Mapping de rôles entre le SSO et Talend Cloud

Émettez une requête POST sur l'endpoint /security/role-mappings pour créer ce type de mapping de rôles.

Avant de commencer

Vous avez défini des rôles sur votre plateforme SSO, comme expliqué dans la documentation de votre fournisseur de SSO, par exemple
- https://learn.microsoft.com/fr-fr/azure/active-directory/develop/howto-add-app-roles-in-apps pour Azure,
- https://developer.okta.com/docs/concepts/role-assignment/ pour Okta.
Vous avez configuré votre application dans le système de votre fournisseur SSO et avez activé le SSO depuis Talend Management Console. Par exemple :
- consultez Configurer le SSO avec Azure Active Directory pour Azure,
- consultez Configurer le SSO avec Okta pour Okta.
Lorqsue vous configurez le SSO pour Talend Management Console, assurez-vous d'ajouter l'attribut utilisateur·trice CustomerRoles avec les autres attributs SAML, pour que ces rôles soient inclus dans le fichier SAML de réponse envoyé à Talend Management Console. Par exemple :
- Dans Azure, utilisez la propriété Azure user.assignedroles prédéfinie comme valeur de CustomerRoles.
- Dans Okta, utilisez une virgule (,) pour séparer les noms de rôles.
Dans la réponse SAML, ces valeurs sont écrites dans l'un des formats suivants :
- sur une ligne AttributeValue,
```
<Attribute Name="CustomerRoles">
     <AttributeValue>BusinessUnitOperator,SuperAdminCorp</AttributeValue>
</Attribute>
```
- sur plusieurs lignes AttributeValue.
```
<Attribute Name="CustomerRoles">
   <AttributeValue>BusinessUnitOperator</AttributeValue>
   <AttributeValue>SuperAdminCorp</AttributeValue>
</Attribute>
```
Les rôles BusinessUnitOperator et SuperAdminCorp utilisés dans ce snippet sont utilisés à des fins de démonstration uniquement.
L'utilisateur·trice ou le compte de service à utiliser pour émettre la requête d'API doit avoir l'autorisation TMC_SSO_MANAGEMENT.
Générez des jetons d'accès :
- Pour les utilisateur·trices, générez un jeton d'accès personnel en suivant la procédure Générer un jeton d'accès personnel.
- Pour les comptes de service, générez un jeton d'accès de compte de service en suivant la procédure Générer un jeton de compte de service.
Une fois généré, un jeton de compte de service expire après 30 minutes. S'il expire, générez un nouveau jeton à l'aide de la méthode POST sur l'endpoint https://api.<env>.cloud.talend.com/security/oauth/token. Pour plus d'informations concernant la génération de ce jeton, consultez Générer un jeton de compte de service.

Pourquoi et quand exécuter cette tâche

Dans cet exemple, les rôles client·es à mapper sont Developer et Administrator. Notez que ces rôles servent uniquement à la démonstration.

Procédure

Émettez l'appel d'API suivant pour définir le mapping de rôles :

Exemple

method: POST
endpoint: https://api.<env>.cloud.talend.com/security/role-mappings
headers: {
          "Content-Type": "application/json",
          "Authorization": "Bearer <your_personal_access_token_or_service_account_token>"
          }
payload: {
          [
            {
               "name":"Developer",
               "roles":[
                  "API Tester",
                  "API Designer"
                       ]
            },
            {
               "name":"Administrator",
               "roles":[
                  "Operator"
                       ]
            }
           ]
          }

En ce qui concerne les rôles Talend Cloud, vous pouvez accéder à la liste des rôles prédéfinis, ajouter des rôles, gérer les autorisations des rôles et attribuer des rôles aux utilisateur·trices dans Users & Security (Utilisateurs et sécurité) > Roles (Rôles) dans Talend Management Console. Pour plus d'informations, consultez Gestion des rôles.

Résultats

Cela fait, le rôle attribué aux utilisateur·trices dans votre système de SSO sera synchronisé avec l'attribution des rôles dans Talend Cloud. Dans cet exemple, un·e utilisateur·trice ayant automatiquement le rôle Developer dans le SSO obtient les rôles API Tester et API Designer dans Talend Cloud.

Pour chaque utilisateur·trice donné·e, les rôles attribués via ce mapping de rôles écrasent ceux attribués via l'option Just-in-time user provisioning (Provisioning juste-à-temps des utilisateurs), une option classique de provisioning d'identité d'utilisateur·trices fournie dans Talend Management Console.

Cette page vous a-t-elle aidé ?

Si vous rencontrez des problèmes sur cette page ou dans son contenu – une faute de frappe, une étape manquante ou une erreur technique – faites-le-nous savoir.

Laissez vos commentaires ici