Activer l'authentification unique (SSO) - 7.3

Guide d'utilisation de Talend Administration Center

Version
7.3
Language
Français
Product
Talend Big Data
Talend Big Data Platform
Talend Data Fabric
Talend Data Integration
Talend Data Management Platform
Talend Data Services Platform
Talend ESB
Talend MDM Platform
Talend Real-Time Big Data Platform
Module
Talend Administration Center
Content
Administration et monitoring
Last publication date
2023-11-29

Pourquoi et quand exécuter cette tâche

Vous pouvez activer le SSO pour accéder à Talend Administration Center depuis différents systèmes d'IdP (fournisseurs d'identité) ainsi que pour gérer les rôles et types de projets des utilisateurs et des utilisatrices de l'application depuis ces fournisseurs.

Remarque : Pour plus d'informations concernant la configuration des fournisseurs d'identité, consultez les guides relatifs au SSO.

Procédure

  1. Dans la page Configuration, développez le nœud SSO.
  2. Si le SSO n'a pas été précédemment activé, sélectionnez true dans le champ Use SSO Login.
    Remarque : Si le jeton d'accès personnel est activé, lorsque le SSO est activé ou désactivé, tous les jetons d'accès personnels sont réinitialisés. Pour plus d'informations, consultez Configurer la politique de sécurité.
  3. Cliquez sur Launch Upload dans le champ IDP metadata et chargez le fichier de métadonnées de l'IdP (fournisseur d'identité) que vous avez téléchargé précédemment depuis le Fournisseur d'identité (IdP).
  4. Dans le champ Service Provider Entity ID, saisissez l'identifiant de l'Entité de votre Fournisseur de service (disponible dans la configuration du Fournisseur d'identité), par exemple http://localhost:8080/org.talend.administrator/ssologin.
  5. Dans la liste IDP Authentication Plugin, sélectionnez le fournisseur d'identité, parmi Okta, ADFS, ADFS3, ADFS4,PingFederate, SiteMinder et Custom plugin (Plug-in personnalisé). Si Custom plugin est sélectionné, une boîte de dialogue Upload IDP Authentication Plugin s'affiche et vous invite à charger le fichier de métadonnées du fournisseur d'identité personnalisé. Si vous avez activé le jeton d'accès personnalisé, vous pouvez utiliser le jeton d'accès personnalisé et ignorer la configuration du plug-in d'authentification IDP.
    Les fichiers Jar fournis par Talend se trouvent dans le répertoire <TomcatPath>/webapps/org.talend.administrator/idp/plugins.
    Remarque : Si vous utilisez un plug-in personnalisé pour le SSO, vous devez modifier le fichier <TomcatPath>\conf\server.xml en modifiant la valeur d'autodeploy à false dans le bloc de code suivant. Sinon, le plug-in personnalisé de fournisseur d'identité sera supprimé lors du redémarrage de Tomcat.
    <Host name="localhost"  appBase="webapps"
                unpackWARs="true" autoDeploy="true">
  6. Cliquez sur Identity Provider Configuration et renseignez les informations requises.

    Exemple

    Exemple de configuration PingFederate :

    Exemple

    Exemple de configuration Okta :
  7. Définissez le champ Use Role Mapping à true pour faire correspondre les types de projet et rôles utilisateur·rice des applications avec ceux définis dans le fournisseur d'identité.
    Une fois les rôles et types de projet définis côté fournisseur d'identité, vous ne pourrez pas les modifier depuis Talend Administration Center.
    Exemples pour les types de projets :
    • MDM=MDM; DI = DI; DQ=DQ; NPA=NPA
    Exemples pour les rôles :
    • Rôles Talend Administration Center
      • Administrator = tac_admin
      • Operation Manager = tac_om
      Remarque : Configurer les rôles dans Talend Administration Center est obligatoire.
    • Rôles Talend Data Preparation
      • Administrator = dp_admin
      • Data Preparator = dp_dp
    • Rôles Talend Data Stewardship
      • Data Steward = tds_ds
    Attributs Role Mappings (Mappings de rôles) : Dans le cas d'une liste d'identifiants de sécurité, vous devez modifier la valeur par défaut du nom de l'attribut SAML (tac.role) en tokenGroups.
    Si votre entreprise n'accepte pas les attributs personnalisés dans le jeton SAML :
    • Sélectionnez Show Advanced Configuration dans l'assistant et, dans le champ Path to Value, saisir l'expression XPath pour cibler la valeur SAML et mapper l'objet Talend Administration Center correspondant (Project Types, Roles, Email, First Name, Last Name).

      Par exemple, l'expression XPath pour le type de projet DI : /saml2p:Response/saml2:Assertion/saml2:AttributeStatement/saml2:Attribute[@Name='tac.projectType']/saml2:AttributeValue/text()

    • Définissez le champ Use Role Mapping à false.

      Dans ce cas, vous ne pouvez créer manuellement les utilisateurs et utilisatrices, mais le type d'utilisateur ou d'utilisatrice et ses rôles peuvent être modifiés plus tard dans Talend Administration Center.

      Lorsqu'un utilisateur ou une utilisatrice se connecte pour la première fois, son type est No Project access.

    Les types de rôles et projets configurés dans le fournisseur d'identité écrasent les rôles configurés dans Talend Administration Center lors de la connexion de l'utilisateur ou de l'utilisatrice.
    Notez que le délai par défaut pour vous connecter est de 120 secondes, vous pouvez le modifier en ajoutant le paramètre sso.config.clientLoginTimeout avec le délai souhaité dans le fichier <ApplicationPath>/WEB-INF/classes/configuration.properties.
  8. Dans le champ Redirect URL on Logout, saisissez l'URL du fournisseur d'identité que vers lequel vous voulez rediriger le navigateur lors de la déconnexion de Talend Administration Center.
    Si ce champ est vide, vous serez redirigé vers l'emplacement par défaut de Talend Administration Center lors de la déconnexion.