat X509 public du fournisseur de service.

    Si la clé privée et le certificat X509 du fournisseur de service sont spécifié·es, les requêtes d'authentification SAML seront signées par le fournisseur du service du serveur d'application.

    SAML Response Signature Element (Élément de signature de réponse SAML)

    Sélectionnez l'une des valeurs dans la liste déroulante afin de spécifier si le message de réponse d'authentification SAML et l'assertion SAML sont signé·es numériquement par le fournisseur d'identité ou non.

    Talend Data Catalog retourne un message d'erreur lors de la connexion si un élément est configuré comme signé mais n'a pas été signé par le fournisseur d'identité.

    Si un élément est configuré comme non signé, Talend Data Catalog ne valide pas la signature dans cet élément, même si l'élément peut avoir été signé par le fournisseur d'identité.

    L'option Import IDP metadata (Importer les métadonnées IDP) permet au serveur d'application de lire le fichier de métadonnées SAML du fournisseur d'identité, qui est un document XML contenant les informations nécessaires aux interactions avec le fournisseur d'identité. Ce document contient les URL des endpoints, des informations concernant les liaisons supportées, des identifiants et des clés publiques. Après avoir parsé le fichier de métadonnées SAML, le serveur d'application renseigne automatiquement les autres champs à partir des valeurs spécifiées dans le fichier de métadonnées SAML. Vous devez configurer les mappings d'attributs (Attribute Mappings) et les mappings de groupes (Group Mappings) pour terminer la configuration du serveur SAML.

    L'option Export SP metadata (Exporter les métadonnées SP) vous permet d'exporter les métadonnées du fournisseur du serveur SAML. Le serveur d'application SP utilise le protocole (http ou https), le nom du serveur et le numéro de port utilisés par le navigateur afin de générer les URLs endpoint dans les métadonnées. S'il ne fonctionne pas, il est possible que vous ayiez besoin de personnaliser le fichier de métadonnées SP généré automatiquement.

  5. Dans l'onglet Attribute Mappings (Mappings des attributs), mappez les attributs du compte utilisateur·rice externe aux attributs utilisateurs·rices de Talend Data Catalog, comme Login (Identifiant), Full Name (nom complet), Email (E-mail) ou Groups (Groupes).
  6. Dans l'onglet Group Mappings (Mappings de groupes), cliquez sur Add Assignment (Ajouter une attribution) pour mapper l'attribut de groupe du compte utilisateur·trice externe au nom du groupe de Talend Data Catalog.
    Pour activer l'attribution automatique de groupe, renseignez l'attribut Groups (Groupes) avec le nom du champ correspondant dans les informations du compte utilisateur·rice. Talend Data Catalog utilise la valeur de ce champ comme attribution de groupe de sécurité.
    Les informations de compte utilisateur·trice sont retournées depuis le serveur SAML vers Talend Data Catalog après validation d'un jeton d'accès par le serveur SAML lors d'une demande de connexion.
    Vous pouvez utiliser le caractère de remplacement ("%") lors de la configuration des mappings de groupes. Le % correspond à zéro caractère ou à plus.
    Lorsque vous alimentez un attribut SAML pour l'attribution de groupe, vous passez d'une attribution de groupe native et gérée manuellement à une attribution de groupe automatique gérée par SAML, pour tous·tes les utilisateur·trices SAML. en tant qu'utilisateur ou utilisatrice SAML, vous perdez l'attribution de groupe précédente lors de votre prochaine connexion.

    Lorsque vous supprimez le dernier attribut SAML pour l'attribution de groupe, vous passez d'une attribution de groupe gérée par SAML à une attribution de groupe native. Les utilisateur·trices SAML seront associé·es au groupe Guest (Invité), jusqu'à leur attribution à d'autres groupes.

  7. Sauvegardez vos modifications.

Résultats

Vous pouvez vous connecter à Talend Data Catalog via votre fournisseur d'identité.

Cette page vous a-t-elle aidé ?

Si vous rencontrez des problèmes sur cette page ou dans son contenu – une faute de frappe, une étape manquante ou une erreur technique – faites-le-nous savoir.