Accéder au contenu principal Passer au contenu complémentaire

Sécuriser les connexions pour Talend Identity and Access Management

Utilisez le SSL avec un certificat auto-signé pour vous connecter à Talend Identity and Access Management.

Procédure

  1. Placez votre fichier JKS dans le dossier <installation_path>/config.
  2. Ouvrez le fichier <installation_path>/start.sh pour le modifier.
  3. Ajoutez les paramètres suivants. 
    export SERVER_SSL_KEYSTORE=<absolute_path_to_your_jks_file> (for example: /keysotre/server.jks)
export SERVER_SSL_KEYSTOREPASSWORD=<secret>
export SERVER_SSL_KEYPASSWORD=<secret>
  4. Ouvrez le fichier <installation_path>/config/iam.properties et modifiez l'URL ci-dessous du format http au format https : 
    oidc.url=https://${oidc.host}:${oidc.port}${oidc.context}
  5. Facultatif : Si vous avez activé la connexion SSL pour Talend Administration Center, dans <installation_path>/config/iam.properties, modifiez l'URL suivante de http à https : 
    tac.url=https://<host_name>:<port>/org.talend.administrator
  6. Facultatif : Si votre Talend Administration Center utilise des certificats autosignés pour le SSL, comme décrit dans Configurer le support des protocoles TLS/SSL dans Talend Administration Center, procédez comme suit :
    1. Récupérez le certificat de Talend Administration Center, ou bien son Autorité de Certification, et pour l'ajouter au TrustStore de Talend Identity and Access Management en utilisant la commande suivante : 
      keytool -import -trustcacerts -alias <cert-alias> -file <TAC_certificate.crt> -keystore <IAM_truststore.jks>
    2. Ajoutez la ligne suivante dans start.sh : 
      JAVA_OPTS="${JAVA_OPTS} -Djavax.net.ssl.trustStore=/path/to/trustStore -Djavax.net.ssl.trustStorePassword=trustStore_password"
  7. Facultatif : Pour activer la connexion SSL pour les modules, tels que Talend Data Stewardship ou Talend Data Preparation, procédez comme suit :
  8. Redémarrez Talend Identity and Access Management.

Configuration supplémentaire du KeyStore pour Talend Identity and Access Management en tant que service

Ces modifications de configuration sont nécessaires uniquement si vous avez installé Talend Identity and Access Management en tant que service système.

Effectuez ces modifications pour les services OIDC et SCIM de Talend Identity and Access Management.

Procédure

  1. Trouvez les fichiers systemd du service Talend Identity and Access Management dans le dossier /etc/systemd/system.
    Les noms de fichiers sont les suivants :
    • talend-iam-oidc-8.0.1.service
    • talend-iam-scim-8.0.1.service
    Le numéro 8.0.1 représente la version installée et utilisée dans cet exemple.
  2. Ouvrez les fichiers du service dans un éditeur de texte, à l'aide des droits sudo, car les fichiers appartiennent à l'utilisateur·trice racine (root).
    Par exemple, le contenu du fichier talend-iam-oidc-8.0.1.service est : 
     # systemd descriptor file for IAM service

[Unit]
Description=Talend Identity Access management service (OIDC)
Before=runlevel3.target runlevel5.target
After=local-fs.target remote-fs.target network-online.target time-sync.target postgresql.target systemd-journald-dev-log.socket
Wants=network-online.target
Conflicts=shutdown.target

[Service]
Type=simple
Restart=no
KillMode=process
Restart=no
Environment=SPRING_PROFILES_ACTIVE=onpremise
ExecStart=/usr/lib/jvm/jre-17/bin/java -Dfile.encoding=UTF-8 -Dspring.mvc.locale=en_US -server -Xms2048m -Xmx2048m -XX:NewSize=256m -XX:MaxNewSize=256m -XX:+DisableExplicitGC -Dencryption.keys.file=config/keys.properties -jar lib/oidc.jar
#ExecStop=
User=talenduser
Group=talendgroup
WorkingDirectory=/opt/Talend-8.0.1/iam
SuccessExitStatus=143 SIGKILL

[Install]
WantedBy=multi-user.target
  3. Trouvez la ligne Environment=SPRING_PROFILES_ACTIVE=onpremise.
  4. Ajoutez les paramètres de KeyStore après la ligne existante : 
    Environment=SPRING_PROFILES_ACTIVE=onpremise
Environment=SERVER_SSL_KEYSTORE=/keystore/server.jks
Environment=SERVER_SSL_KEYSTOREPASSWORD=Password1
Environment=SERVER_SSL_KEYPASSWORD=Password2
ExecStart=/usr/lib/jvm/jre-17/bin/java -Dfile.encoding=UTF-8 -Dspring.mvc.locale=en_US -server -Xms2048m -Xmx2048m -XX:NewSize=256m -XX:MaxNewSize=256m -XX:+DisableExplicitGC -Dencryption.keys.file=config/keys.properties -jar lib/oidc.jar
  5. Facultatif : Si votre Talend Administration Center utilise des certificats autosignés pour le SSL, comme décrit dans Configurer le support des protocoles TLS/SSL dans Talend Administration Center, ajoutez la configuration du TrustStore de votre Talend Identity and Access Management dans la propriété ExecStart. 
    -Djavax.net.ssl.trustStore=/path/to/trustStore -Djavax.net.ssl.trustStorePassword=trustStore_password

    Assurez-vous d'ajouter ces valeurs au milieu de la chaîne de caractères, avant -jar <nom du jar>. Le système interprète les chaînes de caractères après -jar <nom du jar> comme des paramètres d'invite de commande pour la fonction main de Java.

    Note InformationsAvertissement :

    Assurez-vous d'avoir ajouté le certificat de Talend Administration Center au TrustStore de Talend Identity and Access Management.

    Cela a été présenté dans la section précédente.

  6. Enregistrez le fichier talend-iam-oidc-8.0.1.service.
  7. Répétez ces opérations pour le fichier talend-iam-scim-8.0.1.service.
  8. Après avoir enregistré les deux fichiers, exécutez la commande suivante pour recharger l'environnement systemd : 
    sudo systemctl daemon-reload
  9. Redémarrez les deux services à l'aide des commandes suivantes : 
    sudo systemctl stop talend-iam-oidc-8.0.1.service
sudo systemctl stop talend-iam-scim-8.0.1.service
sudo systemctl start talend-iam-oidc-8.0.1.service
sudo systemctl start talend-iam-scim-8.0.1.service

Cette page vous a-t-elle aidé ?

Si vous rencontrez des problèmes sur cette page ou dans son contenu – une faute de frappe, une étape manquante ou une erreur technique – faites-le-nous savoir.

Laissez vos commentaires ici